Ciao a tutti, ho un problema nel configurare il VOIP di TIM su un telefono voip, il setup 'e questo:
Telefoni voip:

  • Grandstream GXP1625
  • Snom D120

Router Opnsense 24.1.6

Sostanzialmente il problema (con entrambi i telefoni) 'e che l'autenticazione SIP avviene, ma dopo 5/10 minuti non 'e piu utilizzabile (il telefono riceve lo squillo ma non invia ne riceve audio), se si prova a chiamare da 403 forbidden/unreachable/no response.

Ora, ho provato un minimo a capire quale potesse essere il problema e sono incappato piu volte nel consiglio di impostare un server STUN, cosa che ho fatto (stun.voip.eutelia.it) ma non sembra risolvere la cosa.

Inoltre il GXP1625 mi rileva il NAT come "Symmetric NAT" e nella guida dice che "If a symmetric NAT is detected,
STUN will not work and ONLY an Outbound Proxy can provide a solution.".

Ho provato anche ad inserire l'ip dell'outbound proxy di TIM recuperato con la query SRV (5.97.116.11) ma anche questo non sembra risolvere.

Ho provato a fare la rule outbound sul firewall:

Interface	Source	Source Port	Destination	Destination Port	NAT Address	NAT Port	Static Port		    	   
WAN	voip_phones  	tcp/udp/ *	*	tcp/udp/ *	Interface address	*	YES

ma anche qui, senza fortuna.

Ho provato ad aprire sul NAT tutte le porte che SIP e RTP usano (5000, 5001, 5004, 5060, 5061, 5068, 5090, 5755) anche qui senza risolvere niente.

Un'altra soluzione potrebbe essere SIP ALG ma a quanto ho capito opnsense non ce l'ha...

PauloMurineddu siamo sicuri che Tim permetta più di una registrazione da quando hanno dismesso la app telefono ?

Prova per prima cosa a tenere un solo telefono

Incominciamo così e vediamo i varii parametri che hai messo.
Io credo ti incominci a funzionare così.

Perché il 403 è proprio un non autorizzato, non c’entrano problemi di NAT.

Se così fosse dovrai mettere sulla stessa macchina dove gira OPNsense un hypervisor, tipo proxmox e far girare anche una VM che farà da centralino con freepbx/vitalpbx. Oppure usare un solo telefono

      gandalf2016 Ciao, il problema lo ho anche con un solo telefono. Infatti ho provato a togliere lo SNOM e lasciare il grandstream ma non cambia.

      Attualmente le regole applicate sono queste:

      Port forward:

      Outbound:

      Impostazioni grandstream:



      Ovviamente nel dubbio cercando di farlo funzionare ho magari fatto delle cose nosense:
      So che STUN non serve in caso di porte aperte, ma nel dubbio ho fatto varie prove con STUN, upnp e keepalive.
      Come IP DNS ho messo quello di tim per risolvere outbound proxy TIM con richiesta SRV.

      So che si vede il numero di telefono, sfondatemelo cosi' magari si mette a funzionare 🤣

          gandalf2016 Always send to l'avevo gia provato senza fortuna, comunque l'ho messo or ora ma non cambia.
          L'altro telefono 'e spento.

          La cosa che mi fa imbestialire 'e che non riesco ad avere un comportamento consistente:
          attualmente risulta registrato su SIP:

          Ma se provo a fare una chiamata al fisso NON squilla (il cellulare dice numerazione non raggiungibile) e se provo a chiamare DAL fisso mi da NO RESPONSE.

              PauloMurineddu

              Non ricordo cosa sia quel proxy require nel campo network setting

              Che altri modi ha il telefono ?

                  gandalf2016 Li ci ho semplicemente messo l'outbound proxy
                  La descrizione 'e questa "Proxy-Require A SIP Extension to notify the SIP server that the phone is behind a NAT/Firewall."

                  Non ricordo dove ma ho letto che poteva essere necessario mettere qui l'outbound proxy, ma in realta' non ne ho idea...

                  gandalf2016 Che altri modi ha il telefono ?

                  In che senso?

                        PauloMurineddu di NAT traversal

                        Comunque mi servirebbero i pcap di quando funziona e di quando non funziona più.

                            gandalf2016

                            STUN, keepalive, upnp, auto, vpn , off

                            gandalf2016 Comunque mi servirebbero i pcap di quando funziona e di quando non funziona più.

                            Bella questione, ora sto vedendo che non funziona in generale, ogni tanto esce fuori sip register YES ma in realta non chiama e non riceve...

                            In ogni caso, come te lo faccio?

                                  gandalf2016 Ora che ricordo, il grandstream ha syslog anche a livello SIP, eventualmente ti posso mandare quelli ma 'e un bel po di roba

                                    PauloMurineddu dovrebbe esserci un modo per catturare il traffico

                                    Altrimenti anche da OPNsense è possibile filtrando per porta

                                        gandalf2016 https://pastebin.com/CRQ2t3CH Ho caricato 5 minuti di pcap generato da opnsense.
                                        A me sembra che provi a registrarsi in continuazione senza risposta (positiva), poi negli ultimi pacchetti sembra ricevere qualche risposta (e il grandstream mi da registrato senza pero ricevere chiamate)...

                                            PauloMurineddu imposta NAT Traversal su no e prova togliendo lo stun.

                                            Togli anche proxy require nei settaggi del Nat.

                                            Lascia invece l’outbound proxy con always via outbound

                                                gandalf2016 Ok, ho impostato NAT Traversal su NO e dalle impostazioni ho cancellato il server STUN (usavo eutelia), ora squilla e prende le chiamate, tuttavia se chiudo la chiamata dal fisso, il cellulare continua risultare in chiamata. Se provo a chiamare dal fisso, 420 BAD EXTENSION.

                                                https://pastebin.com/mPCCHqCD << pcap con le impostazioni sopra, non ho provato senza proxy require perche ho visto dopo... ora voglio mantenere questa config e vedere se dopo tot tempo perde la registrazione.

                                                    PauloMurineddu ok, altra impostazione di Nat che può avere senso è auto.

                                                    Il proxy require toglilo.

                                                        gandalf2016 Incredibilmente dopo 1 ora il telefono ancora squilla, quindi per quel versante tutto ok. Ho provato a togliere proxy require e va tutto, chiama squilla e risponde.

                                                        Bisogna vedere se sta configurazione dura o no, ti aggiorno...

                                                          Il VOIP di TIM non richiede né di aprire porte sul router, né di utilizzare STUN, comunque. È sufficiente inviare un keepalive periodico in modo da tenere aperta la connessione SIP così da poter ricevere sempre messaggi di signaling per chiamate in entrata.

                                                            Marco25 Quindi se disabilito la rule sul fw e imposto keepalive, dovrebbe funzionare tutto ugualmente?
                                                            Comunque con l'ultima config sembra andare tutto anche dopo 2 ore, ora la prova 'e vedere se si riesce con 2 telefoni registrati contemporaneamente.

                                                            Edit: collegando lo SNOM, quest'ultimo chiama correttamente ma le chiamate entranti arrivano solo al grandstream.
                                                            Scollegando il grandstream e chiamando al fisso risulta "non raggiungibile" pero c'e' da dire che lo snom 'e molto meno configurabile del grandstream (non permette di selezionare le modalita' del NAT traversal)

                                                            Edit2: Ho provato a togliere la rule nel FW, mettere nat keepalive ma niente, non si registra...

                                                            • Marco25 ha risposto a questo messaggio

                                                                PauloMurineddu Quindi se disabilito la rule sul fw e imposto keepalive, dovrebbe funzionare tutto ugualmente?

                                                                Dovrebbe anche perché aprendo le porte per avere un minimo di sicurezza dovresti consentire l’accesso solo dagli IP degli outbound proxy ma così perderesti il vantaggio di ottenerli dinamicamente tramite DNS SRV.

                                                                PauloMurineddu Ho provato a togliere la rule nel FW, mettere nat keepalive ma niente, non si registra...

                                                                Nemmeno si registra? Non mi sembra un problema di NAT. Ogni quanto viene inviato il keepalive?

                                                                      Informativa privacy - Informativa cookie - Termini e condizioni - Regolamento - Disclaimer - 🏳️‍🌈
                                                                      P.I. IT16712091004 - info@fibraclick.it

                                                                      ♻️ Il server di questo sito è alimentato al 100% con energia rinnovabile