<div dir="ltr"><div>Hi Steven,<br><br>Thanks for the reply!<br><br></div>Here&#39;s the firewall policy (iptables, the FS service is hosted on a centos6 server):<br>-A INPUT -p udp -m udp --dport 20000:40000 -j ACCEPT<br><div>The port annonced by FS and actually used was in this range (34546). Hence, I doubt the port s blocked.<br><br></div><div>There is still the possibility of the port not being listening.<br></div><div>This is comforting that you say it should be listening on it right before the INVITE, but it is a bit weird I&#39;m experiencing such a behaviour...<br><br></div><div>Steven, there are a lot of public IPs in my capture (among them some of customers and I don&#39;t want to obfuscate it so I won&#39;t post it here), but if you&#39;d like I can send it to you by email so that you can have a look as well?<br><br></div><div>Thanks<br>Florent<br></div><div><br><div class="gmail_extra"><br><div class="gmail_quote">2014-09-25 17:06 GMT+02:00 Steven Ayre <span dir="ltr">&lt;<a href="mailto:steveayre@gmail.com" target="_blank">steveayre@gmail.com</a>&gt;</span>:<br><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><div dir="ltr"><span class=""><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><span style="font-family:arial,sans-serif;font-size:13px">then FS seems to not be ready for it and reply ICMP unreachable.</span></blockquote><div><span style="font-family:arial,sans-serif;font-size:13px"><br></span></div></span><div><font face="arial, sans-serif">This sounds odd. ICMP unreachable will be sent by the OS/firewall not FS. It means nothing is listening on that UDP port (or it&#39;s blocked). What&#39;s odd is the SDP FS sends in its INVITE packet will contain the IP and port it&#39;s using. It finds that port by creating a socket using a random port then checking what it&#39;s using. So before the INVITE is even sent the port is open, so you shouldn&#39;t see ICMP unreachable from the OS.</font></div><div><font face="arial, sans-serif"><br></font></div><div><font face="arial, sans-serif">Are they sending to the exact same IP and port you send in the SDP? Are you running any stateful firewalls that might not have opened the port for the RTP stream?</font></div><div><br></div><div><br></div><div class="gmail_extra"><br><div class="gmail_quote"><div><div class="h5">On 25 September 2014 14:59, Florent Krieg <span dir="ltr">&lt;<a href="mailto:flokrrr@gmail.com" target="_blank">flokrrr@gmail.com</a>&gt;</span> wrote:<br></div></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><div><div class="h5"><div dir="ltr"><div><div><div><div><div><div><div><div><div><div><div><div><div><div>Hi mates,<br><br></div>We are encountering a problem with some of our customers in the following situation:<br></div>* we are running Freeswitch with a public IP address, detecting far-end nat traversal when needed (customers behind NAT)<br></div>* our customers interconnects their IPBXes to our FS platform (we do only SIP trunking with FS)<br></div>* if the customer has its IPBX behind a NAT and sets a local redirect, there&#39;s no sound (and I completely understand why, I&#39;m just trying to find a solution, if any...)<br><br></div>So there are two distinct calls:<br></div><span style="font-family:courier new,monospace">PSTN_X         &lt;===&gt; FS &lt;===&gt; customer1 IPBX<br></span></div><span style="font-family:courier new,monospace">customer1 IPBX &lt;===&gt; FS &lt;===&gt; PSTN_Y (redirection)</span><br><br></div>When PSTN_Y answers the call, FS sends 200 OK w/ SDP to customer1 IPBX.<br></div>The IPBX then sends an empty RTP packet, I reckon to allow the remote platform (FS in this case) to be able to detect the IP/port couple where to send RTP packets. <br></div>The problem I have is that on the &#39;caller&#39; side, this single empty RTP packet is sent by the IPBX before sending the 200 OK (like, a few ms before) and then FS seems to not be ready for it and reply ICMP unreachable.<br><br>To make this whole stuff almost-work, I&#39;ve set &#39;rtp_auto_adjust_threshold&#39; to 1, otherwise FS will wait for far more than 1 RTP packet to detect NAT.<br><br></div>My idea is that the IPBX should send the 200 OK first and right after this empty RTP packet.<br>The problem is I&#39;m encountering the issue with two different constructors (on one of them we ended using STUN, but the other one has a terrible STUN implementation, hence I&#39;m really looking for a solution).<br><br>I know it&#39;s tricky (SIP, NAT, redirection and so on) but what do you think about this use case?<br></div>Would you know a way to solve this trouble? If you have any clue please share!<br><br></div>Thanks in advance<span><font color="#888888"><br></font></span></div><span><font color="#888888">Florent<br></font></span></div>
<br></div></div>_________________________________________________________________________<br>
Professional FreeSWITCH Consulting Services:<br>
<a href="mailto:consulting@freeswitch.org" target="_blank">consulting@freeswitch.org</a><br>
<a href="http://www.freeswitchsolutions.com" target="_blank">http://www.freeswitchsolutions.com</a><br>
<br>
Official FreeSWITCH Sites<br>
<a href="http://www.freeswitch.org" target="_blank">http://www.freeswitch.org</a><br>
<a href="http://confluence.freeswitch.org" target="_blank">http://confluence.freeswitch.org</a><br>
<a href="http://www.cluecon.com" target="_blank">http://www.cluecon.com</a><br>
<br>
FreeSWITCH-powered IP PBX: The CudaTel Communication Server<br>
<a href="http://www.cudatel.com" target="_blank">http://www.cudatel.com</a><br>
<br>
FreeSWITCH-users mailing list<br>
<a href="mailto:FreeSWITCH-users@lists.freeswitch.org" target="_blank">FreeSWITCH-users@lists.freeswitch.org</a><br>
<a href="http://lists.freeswitch.org/mailman/listinfo/freeswitch-users" target="_blank">http://lists.freeswitch.org/mailman/listinfo/freeswitch-users</a><br>
UNSUBSCRIBE:<a href="http://lists.freeswitch.org/mailman/options/freeswitch-users" target="_blank">http://lists.freeswitch.org/mailman/options/freeswitch-users</a><br>
<a href="http://www.freeswitch.org" target="_blank">http://www.freeswitch.org</a><br></blockquote></div><br></div></div>
<br>_________________________________________________________________________<br>
Professional FreeSWITCH Consulting Services:<br>
<a href="mailto:consulting@freeswitch.org">consulting@freeswitch.org</a><br>
<a href="http://www.freeswitchsolutions.com" target="_blank">http://www.freeswitchsolutions.com</a><br>
<br>
Official FreeSWITCH Sites<br>
<a href="http://www.freeswitch.org" target="_blank">http://www.freeswitch.org</a><br>
<a href="http://confluence.freeswitch.org" target="_blank">http://confluence.freeswitch.org</a><br>
<a href="http://www.cluecon.com" target="_blank">http://www.cluecon.com</a><br>
<br>
FreeSWITCH-powered IP PBX: The CudaTel Communication Server<br>
<a href="http://www.cudatel.com" target="_blank">http://www.cudatel.com</a><br>
<br>
FreeSWITCH-users mailing list<br>
<a href="mailto:FreeSWITCH-users@lists.freeswitch.org">FreeSWITCH-users@lists.freeswitch.org</a><br>
<a href="http://lists.freeswitch.org/mailman/listinfo/freeswitch-users" target="_blank">http://lists.freeswitch.org/mailman/listinfo/freeswitch-users</a><br>
UNSUBSCRIBE:<a href="http://lists.freeswitch.org/mailman/options/freeswitch-users" target="_blank">http://lists.freeswitch.org/mailman/options/freeswitch-users</a><br>
<a href="http://www.freeswitch.org" target="_blank">http://www.freeswitch.org</a><br></blockquote></div><br></div></div></div>