Điều gì sẽ khiến lưu lượng SIP được nhìn thấy đi vào một chuyển đổi nhưng không đi ra?

Lý lịch

Tôi đã phải vật lộn để có được điện thoại SIP của mình để đăng ký đằng sau một bộ định tuyến hoàn toàn mới và chuyển sang văn phòng hoàn toàn mới của chúng tôi. Tổng đài của chúng tôi được lưu trữ bên ngoài. Tôi đã làm việc với nhà cung cấp của chúng tôi để thử một số cách tiếp cận khác nhau. Chúng tôi đã thử NAT thường xuyên để kết nối với bộ điều khiển biên phiên nhận biết NAT của họ. Chúng tôi đã thử sử dụng siproxd (gói pfSense) để chặn các yêu cầu đăng ký SIP và đăng ký thay mặt cho điện thoại. Cuối cùng, chúng tôi đã thử cấu hình điện thoại theo cách thủ công để đăng ký với trình nền siproxd trên mạng cục bộ của tôi.

Trong suốt quá trình thử nghiệm, chúng tôi đã thấy các điện thoại thực hiện thành công tất cả những điều sau đây:

• Liên hệ với máy chủ FTP được lưu trữ theo địa chỉ IP
• Tải về cấu hình từ máy chủ cho biết
• Thực hiện các truy vấn DNS để giải quyết địa chỉ IP của máy chủ NTP
• Truy vấn máy chủ NTP để đặt thời gian
• Thực hiện các truy vấn DNS để giải quyết địa chỉ IP của (các) máy chủ SIP

Triệu chứng

Sau khi điện thoại đã thực hiện thành công tất cả các tác vụ đăng ký trước, chúng tôi không bao giờ thấy nỗ lực đăng ký đạt được hộp pfSense hoặc tổng đài của nhà cung cấp. Tôi đã kích hoạt mức độ gỡ lỗi cao nhất trong siproxd ở cuối và đã thấy có một kết nối TCP hoặc gói UDP. Tuy nhiên, một telnet đơn giản đến cổng 5060 từ máy trạm sẽ tạo ra các thông điệp tường trình dự kiến. Việc thực hiện chụp gói trên hộp pfSense hoàn toàn không cho thấy các nỗ lực lưu lượng SIP.

Cái quái gì thế

Bước xử lý sự cố cuối cùng của tôi đã làm tôi bối rối và đưa tôi đến để hỏi câu hỏi này như sau. Lần đầu tiên tôi nhân đôi cổng chuyển đổi mà điện thoại đã được cắm vào cổng chuyển đổi máy trạm của tôi. Tôi đã thực hiện một gói chụp tất cả lưu lượng trên giao diện. Thật ngạc nhiên, tôi thấy các gói đăng ký SIP đến từ điện thoại. Đây là một ví dụ:

Rõ ràng điện thoại đang cố đăng ký với các PBX (đó cũng là những địa chỉ IP chính xác).

Bước tiếp theo của tôi là phản chiếu cổng chuyển đổi nạp vào phía LAN của bộ định tuyến pfSense. Tôi thấy tất cả lưu lượng FTP, NTP và DNS từ điện thoại 172.200.22.102 ra khỏi công tắc, nhưng không thấy dấu vết của các gói SIP. Điều này là hoàn toàn gây trở ngại cho tôi! Điều gì khiến chỉ có lưu lượng SIP biến mất trong chuyển đổi?

Môi trường

• Phần cứng
  • Bộ định tuyến / Tường lửa: Netgate m1n1wall 2D2
  • Công tắc: HP 1810G-24
  • Điện thoại: Polycom SoundPoint IP 501
• Phần mềm: pfSense 2.0-RC3

Cấu hình chuyển đổi

Điện thoại có Địa chỉ IP 172.22.200.102 nằm ở cổng 4 của công tắc này, liên kết LAN của bộ định tuyến nằm ở cổng 22.

Tôi có thể chia sẻ bất kỳ cài đặt nào có thể cần thiết.

Tôi tìm thấy giải pháp sau khi dành khoảng 40 giờ cho vấn đề này.

Có một cài đặt trong công tắc cho phép bảo vệ "Tự động DoS". Rõ ràng nó coi lưu lượng TCP hoặc UDP có các cổng nguồn hoặc cổng đích phù hợp là một cuộc tấn công trắng trợn và làm rơi gói tin. Điều này thật thiển cận vì lưu lượng SIP thường (luôn luôn?) Dựa vào các cổng nguồn và đích là 5060.

Trong trường hợp một mô tả văn bản là không đủ: