Zdravím. Může mi někdo pomoci s nastavením pro přesměrování SIP provozu?
Je SIP server na 1.2.3.4 a SIP klienti přistupují na MT 4.3.2.1 na kterém je chci směrovat na tu 1.2.3.4
Důvod proč to takto řeším je ten, že klienti nemohou přistupovat na SIP porty 5060 a 5061 které vlastní 1.2.3.4 (můžou jen na 80) a do něj nemůžu zasahovat tak to chci na 4.3.2.1 zpřístupnit pomocí portu 80 a pak přesměrovat na 1.2.3.4:SIP
Zatím to řeším přes L7 kde pomocí ^(invite|register|cancel) sip[ - -~]*sip/[0-2]\.[0-9] rozlišuji příchozí provoz na tu 80 ale nedaří se mi uskutečnit hovor.
Sice se přihlásí ale to je tak všechno. Může mi někdo poradit řešení jak toho mohu docílit?
Předem děkuji
❗️Toto je původní verze internetového fóra ISPforum.cz do února 2020 bez možnosti registrace nových uživatelů. Aktivní verzi fóra naleznete na adrese https://telekomunikace.cz
Přesměrování SIP
Asi problém v tom, že port 5060 je jen signalizační, vlastní hovorový stream jde pomocí RTP protokolu po jiném dynamickém portu (který si při nahození hoovru obě strany dohodnou pomocí SIP protokolu, stejně jako použižý audio/video kodek). Takže potřebuješ ještě minimálně jeden port, který se bude přesměrovávat a dále tu VoIP ústřednu nastavit (nebo co ti dělá roli media serveru/outbound proxy), aby pro RTP používal jen ten jeden další port. Pak to s trochou snahy půjde přesměrovávat. A to pomíjjím případ, že ten RTP stream může jít přímo mezi VoIP klienty mimo tu SIP ústřednu (záleží, jak je nastaveno směrování streamu, zda je povolen RE-INVITE).
To mají klienti povolen jen port 80/UDP? To je takové divné, pokud to někdo už pečlivě filtrije, tak snad povolí jen TCP/80 pro web a UDP je zařízlé (SIP protokol na TCP není moc čato vidět, pokud s enepoužívá zabezpečená varianta pomocí TLS).
To mají klienti povolen jen port 80/UDP? To je takové divné, pokud to někdo už pečlivě filtrije, tak snad povolí jen TCP/80 pro web a UDP je zařízlé (SIP protokol na TCP není moc čato vidět, pokud s enepoužívá zabezpečená varianta pomocí TLS).
0 x
seš si jistej? já sem vždycky viděl stream na 5060 ale můžu se mýlit. Nicméně MKčko umí dokonale rozpoznat SIP "Connection Type: sip". Uvšem to musíš udělat kompletně včetně všeho. Tak či tak si myslim že to je blbost. To neni net ale jeho zbytky.
0 x
Supermicro + Mikrotik = SuperTik
high speed routery podle požadavků
high speed routery podle požadavků
RTP stream stream na 5060 neviděl nikdy... Je ot už základní myšlenka SIPu, oddělit signalizaci od přenosu dat (podobně jako v FTP je řídící spojení a datové zvlášť).
Jistě by šlo pro RTP použít 5060, ake pak RTP server bude na jíné IP než SIP server. A obávám se, že by to i tam většina VoIP telefonů nerozdejchalo.
Jo, to je pravda, že místo L7 filtru jde použít ve firewall detekci na connection type=SIP, které fiunguje spolehlivě. je to tak, že connection-type=SIP plus connection-state=new/established chytá vlastní SIP a connection-type=SIP plus connection-state=related identifikuje RTP stream (a/nebo ICMP chybové bláboly).
Jistě by šlo pro RTP použít 5060, ake pak RTP server bude na jíné IP než SIP server. A obávám se, že by to i tam většina VoIP telefonů nerozdejchalo.
Jo, to je pravda, že místo L7 filtru jde použít ve firewall detekci na connection type=SIP, které fiunguje spolehlivě. je to tak, že connection-type=SIP plus connection-state=new/established chytá vlastní SIP a connection-type=SIP plus connection-state=related identifikuje RTP stream (a/nebo ICMP chybové bláboly).
0 x