No, il tcpdump devi avviarlo da shell a mano dando l'opportuno comando Prova a studiarti l'help della versione installata di tcpdump e vedi se ne vieni a capo, non mi ricordo a memoria i vari flag da dare ma devi sicuramente selezionare l'interfaccia (wanptm0/ptm0/waneth4/ o che altro, dipende dalla tua config) e il percorso dove salvare al cattura.
Non ho capito quali porte hai cambiato. Tieni presente che in SIP ci sono di mezzo una porta per ogni proxy, una porta per ogni registrar, una porta per ogni endpoint sip locale, e due intervalli di porte RTP, uno per lato tra cui scegliere per ogni conversazione simultanea due porte, una per l'audio in uscita e una per l'audio in ingresso, entrambe da scegliere più o meno random ad ogni telefonata in ingresso/uscita e da sbloccare dinamicamente nel firewall ogni volta che questo accade. Sono tutte porte UDP, quindi senza connessione, e pertanto vanno tenute aperte in qualche modo, per questo esiste l'helper.
Il firewall è un meccanismo che regola tutte le connessioni che il router fa e quelle che lo attraversano, se lo disattivi non funziona più nulla. Se lo disattivi non funziona nemmeno più l'helper incaricato di aprire le porte quando serve, non funziona più nemmeno il forwarding delle porte da rigirare in lan e via dicendo.
Quello che hai disattivato sulla VSR e che li si chiama "Firewall" è in verità un piccolo insieme di regole di protezione che "osservano" ed eventualmente limitano alcuni tipi di connessioni con comportamenti sospetti e che vengono classificate come tentativi di attacco. Queste sicuramente non ti stanno creando alcun problema.
L'helper va tenuto attivo almeno che tu non abbia configurato nel firewall delle regole statiche che acconsentono al passaggio di traffico voip sulle opportune porte che l'helper apre in automatico.
Il tcpdump ti serve per capire esattamente quali porte sta usando il tim hub, da quali porte il proxy Vodafone ti risponde, e quali tenta di usare per il traffico RTP.
Da quello che descrivi non sembrano esserci problemi sulle porte RTP, in quei casi senti il telefono squillare ma la comunicazione ti risulta muta. A naso pare che la porta di segnalazione in ingresso del tim hub non sia quella che Vodafone tenta di contattare, o che per qualche ragione non sia configurata correttamente per restare aperta. Ti si apre quando fai la telefonata in uscita, o registri il numero o quando esegui una qualsiasi altra operazione di segnalazione per quello che ti dicevo prima, e cioè che le porte UDP vengono mantenute aperte finchè al firewall pare opportuno, per poi essere chiuse, mancando una logica di "connessione" che permette di stabilire correttamente quando chiuderle. Queste richieste di segnalazione che il tim hub manda usano questa porta come porta mittente per pacchetti in uscita, il firewall la mantiene aperta (finchè pare a lui) in ingresso per acconsentire all'arrivo delle risposte. L'helper sip del firewall tiene traccia di tutto ciò che accade su una certa porta e fa in modo che il firewall capisca da solo sbirciando il traffico quando è il caso di mantenere quelle porte aperte.
