Hola buenas tardes
Antes que nada quiero agradecerles por leer mi post, les comento resulta que estoy probando un fortigate 40c y detras tengo un Ip-PBX de la marca Epygi, resulta que apenas hace un par de días se instalo el fortigate y todo funciono normal, el día de hoy al llamar a mi PBX ya no tenia audio de entrada, y al marcar hacia afura desde el PBX tampoco tengo audio, realizando diagnosticos veo lo siguiente.
1030.865338 187.177.165.---.65476 -> ---.---.---.---.5062: udp 1597 (frag 27173:1480@0+)
1030.865458 187.177.165.--- -> ---.---.---.---: ip-proto-17 (frag 27173:125@1480)
Como saben SIP es sensible a la fragmentacion de paquetes, alguien sabe si existe alguna manera para que pueda el fortigate aceptar estos paquetes fragmentados completos?
Saludos cordiales
Fragmentacion de UPD VoIP
Re: Fragmentacion de UPD VoIP
Hola, tienes que revisar si estas aceptando el trafico SIP.
[Debes identificarte para poder ver enlaces.]
[Debes identificarte para poder ver enlaces.]
Esto me sucedio y lo que hice fue aplicar un perfil de VoIP en las politicas y ya con eso me funciono, depende mucho de la version de Firmware que tienes.
Saludos
[Debes identificarte para poder ver enlaces.]
[Debes identificarte para poder ver enlaces.]
Esto me sucedio y lo que hice fue aplicar un perfil de VoIP en las politicas y ya con eso me funciono, depende mucho de la version de Firmware que tienes.
Saludos
Defend Your Enterprise Network With Fortigate Next Generation Firewall
NSE4
NSE5
NSE4
NSE5
Re: Fragmentacion de UPD VoIP
Buenas
Otra es revisar que el session helper no este tirando problemas. con un diagnose debug flow podrias ver si esta descartando paquetes por el session helper. Si esto es asi, una forma de solucionarlo seria eliminar la entrada del session helper que matchea con el protocolo que usas y listo!
Otra es revisar que el session helper no este tirando problemas. con un diagnose debug flow podrias ver si esta descartando paquetes por el session helper. Si esto es asi, una forma de solucionarlo seria eliminar la entrada del session helper que matchea con el protocolo que usas y listo!
-
israel0400
- Mensajes: 17
- Registrado: 07 Feb 2014, 20:42
Re: Fragmentacion de UPD VoIP
Gracias por los comentarios proceder a probar con lo que me indican y comento en breves, pero tengo una duda en su experiencia si es posible quitar la fragmentacion de paquetes VoIP?
Tengo el siguiente firmware v5.0,build0252.
Probando con el comando diagnose debug flow filter port 5060 no me muestra nada al ingresar el comando.
Saludos
Tengo el siguiente firmware v5.0,build0252.
Probando con el comando diagnose debug flow filter port 5060 no me muestra nada al ingresar el comando.
Saludos
Re: Fragmentacion de UPD VoIP
Buenas
En un streaming(audio, video, ambos), cada paquete UDP es un fragmento de un mensaje y eso sale del origen hacia el destino, no lo hace el fortigate. Hasta donde se, el fortigate no genera fragmentos de una conexion, sino al contrario, lo que intenta hacer es ensamblarlos el pasar por el.
Como dije en mi post anterior, me parece que el problema esta en el session helper, que lo que hace es identificar un protocolo con un tipo de mensajes, sobre todo aquellos que abren puertos dinamicos constantemente, lo que el audio y el video hacen de forma regular dicho sea de paso.
Para saber bien si es el session helper u otra caracteristica del fortigate que te esta descartando paquetes, filtrar por un unico puerto no te va a servir de mucho, porque perdes lo que sucede en los otros. Conviene filtrar por origen/destino
1)filtro por origen
diagnose debug flow filter saddr 192.168.1.120
2) filtro por destino
diagnose debug flow filter daddr 172.16.1.1
3) muestra resultado por consola
diagnose debug flow show console enable
4)Definimos la cantidad de mensajes a tracear
diagnose debug flow trace start 1000
5) lo habilitamos
diagnose debug enable
Te va a salir un choclazo de informacion, tenes que buscar algo que te diga "drop" o similar. posteate ese mensaje y con eso no va a quedar lugar a dudas de que es lo que te descarta paquetes.
Ultima cosa, aprovecho a decir que SIP utiliza el session helper tambien, como el ftp y otros protocolos mas. Session Helper mantiene una unica sesion aun cuando se utilicen puertos dinamicos para transmitir o recibir mensajes, lo que en mas de una ocasion, sino esta bien configurado o contempado trae problemas a veces.
Para probar, podes borrar las entradas del session helper de la siguiente forma:
config system session-helper
purge
This operation will clear all table!
Do you want to continue? (y/n)
Y
si haces un backup antes, podes deshacer el cambio si notas que tenes algun problema.
Saludos!
En un streaming(audio, video, ambos), cada paquete UDP es un fragmento de un mensaje y eso sale del origen hacia el destino, no lo hace el fortigate. Hasta donde se, el fortigate no genera fragmentos de una conexion, sino al contrario, lo que intenta hacer es ensamblarlos el pasar por el.
Como dije en mi post anterior, me parece que el problema esta en el session helper, que lo que hace es identificar un protocolo con un tipo de mensajes, sobre todo aquellos que abren puertos dinamicos constantemente, lo que el audio y el video hacen de forma regular dicho sea de paso.
Para saber bien si es el session helper u otra caracteristica del fortigate que te esta descartando paquetes, filtrar por un unico puerto no te va a servir de mucho, porque perdes lo que sucede en los otros. Conviene filtrar por origen/destino
1)filtro por origen
diagnose debug flow filter saddr 192.168.1.120
2) filtro por destino
diagnose debug flow filter daddr 172.16.1.1
3) muestra resultado por consola
diagnose debug flow show console enable
4)Definimos la cantidad de mensajes a tracear
diagnose debug flow trace start 1000
5) lo habilitamos
diagnose debug enable
Te va a salir un choclazo de informacion, tenes que buscar algo que te diga "drop" o similar. posteate ese mensaje y con eso no va a quedar lugar a dudas de que es lo que te descarta paquetes.
Ultima cosa, aprovecho a decir que SIP utiliza el session helper tambien, como el ftp y otros protocolos mas. Session Helper mantiene una unica sesion aun cuando se utilicen puertos dinamicos para transmitir o recibir mensajes, lo que en mas de una ocasion, sino esta bien configurado o contempado trae problemas a veces.
Para probar, podes borrar las entradas del session helper de la siguiente forma:
config system session-helper
purge
This operation will clear all table!
Do you want to continue? (y/n)
Y
si haces un backup antes, podes deshacer el cambio si notas que tenes algun problema.
Saludos!
-
israel0400
- Mensajes: 17
- Registrado: 07 Feb 2014, 20:42
Re: Fragmentacion de UPD VoIP
Hola
Gracias por los comentarios, no habia tenido oportunidad de responder, les envio lo que me arroja el realizar el debug
d=13 trace_id=3 msg="vd-root received a packet(proto=17, 217.---.---.XX:5062->187.---.---.XX:65476) from wan2."
id=13 trace_id=3 msg="Find an existing session, id-0025cfbf, reply direction"
id=13 trace_id=3 msg="DNAT 187.---.---.XX:65476->192.168.195.69:5060
Desde que elimine el session helper como me indicaste desaparecio el problema de las llamadas sin audio, pero ahora noto que en la tabla del firewall aveces respeta los balanceos y aveces no, me explico, contamos con 2 ips publicas una fija y otra dinamica por la fija realizamos conexiones a madrid y el firewall de madrid solo permite las conexiones desde dicha ip la otra la usamos para sacar nuestros datos a internet, ahora aveces tengo que intentar 2 o 3 veces la conexion ya que aveces envia las peticiones a madrid por la ip publica dinamica.
Gracias por los comentarios, no habia tenido oportunidad de responder, les envio lo que me arroja el realizar el debug
d=13 trace_id=3 msg="vd-root received a packet(proto=17, 217.---.---.XX:5062->187.---.---.XX:65476) from wan2."
id=13 trace_id=3 msg="Find an existing session, id-0025cfbf, reply direction"
id=13 trace_id=3 msg="DNAT 187.---.---.XX:65476->192.168.195.69:5060
Desde que elimine el session helper como me indicaste desaparecio el problema de las llamadas sin audio, pero ahora noto que en la tabla del firewall aveces respeta los balanceos y aveces no, me explico, contamos con 2 ips publicas una fija y otra dinamica por la fija realizamos conexiones a madrid y el firewall de madrid solo permite las conexiones desde dicha ip la otra la usamos para sacar nuestros datos a internet, ahora aveces tengo que intentar 2 o 3 veces la conexion ya que aveces envia las peticiones a madrid por la ip publica dinamica.
Re: Fragmentacion de UPD VoIP
hola, realiza una politica de ruteo para que salga por la wan que necesites.
saludos.
saludos.
NSE 7 – Fortinet Network Security Architect
NSE 5 - Network Security Analyst
NSE 5 - Network Security Analyst
-
israel0400
- Mensajes: 17
- Registrado: 07 Feb 2014, 20:42
Re: Fragmentacion de UPD VoIP
Hola yo tengo dos policy creadas una para que salga la vpn por wan1 y otra para los datos por wan 2 el problema es que aveces trata de conectar la vpn por la wan2.
Saludos
Saludos
Re: Fragmentacion de UPD VoIP
policy de que? de firewall o de ruteo?
saludos
saludos
NSE 7 – Fortinet Network Security Architect
NSE 5 - Network Security Analyst
NSE 5 - Network Security Analyst
-
israel0400
- Mensajes: 17
- Registrado: 07 Feb 2014, 20:42
Re: Fragmentacion de UPD VoIP
Hola
Pues segun yo de ruteo te indico como las tengo.
From (internal) to (wan2) Source (Any) Destination (Telefonía IP) Schedule (Always) Service (VoiP)
From (internal) to (wan1) Source (Any) Destination (Madrid) Schedule (Always) Service (VPN)
Cabe aclarar que tengo varias de este estilo pero como les comento aveces tiro una VPN por ejemplo de la IP 192.168.X.10 y sale por la wan1 pero si vuelvo a intentarlo aveces lo arroja por la Wan2.
Tengo ambas wan con la misma distancia para que ambas estén activas en todo momento.
Saludos
Pues segun yo de ruteo te indico como las tengo.
From (internal) to (wan2) Source (Any) Destination (Telefonía IP) Schedule (Always) Service (VoiP)
From (internal) to (wan1) Source (Any) Destination (Madrid) Schedule (Always) Service (VPN)
Cabe aclarar que tengo varias de este estilo pero como les comento aveces tiro una VPN por ejemplo de la IP 192.168.X.10 y sale por la wan1 pero si vuelvo a intentarlo aveces lo arroja por la Wan2.
Tengo ambas wan con la misma distancia para que ambas estén activas en todo momento.
Saludos
Re: Fragmentacion de UPD VoIP
hola, esas sn politicas de firewall.
tendras que revisa rcomo haces el balanceo
y si queres acar trafico si o si por una wan, necesitaras policy routes.
saludos.
tendras que revisa rcomo haces el balanceo
y si queres acar trafico si o si por una wan, necesitaras policy routes.
saludos.
NSE 7 – Fortinet Network Security Architect
NSE 5 - Network Security Analyst
NSE 5 - Network Security Analyst
-
israel0400
- Mensajes: 17
- Registrado: 07 Feb 2014, 20:42
Re: Fragmentacion de UPD VoIP
Hola
Gracias por la aclaracion pero tengo la duda si mi fortigate 40c puede realizar eso porque e visto que equipos mas grandes tienen policy route pero al mio no le encuentro ese apartado.
Saludos
Gracias por la aclaracion pero tengo la duda si mi fortigate 40c puede realizar eso porque e visto que equipos mas grandes tienen policy route pero al mio no le encuentro ese apartado.
Saludos
Re: Fragmentacion de UPD VoIP
Si no me equivoco tenes que habilitarlo en Sistema> Configuracion > Caracteristicas > Enrutamiento Avanzado
Si te fijas ahi tambien sale la opcion Voip esa deberia de estar habilitada tambien y deberias de tener un perfil voip en las politicas de firewall de trafico SIP.
Saludos
Si te fijas ahi tambien sale la opcion Voip esa deberia de estar habilitada tambien y deberias de tener un perfil voip en las politicas de firewall de trafico SIP.
Saludos
Defend Your Enterprise Network With Fortigate Next Generation Firewall
NSE4
NSE5
NSE4
NSE5
-
israel0400
- Mensajes: 17
- Registrado: 07 Feb 2014, 20:42
Re: Fragmentacion de UPD VoIP
Hola
Gracias, en el mio no aparece enrutamiento avanzado me aparece multicast policy y local policy, revise el de multicast y parece como el del firewall, crees que este apartado me funcione?
SAludos
Gracias, en el mio no aparece enrutamiento avanzado me aparece multicast policy y local policy, revise el de multicast y parece como el del firewall, crees que este apartado me funcione?
SAludos
Re: Fragmentacion de UPD VoIP
hola, en los equipos chicos muchas de las cosas estan por cli.
revida la doc del cli.
saludos
revida la doc del cli.
saludos
NSE 7 – Fortinet Network Security Architect
NSE 5 - Network Security Analyst
NSE 5 - Network Security Analyst