Bonjour,
Chez un de mes client J'ai une ligne SIP OVH qui fonctionne normalement, mais lors de la mise en service de cette ligne j'ai router les ports 10000 à 20000 UDP vers le serveur Asterisk, du coup vu le nombre de ports, mon réseau devient une vraie passoire !!!
Faut-il vraiment router autant de ports ? sachant que mon installation est toutes petites, elle ne comporte que 4 téléphones.
Merci
Chaque communication consomme 4 ports, donc il n'est utile d'ouvrir une telle gamme de ports pour une petite installation.
Cependant je ne comprend pas pourquoi tu ouvre ces ports ?
Si ton asterisk et les téléphones sont derrière le même routeur nat ce n'est pas utile.
la plage de port se regle dans le rtp.conf - tu adaptes ensuite ton firewall
Sécurisez votre asterisk, lisez ce post du forum: http://www.asterisk-france.org/showt...-recapitulatif et votre patton: http://www.asterisk-france.org/threa...tage-via-tiers - comprenez le nat : http://www.asterisk-france.org/threa...dio-pas-de-son
Merci pour les réponses...
Je vais faire des essais pour voir ce que ça donne en les fermants, en réalité j'ai ouvert ces port car je n'arrivais pas a faire marcher la ligne sip OVH, j'ai ouvert les ports et fait d'autres modifs en même temps et ça a marché du coup je ne sais pas grâce a quoi !!!!
Alors je tâtonne pour sécuriser !!!
Ouvrir 2 ports suffit, non ? Bon bien sur, les sockets marchent par paire mais pour le firewall , seulement 2 nous interessent.Envoyé par tanguyd
Alors la , je serai beaucoup moins categorique. Si on redirige les ports , on est sur que ca marche. Si on ne le fait pas, oui, ca peut marcher ( ou pas ou partiellement ) en fonction de la config et du routeur. Bien sur, les comms locales ne sont pas impactées mais la on parle d'une ligne sip avec un fournisseur externe.Cependant je ne comprend pas pourquoi tu ouvres ces ports ?
Si ton asterisk et les téléphones sont derrière le même routeur nat ce n'est pas utile.
Un range d'une centaine de ports est largement suffisant pour les petites install, plus ne gene pas vraiment. L'idee est que la config firewall est toujours cohérente avec les valeurs de rtp.conf comme indiqué par Jean.
ovh a encore une un soucis ( blackout de 5minutes environ ) cet apres midi. Peut etre as tu fait des tests à ce moment la.
Un peu HS: J'ai coupé mon firewall quelques heures chez moi chez moi pour des tests cet après midi avec d'autres softs sur mon asterisk perso et de tests. Ce qui est dingue, c'est que seulement apres 2 heures , je subissais une attaque bruteforce. ( qui n'avait aucune chance d'aboutir sur cette machine ). Il est vraiment conseiller de travailler par liste blanche sur le port 5060 ( ou mieux un autre en changeant la config par defaut ) ainsi que d'utiliser les sip permit deny masks quand c'est possible. Les scans et attaques sur le port 5060 sont desormais très très nombreuses. Les archives du forum sont pleines de conseils sur ce point a ne vraiment pas négliger.
Francois.
Quand on a aucune connexion extérieur en tant que client, que les seuls liens extérieurs sont des enregistrement de trunk, c'est bien asterisk en tant que client qui va chercher le serveur du fournisseur non ? Pourquoi doit-on ouvrir des ports dans ce cas là ? la connexion n'est-elle pas initiée par asterisk lors de l'enregistrement ?
Pour le moment je n'ai ouvert aucun port vers mon asterisk, et à part mes soucis actuel que je n'avais aps avant avec OVH, tout marche bien (test avec une seule ligne en même temps)
L'ouverture de port normalement permet à un téléphone sur un autre réseau de venir se connecter sur asterisk, comme dans un mode centrex non ?
Il faut passer un peu de temps pour regarder comment sip fonctionne mais recherche sur google "sip nat transversal" et tu verras le soucis. Commence par regarder comment sip marche d'abord, puis le nat, puis la traversee du sip par le ant. Moi aussi au tout debut , ca m'a perturbé par rapport aux autres protocoles reseaux.
En gros, sip va annoncer l'adresse RTP et le port mais si le serveur est derriere un nat, il annonce "son" port ( celui de la machine ) mais si tu es derriere un nat, ce port peut etre different que le nat alloue a l'exterieur (ip publique ).
Il faut bien comprendre que les ports sont annoncés dans les paquets sip...A priori , d'apres ta reponse , tu ne consideres pas ce point. Regarde attentivement comment marche SIP.
La plupart des routeurs essaie d'allouer le meme port mais ce n'est pas toujours le cas ou alors impossible car une autre regle nat est deja presente ouverte par un autre client sur le reseau derriere le nat.
Il y a plein de solutions plus ou moins simples pour régler ce probleme et essayer de le faire en securité. Mais ca serait un peu long a detailler et je n'ai pas l'expertise suffisante pour le faire probablement correctement.
Quand ca marche sans rien faire en supposant que tu sois derriere une box grand public, c'est par exemple ( liste non limitative )
- que tu n'as pas de regles de firewall strictes au niveau d'asterisk puisque tu dois forcemment les modifier pour sip , rtp et qu'il vaut mieux le faire en liste blanche si possible.
- que ton routeur a un timeout suffisamment important dans ses regles par rapport au paquets transitant entre ton asterisk et ton fournisseur. Certains routeurs ont un nat mapping valide seulement pendant 30 secondes.
- que ton routeur, coup de chance encore, alloue le meme port au niveau du nat qu'au niveau du serveur. Considerer que ca sera toujours le cas est une erreur.
- qu'un autre client derriere ton nat ne s'est pas vu alloué un des ports rtps externes par le nat mapping du routeur. ( generant un pb meme si peu frequent et aleatoire )
Bref, si quelqu'un demande la config pour les ports rtp, pour faire simple et sur ( meme si ce n'est pas la seule solution ) , un forward statique des ports rtp vers le serveur asterisk est la configuration qui marchera a 100%.
J'ai peut etre fait des erreurs dans cette reponse rapide et ca fait longtemps que je ne me suis pas penché la dessus. En tout cas , pour avoir installé pas mal d'asterisk derriere des routeurs en NAT divers et variés, la pratique confirme cela.
My €0.02
Francois.
Merci pour ces détails.
Quelle différence entre utiliser un téléphone sip et un serveur asterisk en tant que client ? pourquoi n'a-t-on pas besoin d'ouvrir de ports quand on utilise un téléphone à la place d'asterisk ?
La problematique de traversee du nat est la meme mais le fournisseur utilise souvent d'autres techniques, turn, stun, ice mais aussi sbc ( avec l'envoi de packets reguliers pour percer le firewall )... Le fait que asterisk soit un B2BUA doit changer et impliquer d'autre choses mais je n'ai pas le temps de me pencher la dessus pour etayer cela et cela depends de pleins de parametres propre a chaque cas. Regarde les rfcs. Toutes ces solutions sont inutiles avec asterisk si tu forwardes les ports. Il y a des fournisseurs sip qui lisent le forum. Peut etre en diront ils plus. Ca m'interesserait aussi mais on est hors sujet par rapport a la demande initiale. Un peu de lecture: http://www.rfc-editor.org/rfc/rfc6314.txt
Je suis pragmatique, je forwarde un petit range de ports avec Asterisk. Le firewall ne laisse passer de toutes facons qu'une liste blanche d'ips et ca marche a tous les coups et tout le temps. Sans cela, ca ne marche pas tout le temps...
Francois.
Merci pour toutes ces infos très utilises, c'est vrai que les attaques via le port SIP sont très fréquentes, 5 min aprés avoir routé le port vers mon Asterisk je voyais arriver des tentatives d'enregistrement avec des numéro hors de mon plan de num !!!
J'ai un autre phénomène qui me parait extrêmement troublant, j'ai installé Asterisk 11 sur Centos 6, deux semaines après avoir mis le serveur en prod, le mot de passe root avais changé, impossible de m'y connecter, j'ai du intervenir physiquement sur le serveur pour le réinitialisé a par ça rien d'autre n'avait changé, là ou je suis perplexe c'est que le port 22 pour la connexion SSL n'est pas routé depuis l’extérieur, je me connecte en VPN chez mon client pour accédé a la config...
Bref a mon avis, la sécurité du réseau devient indispensable
Règles de messages
Répondre avec citation