Kereskedelmi, FreeBSD-s tűzfal vs. SIP NAT = fail

 ( trey | 2014. szeptember 13., szombat - 7:37 )

A múltkori GRE conntrack fail után kiderült, hogy a kereskedelmi, FreeBSD-s tűzfalnak nem csak azzal, hanem SIP NAT-olással is problémái vannak. Ez megint egy olyan funkció, amit egy csöves, linuxos tűzfal már majd' egy évtizeddel ezelőtt is probléma nélkül megoldott. A gyártó válasza:

Idézet:
A leírt probléma, egy ismert hiányosság, a tűzfal nem írja át a SIP protokollt NAT-olás közben. Legközelebb 2.0-ra várható megoldása.

Hja. Kár, hogy jelenleg a 9.1.x.x firmware-nél járunk. A tűzfal gyártóját közben felvásárolták, a terméket rebrandelték, az új, rebrandelt termékbe már 1.x sorozatú firmware van. Hogy a régi firmware-be belekerül-e ez a funkció? Arra még várom a választ. Van egy baljós érzésem...

Hozzászólás megjelenítési lehetőségek

A választott hozzászólás megjelenítési mód a „Beállítás” gombbal rögzíthető.

Igazából a SIP ALG nem megy neki. De a SIP serverek szerencsére úgy hangolhatók, hogy beállíthatók, hogy nat mögött vannak és akkor megy a keepaliv. Ezzel pedig kikerülhető a probléma.

Az ALG egy csomó terméknél bukik.

Valami linked van arról, hogy hogyan kéne a SIP szervert állítani? Egy Asterisk van Linux NAT mögött, arra csattantak fel a telefonok a FreeBSD-s tűzfal mögül. Amíg a FreeBSD-s tűzfal helyett egy linuxos volt (csak beszart), addig semmi gond sem volt. Ahogy ki lett cseréve, elkezdődtek a nem beregisztrálási problémák.

A problémát sikerült megkerülni egyébként site-to-site VPN-nel (illetve meg lehetne még egy SIP proxy építésével, amit azért kerüljünk le 10 telefonra, mert drágább lesz a leves mint a hús), ugye így nincs NAT csak route-olás. De azért a jövőre nézve érdekelne, amiről beszélsz. Illetve, hogy egy problémáról beszélünk-e.

Köszi.

--
trey @ gépház

http://www.voip-info.org/wiki/view/Asterisk+sip+nat

Bár itt nem beregelésről van szó, hanem arról, hogy az rtp nem talál utat. Nem feltétlenül értem, hogy honnan jönnek a kliensek. Bublicból a nat mögött levő szerverre?

Jó. Nem egy dologról beszélünk. Az be van állítva a szerveren.

Tegyük fel, hogy van egy Asterisk szerver NAT mögött ami fix IP-s NAT mögötti készülékeket (nyilván jelszóval stb.) enged csatlakozni az interneten keresztül.

Van egy telephely mondjuk 20 telefonnal. A telefonok eddig az interneten keresztül csatlakoztak, mert valaki így tervezte meg a rendszert. Amíg a telephelyen egy linuxos NAT mögött voltak, teljesen jól működött minden. Majd ki lett cserélve a linuxos tűzfal egy FreeBSD-sre.

Onnantól kezdve ami évek óta működött, már nem. A gyártó válaszát feljebb olvashatod.

--
trey @ gépház

Így már értem. Nat mögül érkező kliens akar Nat mögött levő SIP szervert elérni. Hol, melyik telephelyen van a problémás eszköz?

A telefonok oldalán.

--
trey @ gépház

"A problémát sikerült megkerülni egyébként site-to-site VPN-nel "

Vagy mégsem.

--
trey @ gépház

Ahogy már kérdeztem: public stun?

Köszi, de már megoldódott. Távolról nem volt lehetőség aprólékos debugolásra pénteken, mert már senki sem volt ott, ezért a "beregisztrált, működik" feltételezés volt. Később kiderült, hogy ez azért így kevés. A site-to-site VPN és a route-olás miatt fel kellett venni az Asterisk konfigba a távoli network-öt a "localnet =" mellé. Amíg NAT volt, ez nyilván nem kellett.

Így már jónak tűnik minden. Persze ez még mindig csak az eredeti probléma megkerülése és nem megoldása.

--
trey @ gépház