pfsense – 什么会导致SIP流量进入交换机而不会出现?

背景

我一直在努力让我的SIP电话注册一台全新的路由器并切换到我们全新的办公室.我们的PBX是在异地托管的.我与我们的提供商合作尝试了几种不同的方法.我们已经尝试了常规NAT连接到他们的NAT感知会话边界控制器.我们尝试使用siproxd(pfSense软件包)拦截SIP注册请求并代表电话注册.最后,我们尝试手动配置电话以在本地网络上注册siproxd守护程序.

在整个测试中,我们已经看到手机成功完成以下所有操作:

>通过IP地址联系托管的FTP服务器
>从所述服务器下载配置
>执行DNS查询以解析NTP服务器的IP地址
>查询NTP服务器以设置时间
>执行DNS查询以解析SIP服务器的IP地址

症状

在手机成功完成所有预注册任务后,我们从未看到注册尝试到达pfSense盒或提供商的PBX.我已经在siproxd中启用了最高级别的调试,并且看到了nary TCP连接或UDP数据包.但是,从工作站到端口5060的简单telnet将生成预期的日志消息.在pfSense盒上执行数据包捕获表明绝对没有SIP流量尝试.

有没有搞错?

我最后的故障排除步骤彻底困扰了我并让我问这个问题如下.我首先镜像了手机插入我的工作站交换机端口的交换机端口.我对接口上的所有流量执行了数据包捕获.令我惊讶的是,我看到来自手机的SIP注册数据包.这是一个例子:

显然,手机正在尝试向PBX注册(这些也是正确的IP地址).

我的下一步是镜像切换到pfSense路由器LAN侧的交换机端口.我看到来自172.200.22.102电话的所有FTP,NTP和DNS流量都来自交换机,但没有跟踪SIP数据包的痕迹.这对我来说完全是莫名其妙!是什么导致只有SIP流量在交换机内消失?

环境

>硬件

>路由器/防火墙:Netgate m1n1wall 2D2
>开关:HP 1810G-24
>手机:Polycom SoundPoint IP 501

>软件:pfSense 2.0-RC3

交换机配置

IP地址为172.22.200.102的电话位于此交换机的端口4中,路由器LAN链路位于端口22中.

我可以共享可能需要的任何设置.

在这个问题上花了大约40个小时后我找到了解决方案.

交换机中有一个设置可启用“自动DoS”保护.显然,它将具有匹配的源或目标端口的TCP或UDP流量视为blat attack并丢弃该数据包.这是荒谬的短视,因为SIP流量经常(总是?)依赖于源端口和目标端口为5060.

如果文字说明不充分:

翻译自:https://serverfault.com/questions/303798/what-would-cause-sip-traffic-to-be-seen-going-into-a-switch-but-not-coming-out

转载注明原文:pfsense – 什么会导致SIP流量进入交换机而不会出现?