Eu tenho lutado para fazer com que meus telefones SIP se registrem atrás de um novo roteador e mudem para nosso novo escritório. Nosso PBX é hospedado externamente. Eu trabalhei com o nosso provedor para tentar várias abordagens diferentes. Nós tentamos o NAT regular para se conectar ao seu controlador de borda de sessão com reconhecimento de NAT. Nós tentamos usar o siproxd (o pacote pfSense) para interceptar as solicitações de registro SIP e registrar no nome do telefone. Finalmente, tentamos configurar os telefones manualmente para registrar com o daemon siproxd na minha rede local.
Durante os testes, vimos os telefones fazerem o seguinte com sucesso:
Depois que os telefones executaram todas as tarefas de pré-registro com sucesso, nunca vemos a tentativa de registro atingir a caixa pfSense ou o PBX do provedor. Eu habilitei o nível mais alto de depuração no siproxd do meu lado e não vi nenhuma conexão TCP ou pacote UDP. No entanto, um telnet simples para a porta 5060 a partir de uma estação de trabalho gerará mensagens de log esperadas. Realizar uma captura de pacotes na caixa pfSense mostrou absolutamente nenhuma tentativa de tráfego SIP.
Minha etapa final de solução de problemas que me confundiu completamente e me levou a fazer essa pergunta foi a seguinte. Primeiro, espelhei a porta do switch na qual um telefone estava conectado à porta do switch da estação de trabalho. Eu realizei uma captura de pacotes de todo o tráfego na interface. Para minha surpresa, vi pacotes de registro SIP vindos do telefone. Aqui está um exemplo:
ÉevidentequeotelefoneestátentandoseregistrarnosPBXs(essessãoosendereçosIPcorretostambém).
MeupróximopassofoiespelharaportadoswitchquealimentaoladodaLANdoroteadorpfSense.EuvitodootráfegoFTP,NTPeDNSdotelefone172.200.22.102saindodoswitch,masnãoumtraçodospacotesSIP.Issoécompletamentedesconcertanteparamim!OqueestácausandosomenteotráfegoSIPadesaparecerdentrodoswitch?
O telefone com endereço IP 172.22.200.102 está na porta 4 deste comutador, o link da LAN do roteador está na porta 22.
Posso compartilhar mais configurações que possam ser necessárias.
Encontrei a solução depois de gastar cerca de 40 horas com esse problema.
Existe uma configuração no switch que ativa a proteção "Auto DoS". Aparentemente, ele considera o tráfego TCP ou UDP que tem portas de origem ou de destino correspondentes como um ataque blat e descarta o pacote. Isso é ridiculamente míope, já que o tráfego SIP geralmente (sempre?) Depende das portas de origem e de destino sendo 5060.
No caso de uma descrição textual ser insuficiente:
