1. ایجاد Rule مخصوص VoIP

در فایروال، یک قانون (Firewall Rule) برای اجازه دادن به ترافیک VoIP ایجاد کنید:

• مبدا (Source): شبکه داخلی یا سرور PBX

• مقصد (Destination): آدرس سرور VoIP یا IP مرکز تماس ابری

• پورت/سرویس: UDP 5060، UDP 10000–65000

• اقدام (Action): Allow (اجازه عبور)

اگر فایروال از NAT (Network Address Translation) استفاده می‌کند، اطمینان حاصل کنید که ترافیک SIP و RTP به درستی ترجمه شود.

2. تنظیم NAT و Port Forwarding

اگر سیستم تلفنی شما در داخل شبکه (Private IP) قرار دارد و سرویس VoIP در خارج (Public) است، باید NAT تنظیم شود:

• برای SIP پورت 5060 را از WAN به IP داخلی PBX هدایت کنید.

• برای RTP محدوده پورت‌های 10000–65000 را نیز فوروارد کنید.

• مطمئن شوید Source NAT (Masquerade) برای تماس‌های خروجی فعال است.

3. افزایش Timeout برای ارتباط UDP

ترافیک VoIP معمولاً از UDP استفاده می‌کند. در بسیاری از فایروال‌ها مقدار پیش‌فرض Timeout برای UDP حدود 30 تا 60 ثانیه است.
این مقدار باید افزایش یابد (مثلاً 120 یا 180 ثانیه) تا تماس‌ها قطع نشوند.

در فایروال‌های مختلف:

• MikroTik: /ip firewall connection tracking set udp-timeout=120

• Sophos: set advanced-firewall udp-timeout-stream 150

• Fortigate: set udp-idle-timer 150

4. غیرفعال کردن SIP ALG یا SIP Helper

تقریباً در تمام فایروال‌ها گزینه‌ای به نام SIP ALG (Application Layer Gateway) وجود دارد که هدفش کمک به عبور ترافیک SIP است.
اما در عمل، این ویژگی اغلب باعث بروز مشکلاتی مثل ثبت نشدن تلفن‌ها یا قطع صدا از یک سمت تماس می‌شود.

بنابراین توصیه می‌شود SIP ALG را غیرفعال کنید:

• در MikroTik: /ip firewall service-port disable sip

• در Fortigate: config system settings → set sip-helper disable

• در Sophos: system system_modules sip unload

5. تنظیم QoS (کیفیت سرویس)

برای جلوگیری از افت کیفیت صدا در زمان بار زیاد شبکه، باید ترافیک VoIP را اولویت‌دهی (Priority) کنید.
در بخش QoS یا Traffic Shaping فایروال:

• ترافیک مربوط به پورت 5060 و محدوده RTP را در اولویت بالا قرار دهید.

• می‌توانید پهنای باند حداقلی برای تماس‌های صوتی رزرو کنید (Guaranteed Bandwidth).

6. بررسی تنظیمات امنیتی (IPS و DoS Protection)

فایروال‌هایی که سیستم IPS (Intrusion Prevention System) یا DoS Protection دارند، ممکن است ترافیک VoIP را به‌عنوان حمله شناسایی کنند.
برای رفع این مشکل:

• یک استثناء (Exception) برای IP سرور VoIP و پورت‌های SIP/RTP ایجاد کنید.

• در صورت نیاز، حفاظت UDP Flood را برای این پورت‌ها غیرفعال کنید.

7. تست عملکرد و بررسی لاگ‌ها

پس از انجام تنظیمات:

• تماس داخلی و خارجی برقرار کنید.

• بررسی کنید آیا صدا از هر دو سمت شنیده می‌شود یا خیر.

• در قسمت Log فایروال، ببینید بسته‌های VoIP (SIP و RTP) مسدود نشده باشند.

در صورت مشاهده Packet Drop یا Deny در پورت‌های مربوطه، قوانین را اصلاح کنید.