Affichage des résultats 1 à 7 sur 7

Discussion: XIVO - Connexion depuis internet

Vue hybride

Message précédent Message précédent   Message suivant Message suivant
  1. #1
    Membre Junior
    Date d'inscription
    avril 2014
    Localisation
    Roubaix
    Messages
    16
    Downloads
    0
    Uploads
    0

    XIVO - Connexion depuis internet

    Bonjour,
    J'essaye sans succès de connecter un soft-phone (X-LITE) sur XIVO depuis internet mais sans passer par un VPN.
    J'ai ouvert le port 5060 (TCP/UDP) vers mon serveur XIVO sur le fire-wall mais cela ne suffit pas ...
    Mes connaissances du SIP sont très limitées mais je pense qu'il doit y avoir des paramètres avancés à mettre dans XIVO et/ou sur le soft-phone.
    Je n'ai rien trouvé dans la doc où ailleurs

    Je sais bien que ce n'est pas conseillé mais je ne vois pas quels risques il y à de plus par rapport à un serveur FTP par exemple
    (Je veux dire à partir du moment où les comptes SIP sont protégé par un mot de passe ...)

  2. #2
    Membre Association Avatar de quintana
    Date d'inscription
    août 2010
    Localisation
    Québec
    Messages
    1 084
    Downloads
    0
    Uploads
    0
    Salut, es tu natté ? Si oui faut configurer le nat dans la partie sip.
    Des logs de la cli serait pratique aussi.
    Découvrez Wazo sous licence GPLv3 et accessible pour tous : http://www.wazo.community
    Blog Wazo : http://blog.wazo.community
    Wazo est un fork de XiVO.
    Suivez moi sur Twitter !

  3. #3
    Membre Junior
    Date d'inscription
    avril 2014
    Localisation
    Roubaix
    Messages
    16
    Downloads
    0
    Uploads
    0
    Citation Envoyé par quintana Voir le message
    Salut, es tu natté ? Si oui faut configurer le nat dans la partie sip.
    Des logs de la cli serait pratique aussi.
    Oui je n'ai qu'une adresse IP publique, donc je dois passer par du nat.
    Le NAT se configure au niveau de la ligne de l'user là où on à comme options possible NAT: Non, force rport, Comedia, Oui (force rport + comedia) ?
    Si c'est ça, je ne sais pas trop quoi y mettre mais je vais essayer rport puisque je l'ai aussi dans les paramètre avancé de X-LITE ...

  4. #4
    Membre Association Avatar de quintana
    Date d'inscription
    août 2010
    Localisation
    Québec
    Messages
    1 084
    Downloads
    0
    Uploads
    0
    Salut,

    Alors, il y a plusieurs options ;-)

    Option 1 : Asterisk a une adresse publique directement et TOUS tes téléphones sont nattés. Tu vas dans la configuration global du sip, onglet défaut et tu actives NAT : Oui
    Option 2: Même choses mais tu n'as pas tout tes téléphones nattés, configure pour chacune des tes lignes concerné l'options ou tu fais l'invers tu actives le global SIP et tu désactives par ligne.
    Option 3: La plus complexe en général, ton Asterisk et ton téléphone sont nattés, tu dois aller dans global sip et configurer la partie réseau. Dans Adresse IP Externe tu mets ton IP publiques, tu rajoutes aussi le NAT dans défaut, puis tu renseignes si tu en as les réseaux locaux connecté a ton Asterisk, pour qu'il ne modifie pas les headers SIP avec l'IP publique que tu as renseignés.

    Autres points aussi il faut activer quand tu es en NAT l'option qualify ou supervision traduit dans l'interface de XiVO à Oui car cela va permettre d'envoyer des SIP options toutes les 2000 ms à ton téléphone et va maintenir sur ton firewall ta table de session, c'est important sinon tu ne recevra plus d'appels au bout d'un moment car le firewall fermera les ports et te droppera jusqu'à temps que ton téléphone ré-ouvres cela en faisant un REGISTER par exemple.
    Un point important aussi j'ai déjà vu des firewalls droppé leur table de session en bas de 2000 ms par défaut et du coup ça coupé la session aléatoirement, donc si c'est le cas il faut aussi chercher de ce côté.

    Normalement en terme de firewall côté Asterisk s'il est natté, il faut ouvrir aussi au moins le port 5060 sinon tu auras des soucis, un firewall moderne ou un linux après à des modules pour te permettre de faire du conntrack et de gérer le reste simplement.

    Concernant la remarque sur le port SIP vs FTP, attention car si le port exposé (et complètement valable pour FTP ou n'importe quel services exposé sur internet) a une faille de sécurité par exemple un buffer overflow qui permet une escalade de privilège avec un shell directe sur la machine, et bien ton login et password n'aura aucun intérêt

    Avantage sur XiVO c'est que nous suivons le plus possible tout cela et que nous sortons des nouvelles versions toutes les deux semaines avec l'upgrade inclus dedans, mais on reste des humains et les erreurs restent possible ... En tout cas je te conseille quand même de faire attention, le coût d'une erreur sur un système téléphonique n'est pas le même que sur un FTP, à toi de juger les risques que tu souhaites prendre et de les mesurer en connaissance de cause.

    J'espère que c'est clair et que tu trouveras ton bonheur !
    Bonne journée.
    ++
    Découvrez Wazo sous licence GPLv3 et accessible pour tous : http://www.wazo.community
    Blog Wazo : http://blog.wazo.community
    Wazo est un fork de XiVO.
    Suivez moi sur Twitter !

  5. #5
    Membre Junior
    Date d'inscription
    avril 2014
    Localisation
    Roubaix
    Messages
    16
    Downloads
    0
    Uploads
    0
    Merci Quintana pour toutes ces explications
    Ce serait plutôt le cas "compliqué" car le XIVO est sur le LAN (derrière un pfSense) et les utilisateurs extérieurs ont tous une "machin-box" avec du nat.
    Le but est de simplifier au maximum l'installation coté utilisateur mais c'est beaucoup plus compliqué que je le pensais par rapport à la mise en place d'un client IPsec ou OpenVPN.
    En fait l'idéal serait un soft-phone qui embarque un client IPsec (ou OpenVPN), le tout pré-configurable...

    j'ai vidé ma boîte d'aspirines là !

  6. #6
    Membre Association Avatar de quintana
    Date d'inscription
    août 2010
    Localisation
    Québec
    Messages
    1 084
    Downloads
    0
    Uploads
    0
    Il existe des téléphones comme SNOM ou Yealink qui embarque du openvpn pour info, mais softphone non car il suffit d'installer openvpn sur les machines
    Bonne chance, si je peux te donner plus d'infos n'hésites pas, malheureusement y a pas de solution toute simple, toute faite, tout dépend des besoins et architectures.
    Découvrez Wazo sous licence GPLv3 et accessible pour tous : http://www.wazo.community
    Blog Wazo : http://blog.wazo.community
    Wazo est un fork de XiVO.
    Suivez moi sur Twitter !

Règles de messages

  • Vous ne pouvez pas créer de nouvelles discussions
  • Vous ne pouvez pas envoyer des réponses
  • Vous ne pouvez pas envoyer des pièces jointes
  • Vous ne pouvez pas modifier vos messages
  •