
Wes,<br><br>The way the phone proxy works is by putting the phone into secure mode.  So it actually sets up a TLS tunnel between itself and the ASA.  Since it is a TLS tunnel that all routers understand it will open up the incoming ports to it.  Atleast this is how I have seen it work and thats what documentation states.<br>

<br>Craig<br><br><div class="gmail_quote">On Thu, May 7, 2009 at 1:55 PM, Wes Sisk <span dir="ltr">&lt;<a href="mailto:wsisk@cisco.com">wsisk@cisco.com</a>&gt;</span> wrote:<br><blockquote class="gmail_quote" style="border-left: 1px solid rgb(204, 204, 204); margin: 0pt 0pt 0pt 0.8ex; padding-left: 1ex;">


<div bgcolor="#ffffff" text="#000000">

Hmm, I&#39;m going to need a little more convincing on this one.<br>

<br>

phone1----------homerouter-----------ASA--(typical enterprise with

cm)--phone2<br>

10.10.11.2   10.10.11.1 10.10.10.76  <br>

*homerouter doubles as a firewall as is common<br>

<br>

In the ORCAck that leaves phone1 offers to receive audio on 10.10.11.2

port 33333.<br>

homerouter is blissfully unaware of SCCP so passes the IP datagram

along after rewriting IP headers for the 10.10.10.76 network<br>

this gets through ASA with any translation it does, then on to CM, then

on to phone2.<br>

<br>

phone2 begins to transmit audio.  Audio goes to the IP:Port fixed up by

ASA.  ASA rewrites IP and UDP and passes along back toward home router.<br>

<br>

Now comes the challenge.  homerouter never knew it should listen on

port 33333.  It would have to be SCCP aware to do that.  It would have

to be SCCP aware to rewrite that to any other port number.<br>

<br>

So the audio via RTP/UDP/IP is back to the &quot;outside&quot; interface of

homerouter, but how does it get through to phone1?<br>

<br>

/Wes<br>

<br>

<br>

On Thursday, May 07, 2009 10:47:36 AM, Jason Burns

<a href="mailto:burns.jason@gmail.com" target="_blank">&lt;burns.jason@gmail.com&gt;</a> wrote:<br>

<blockquote type="cite">Ryan,<br>

  <br>

Even though the IP Phone would be embedding it&#39;s own private IP address

inside of SCCP ORCAck messages, the ASA Phone Proxy feature would know

the message was really sourced from the public IP. The Phone Proxy

would handle that, so that the Linksys doesn&#39;t have to worry about SCCP

fixup.<br>

  <br>

One important caveat is that with PAT, not al homel routers support a

TFTP Client connection like the phone tries to do to the ASA Phone

Proxy.<br>

  <br>

TFTP is destined to UDP port 69 for the initial Read Request, then a

new connection on an ephemeral port is negotiated, and not all home

routers know to look for this to open the new UDP Port.<br>

  <br>

If you run into TFTP problems you will have to configure the IP Phone&#39;s

IP to be in the DMZ so that all ports get forwarded to the IP Phone.<br>

  <br>

So, the short answer is that just about any home router should work

with the ASA Phone Proxy. Provided you&#39;re on the very latest ASA code

(as PhoneProxy is still a very new product).<br>

  <br>

  <div class="gmail_quote">On Thu, May 7, 2009 at 10:29 AM, Ryan

Ratliff <span dir="ltr">&lt;<a href="mailto:rratliff@cisco.com" target="_blank">rratliff@cisco.com</a>&gt;</span>

wrote:<br>

  <blockquote class="gmail_quote" style="border-left: 1px solid rgb(204, 204, 204); margin: 0pt 0pt 0pt 0.8ex; padding-left: 1ex;">Your

Linksys router is going to be doing NAT/PAT and I&#39;m pretty confident

they don&#39;t support SCCP fixup.  You will need the phone to either be in

the DMZ or have a vpn tunnel behind the Linksys.<br>

    <br>

-Ryan

    <div>

    <div><br>

    <br>

On May 7, 2009, at 10:12 AM, Miller, Steve wrote:<br>

    <br>

Yes. I am just trying to make sure that there is nothing other than

generic router (Linksys or whatever someone would normally have in

their home) and the phone which are necessary to work with the the

ASA55XX back at the network site.  We have been using VPN3002 boxes

which are expensive and sometimes problematic to set up/program. Thank

you for your feedback!<br>

    <br>

Steve Miller<br>

Telecom Engineer<br>

Dickstein Shapiro LLP<br>

1825 Eye Street NW | Washington, DC 20006<br>

Tel (202) 420-3370| Fax (202) 330-5607<br>

    <a href="mailto:MillerS@dicksteinshapiro.com" target="_blank">MillerS@dicksteinshapiro.com</a><br>

    <br>

    <br>

    <br>

From: Matthew Loraditch [mailto:<a href="mailto:MLoraditch@heliontechnologies.com" target="_blank">MLoraditch@heliontechnologies.com</a>]<br>

Sent: Thursday, May 07, 2009 10:08 AM<br>

To: Miller, Steve; Cisco VOIP<br>

Subject: RE: Deploying 7961 Phones Remotely with ASA5500?<br>

    <br>

What do you mean by necessary? If you can get your Linksys to setup a

vpn tunnel then yes<br>

    <br>

    <br>

    <br>

    <br>

    <br>

Matthew Loraditch<br>

1965 Greenspring Drive<br>

    <br>

Timonium, MD 21093<br>

    <a href="mailto:support@heliontechnologies.com" target="_blank">support@heliontechnologies.com</a><br>

(p) (410) 252-8830<br>

(F) (443) 541-1593<br>

    <br>

Visit us at <a href="http://www.heliontechnologies.com" target="_blank">www.heliontechnologies.com</a><br>

Support Issue? Email <a href="mailto:support@heliontechnologies.com" target="_blank">support@heliontechnologies.com</a>

for fast assistance!<br>

    <br>

    <br>

    <br>

From: Miller, Steve [mailto:<a href="mailto:MillerS@DicksteinShapiro.COM" target="_blank">MillerS@DicksteinShapiro.COM</a>]<br>

Sent: Thursday, May 07, 2009 10:05 AM<br>

To: Matthew Loraditch<br>

Subject: Re: Deploying 7961 Phones Remotely with ASA5500?<br>

    <br>

    <br>

    <br>

Thanks. Only the phone is necessary, correct?<br>

    <br>

    <br>

Steve Miller<br>

Telecom Engineer<br>

Dickstein Shapiro LLP<br>

1825 Eye Street NW<br>

Washington, DC 20006<br>

Tel (202) 420-3370<br>

Fax (202)-330-5607<br>

    <a href="mailto:millers@dicksteinshapiro.com" target="_blank">millers@dicksteinshapiro.com</a><br>

    <br>

From: Matthew Loraditch<br>

To: Miller, Steve; Cisco VOIP<br>

Sent: Thu May 07 09:45:41 2009<br>

Subject: RE: Deploying 7961 Phones Remotely with ASA5500?<br>

    <br>

Only the hardware needed to establish connectivity back to the cluster

(VPN or direct via a t-1 or other circuit), and provide power for the

phone.<br>

    <br>

You could use an ASA5505 and that does poe and the vpn tunnel all in one<br>

    <br>

    <br>

    <br>

    <br>

    <br>

Matthew Loraditch<br>

1965 Greenspring Drive<br>

    <br>

Timonium, MD 21093<br>

    <a href="mailto:support@heliontechnologies.com" target="_blank">support@heliontechnologies.com</a><br>

(p) (410) 252-8830<br>

(F) (443) 541-1593<br>

    <br>

Visit us at <a href="http://www.heliontechnologies.com" target="_blank">www.heliontechnologies.com</a><br>

Support Issue? Email <a href="mailto:support@heliontechnologies.com" target="_blank">support@heliontechnologies.com</a>

for fast assistance!<br>

    <br>

    <br>

    <br>

From: <a href="mailto:cisco-voip-bounces@puck.nether.net" target="_blank">cisco-voip-bounces@puck.nether.net</a>

[mailto:<a href="mailto:cisco-voip-" target="_blank">cisco-voip-</a><a href="mailto:bounces@puck.nether.net" target="_blank">bounces@puck.nether.net</a>]

On Behalf Of Miller, Steve<br>

Sent: Thursday, May 07, 2009 9:34 AM<br>

To: Cisco VOIP<br>

Subject: [cisco-voip] Deploying 7961 Phones Remotely with ASA5500?<br>

    <br>

    <br>

    <br>

Simple question:<br>

    <br>

    <br>

    <br>

What hardware is required (if any) at the remote location to allow a

Cisco phone to work?  My understanding was that hardware was

unnecessary....that the phone could just hang off a regular Linksys

router at a person&#39;s home. Please advise.  Thank you!<br>

    <br>

    <br>

    <br>

Steve Miller<br>

Telecom Engineer<br>

Dickstein Shapiro LLP<br>

1825 Eye Street NW | Washington, DC 20006<br>

Tel (202) 420-3370| Fax (202) 330-5607<br>

    <a href="mailto:MillerS@dicksteinshapiro.com" target="_blank">MillerS@dicksteinshapiro.com</a><br>

    <br>

    <br>

    <br>

    </div>

    </div>

--------------------------------------------------------This e-mail

message and any attached files are confidential and are intended solely

for the use of the addressee(s)named above. This communication may

contain material protected by attorney-client, work product, or other

privileges. If you are not the intended recipient or person responsible

for delivering this confidentialcommunication to the intended

recipient, you have received this communication in error, and any

review, use, dissemination, forwarding, printing, copying, or other

distribution of this e-mail message and any attached files is strictly

prohibited. Dickstein Shapiro reserves the right to monitor any

communication that is created, received, or sent on its network.  If

you have received this confidential communication in error, please

notify the sender immediately by reply e-mail message and permanently

delete the original message.  To reply to our email administrator

directly, send an email to <a href="mailto:postmaster@dicksteinshapiro.com" target="_blank">postmaster@dicksteinshapiro.com</a>

Dickstein Shapiro LLPhttp://<a href="http://www.DicksteinShapiro.com" target="_blank">www.DicksteinShapiro.com</a>

==============================================================================--------------------------------------------------------This

e-mail message and any attached files are confidential and are intended

solely for the use of the addressee(s)named above. This communication

may contain material protected by attorney-client, work product, or

other privileges. If you are not the intended recipient or person

responsible for delivering this confidentialcommunication to the

intended recipient, you have received this communication in error, and

any review, use, dissemination, forwarding, printing, copying, or other

distribution of this e-mail message and any attached files is strictly

prohibited. Dickstein Shapiro reserves the right to monitor any

communication that is created, received, or sent on its network.  If

you have received this confidential communication in error, please

notify the sender immediately by reply e-mail message and permanently

delete the original message.  To reply to our email administrator

directly, send an email to <a href="mailto:postmaster@dicksteinshapiro.com" target="_blank">postmaster@dicksteinshapiro.com</a>

Dickstein Shapiro LLPhttp://<a href="http://www.DicksteinShapiro.com" target="_blank">www.DicksteinShapiro.com</a>

==============================================================================

    <div><br>

    <br>

-------------------------------------------------------- This e-mail

message and any attached files are confidential and are intended solely

for the use of the addressee(s) named above. This communication may

contain material protected by attorney-client, work product, or other

privileges. If you are not the intended recipient or person responsible

for delivering this confidential communication to the intended

recipient, you have received this communication in error, and any

review, use, dissemination, forwarding, printing, copying, or other

distribution of this e-mail message and any attached files is strictly

prohibited. Dickstein Shapiro reserves the right to monitor any

communication that is created, received, or sent on its network. If you

have received this confidential communication in error, please notify

the sender immediately by reply e-mail message and permanently delete

the original message. To reply to our email administrator directly,

send an email to <a href="mailto:postmaster@dicksteinshapiro.com" target="_blank">postmaster@dicksteinshapiro.com</a>

Dickstein Shapiro LLP <a>http://</a><a href="http://www.DicksteinShapiro.com" target="_blank">www.DicksteinShapiro.com</a>

==============================================================================<br>

    <br>

    </div>

_______________________________________________<br>

cisco-voip mailing list<br>

    <a href="mailto:cisco-voip@puck.nether.net" target="_blank">cisco-voip@puck.nether.net</a><br>

    <a href="https://puck.nether.net/mailman/listinfo/cisco-voip" target="_blank">https://puck.nether.net/mailman/listinfo/cisco-voip</a><br>

    <br>

_______________________________________________<br>

cisco-voip mailing list<br>

    <a href="mailto:cisco-voip@puck.nether.net" target="_blank">cisco-voip@puck.nether.net</a><br>

    <a href="https://puck.nether.net/mailman/listinfo/cisco-voip" target="_blank">https://puck.nether.net/mailman/listinfo/cisco-voip</a><br>

  </blockquote>

  </div>

  <br>

  <pre><hr size="4" width="90%">

_______________________________________________

cisco-voip mailing list

<a href="mailto:cisco-voip@puck.nether.net" target="_blank">cisco-voip@puck.nether.net</a>

<a href="https://puck.nether.net/mailman/listinfo/cisco-voip" target="_blank">https://puck.nether.net/mailman/listinfo/cisco-voip</a>

  </pre>

</blockquote>

<br>

</div>


<br>_______________________________________________<br>

cisco-voip mailing list<br>

<a href="mailto:cisco-voip@puck.nether.net">cisco-voip@puck.nether.net</a><br>

<a href="https://puck.nether.net/mailman/listinfo/cisco-voip" target="_blank">https://puck.nether.net/mailman/listinfo/cisco-voip</a><br>

<br></blockquote></div><br>