Question technique protocole SIP & FW

[Rico]

Bonjour à tous.
J'ai un petit souci au niveau d'un de mes firewalls, qui a tendance a bloquer des INVITE.

Donc quand un téléphone (aastra 6757i) lance un INVITE vers le serveur, celui ci est bloqué par le firewall, et le téléphone (ne voyant pas de réponse a l'INVITE arriver), continue a émettre des INVITE a raison d'environ 1 par seconde.

Est-ce un comportement normal ?

Est ce que quelqu'un aurait une piste pour régler ce problème de firewall qui me tracasse depuis plusieurs mois ?
je précise que mes téléphones et mon asterisk sont dans deux lans différents, mais qu'il n'y a pas de NAT (routage only).
le firewall est une machine linux (kernel 2.6.36.2 tout beau tout neuf, mais même probleme avec ancien kernel). kernel compilé en statique avec le module sip_contrack.

Si quelqu'un a la moindre idée ou piste... je suis preneur.
Cdt

EDIT : je précise que ce problème est complètement aléatoire. Il peut ne pas se produire pendant 3 semaines et ensuite survenir 5 fois dans la même journée.

[ffossard]

C'est l'INVITE qui est bloqué, ou bien la réponse à celui-ci ?

[Rico]

L'invite

[ffossard]

La réémission de l'INVITE semble logique (pas forcément de cette manière mais bon), mais est-ce que ça finit par s'arrêter ?

Un peu de théorie:

Afin de palier aux pertes éventuelles de messages possibles si UDP est utilisé SIP doit donc avoir ses propres mécanismes de retransmissions. Les requêtes émises par les UAC sont donc retransmises périodiquement jusqu’à réception d’une réponse de l’UAS. Plus spécifiquement pour les requêtes de type INVITE, l’UAC réémet la requête au bout d’une durée initiale de T1 secondes qui double à chaque réémission. L’UAC cesse de réémettre s’il reçoit une réponse de l’UAS ou s’il a réémit le paquet 7 fois.

Pour le pare-feu, une idée de la règle qui le bloque ? As-tu tenté de journaliser les blocages ?

[Rico]

La réémission de l'INVITE semble logique, mais est-ce que ça finit par s'arrêter ?

Un peu de théorie:


Pour le pare-feu, une idée de la règle qui le bloque ? As-tu tenté de journaliser les blocages ?

Non, aucune idée de la règle qui bloque, puisque ça ne bloque que très rarement.

J'ai arrêté ma capture au bout d'environ 1 minutes, et j'ai 49 requetes invite envoyées par mon téléphone...

le temps d'attente n'est pas doublé entre chaque réemission

[therebel23]

L'invite lancé par le téléphone vers le serveur se fait forcément sur le port SIP du serveur (5060 ou ou celui que tu as défini).
Je suppose que tu autorises toutes les communications sortantes de ton réseau téléphone sur le port SIP du serveur ?
J'ai du mal à comprendre comment cela peut bloquer ? Quel numéro de port le téléphone tente t'il de contacter ?