Comunidad FORTIGATE.es

Buenos días,

Llevo varias semanas desesperado intentado resolver un problema con la conectividad entre mi CallManager y un Service Border Control que me da acceso a un servicio de SIP TRunk de operador. La verdad es que miles de veces he venido a este foro a mirar información, pero nunca había preguntado nada, pero ya tengo que abusar de vuestra confianza...

El escenario que tengo es el siguiente (me he inventado el direccionamiento, por no dar info de más)

- Tengo un Router que me hace de salida a internet (172.10.0.2)
- Otro Router me da el servicio de VPN-MPLS y el de SIP TRUNK (172.10.0.3)
- Tengo un Grupo HSRP entre los routers (172.10.0.1)
- el SBC está en una de las sedes remotas de la VPN-MPLS (172.200.200.4)
- El Fortigate 200D (172.10.0.4) se conecta a través de la IP Virtual de los routes de acceso.
- El Firewall, tiene generadas las subredes y en una de ellas es donde cuelga el CallManager (VLAN 103, con IP 172.10.3.11)

He creado una IP Virtual (Policy&Objects --> Objects --> Virtual IP) y he creado un objeto con:
* External IP Address/Range 172.200.200.4
* Dirección / Rango IP mapeado: 172.10.3.11
* Sin marcar Port Forwarding / También he probado marcando PortForwarding con UDP 5060

Luego he creado una política (Policy&Objects --> Policy --> IPv4) con este objeto y configuración:
* Incoming Interface: WAN1 (es la pata que se conecta con los Routers externos)
* Source Address: ALL
* Outgoing Interface: VLAN103
* DestinationAddress: CallManager (La IP VIrtual creada antes)
* Schedule: Allways
* Service: All (también he probado a poner SIP, ALL_ICMP; ALL_UDP...)
* Action: Accept
* NAT: Enabled -- Use Outgoing Interface Address / también he probado a desactivar esto

Luego he puesto la regla que se genera, en la parte más alta de la lista...

Y haciendo esto, con las mil configuraciones que se me ocurrían, no he sido capaz de hacer que funcione

Algún alma caritativa tiene una idea de qué puedo hacer para arreglar este infierno??????

Mil gracias por adelantado y perdonad que venga suplicando...

Gracias!
Saludos!

Hola amigo, para ver si te entiendo, quieres publicar ese servicio que que se le llegue por una virtual ip desde la wan a la lan a travez de un puerti? Eso pasa por una vpn ? O viene de la internet nada mas?, yo tengo algo parecido y me funciona muy bien. Me gustaria ayudarte.

Saludos,

Gracias Orejana!

Uhm... Efectivamente lo que quiero es permitir que haya conexión entre mi sede donde está el SBC y mi CallManager que está dentro de mi LAN por debajo del Firewall. El FIrewall y la SBC están en la misma WAN, dentro de una VPN-MPLS de operador.

Entiendo que para eso tenía que hacer lo de la IP Virtual que describía en el mensaje, no es así???

Gracias por el interés! Cualquier cosa que me puedas orientar será bienvenida!

Saludos!

¿Alguna Sugerencia?

hola, pero antes de revisar el 5060, probaste se se llegan de una red a la otra?

el sip siempre es dificil de que funcione si hay nat en el medio. trata de eliminar los nat, y aplica un perfil voip en la polticia de ida y vuelta hacia las redes y puertos en cuestion.

saludos

Gracias gabyrossi,

Si, efectivamente antes de instalar el Firewall el CallManager y la SBC se veían perfectamente... Ha sido después de instalar el Firewall cuando estoy en un lio...

Reconozco que me has pillado con tu sugerencia:

- eliminar NAT??? Desmarcando la casilla de la Política???
- aplica un perfil voip en la polticia de ida y vuelta hacia las redes y puertos en cuestion??: Esto que significa??? Una política con Origen la LAN y destino la SBC y otra con origen WAN1 y destino el CallManager??

Mil gracias por las sugerencias, de verdad que ya no se por dónde tirar!!!!

Hola amigo, pudiste solucionarlo?

Me temo que no... Con el anterior comentario no supe qué hacer, no supe por donde cogerlo básicamente...

Estoy sobreviviendo con telefonos móviles...

Gracias!
Saludos!

ok, explicame que hiciste, para ver si damos con la solución.

Esa comunicación pasa por una vpn? le hasces ping entre ellas? puedes usar el forticlient en las maquinas para llegarle por vpn esa podria ser otra solución al problema. Tienes un virtual ip para esa SBC?

Hola a todos!

Sólo por si sirve de ayuda para otros que les pase como a mi, ya lo he resuelto.

Al final tuve que hacer algunas historias más de las previstas. Mirando muchos foros por ahí, encontré a otros que les pasaba esto con los fortigate. Parece ser que los SIP-Helpers que embeben, no funcionan correctamente y bloquean el tráfico cuando no deben hacerlo. Así que lo que tuve que hacer es desactivar los helpers siguiendo las intrucciones de este foro:

[Debes identificarte para poder ver enlaces.]

Después ya la cosa empezó a funcionar. COn la regla de firewall que me funcionó fue:

+ Cree una dirección (Policy&OBjects--> Objects --> Addresses) para el CallManager
+ Cree una dirección (Policy&OBjects--> Objects --> Addresses) para el SBC

+ Hice una regla que hacia que el tráfico de origen desde el CallManager hacia el SBC no tuviera NAT.

LIsto, a funcionar perfectamente

Espero que a otros les sirve y les ahorre tiempo y horas sin dormir

Un saludo

Hola, lo del nat era lo que t ehabia dicho en uno de los post.

saludos