Re: [FRnOG] [TECH] SIP ALG sur routeur

[Mickael Hubert]

+1
De notre coté, on désactive l'ALG sur tous les matériels qui le gèrent. On
laisse notre SBC gérer le NAT keepalive (opensips: nathelper.so).

Nous avons eu quelques surprises avec l'ALG sur les CPE Cisco 8XX par
exemple.

Cordialement

Le 11 octobre 2015 20:43, Michel Py  a
écrit :

> > David Ponzone a écrit :
> > La synthèse de nos réponses, c’était plutôt; désactive l’ALG sur le
> Cisco, parce que ça a jamais rendu service à personne :)
>
> Même si c'est vrai dans la plupart des cas, il  y a un élément dans la
> réponse d'Antoine qui est important:
>
> > Antoine Durant a écrit :
> > Bon je vais faire confiance à mon Asterisk puisque cela fonctionne bien
> !! Je vais rien toucher sur le Cisco...
>
> Si c'est un réseau de prod, ne touche pas avant de l'avoir simulé en lab.
> Si c'est pas en panne, pourquoi réparer ? Chaque fois que tu touches le
> réseau de prod même pour un "petit détail", tu ouvres la boîte de Pandore à
> un effet de bord, les pires étant ceux que tu ne détecte pas tout de suite.
>
>
> L'ALG, c'était un mal nécessaire dans 2 cas :
>
> - Les protocoles conçus avant NAT et qui ne se sont pas (ou pas bien)
> adaptés. Exemple : FTP. L'adresse IP est incluse dans le paquet, rendant
> l'usage d'un ALG nécessaire. Même si certaines évolutions (comme PASV) ont
> rendu la traversée de NAT et des pare-feu plus facile, il faut garder l'ALG.
>
> - Les protocoles conçus après NAT et mal conçus. Exemple : SIP. Alors que
> la généralisation de NAT était déjà bien en cours, SIP a été conçu pour ne
> pas traverser NAT facilement, ce qui a donné naissance aux ALGs SIP. Je
> mets "aux" à la place de "à", car il y en a plusieurs différents et aucun
> ne réagit pareil.
>
> Comme finalement les gens ont compris que NAT était là pour rester, les
> applications utilisant SIP (par exemple, Asterisk) se sont adaptées et sont
> maintenant capables de traverser NAT sans ALG.
>
> Michel.
>
>
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/
>



-- 
Cordialement

HUBERT Mickaël
Ingénieur VOIP - Hexanet

-- 


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] SIP ALG sur routeur

[Antoine Durant]

Salut,
Bon je vais faire confiance à mon Asterisk puisque cela fonctionne bien !! Je 
vais rien toucher sur le Cisco...



  De : David Ponzone <david.ponz...@gmail.com>
 À : Duchet Rémy <r...@duchet.eu> 
Cc : Antoine Durant <antoine.duran...@yahoo.fr>; "frnog-t...@frnog.org" 
<frnog-t...@frnog.org> 
 Envoyé le : Vendredi 9 octobre 2015 18h45
 Objet : Re: [FRnOG] [TECH] SIP ALG sur routeur
   
+1
Mais si ça fonctionne aussi en le désactivant, je le vire.

Le 9 oct. 2015 à 18:31, Duchet Rémy <r...@duchet.eu> a écrit :

> Salut, 
> 
> J'ai les 2 cas de figure. Sur un Asterisk aucun soucis derrière du ASA.
> ‎Sur le même type de FW, il m'a fallu désactiver le ALG parce que le provider 
> SIP ne le supporte pas.
> ‎Si ça fonctionne, pourquoi changer ? 
> 
> Rémy
>  Message d'origine  
> De: Antoine Durant
> Envoyé: vendredi 9 octobre 2015 18:22
> À: frnog-t...@frnog.org
> Répondre à: Antoine Durant
> Objet: [FRnOG] [TECH] SIP ALG sur routeur
> 
> Salut !
> Je viens de tomber sur l'article concernant la désactivation SIP ALG sur des 
> routeurs : 
> http://docs.keyyo.com/telephonie-fixe/expert/desactivation-optimisation-sip-routeur-wan/
> J'utilise et administre un serveur ASTERISK sur un serveur présent dans un 
> centre de données, j'ai quelque poste en centrex derrière un Cisco qui vont 
> chercher/connecter l'ASTERISK.
> Est-ce que je dois désactiver SIP ALG "no ip nat service sip udp port 5060" 
> ?Je ne rencontre aucun problème à ce jour pour que mes téléphones dialogues 
> avec mon ASTERISK...
> Quel est votre avis d'expert sur SIP ALG en mode centrex ?
> Bon WE :)
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/


> 


---
Liste de diffusion du FRnOG
http://www.frnog.org/

  
---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] SIP ALG sur routeur

[David Ponzone]

La synthèse de nos réponses, c’était plutôt; désactive l’ALG sur le Cisco, 
parce que ça a jamais rendu service à personne :)


Le 11 oct. 2015 à 18:17, Antoine Durant <antoine.duran...@yahoo.fr> a écrit :

> Salut,
> 
> Bon je vais faire confiance à mon Asterisk puisque cela fonctionne bien !! Je 
> vais rien toucher sur le Cisco...
> 
> 
> 
> 
> De : David Ponzone <david.ponz...@gmail.com>
> À : Duchet Rémy <r...@duchet.eu> 
> Cc : Antoine Durant <antoine.duran...@yahoo.fr>; "frnog-t...@frnog.org" 
> <frnog-t...@frnog.org> 
> Envoyé le : Vendredi 9 octobre 2015 18h45
> Objet : Re: [FRnOG] [TECH] SIP ALG sur routeur
> 
> +1
> Mais si ça fonctionne aussi en le désactivant, je le vire.
> 
> Le 9 oct. 2015 à 18:31, Duchet Rémy <r...@duchet.eu> a écrit :
> 
> > Salut, 
> > 
> > J'ai les 2 cas de figure. Sur un Asterisk aucun soucis derrière du ASA.
> > ‎Sur le même type de FW, il m'a fallu désactiver le ALG parce que le 
> > provider SIP ne le supporte pas.
> > ‎Si ça fonctionne, pourquoi changer ? 
> > 
> > Rémy
> >  Message d'origine  
> > De: Antoine Durant
> > Envoyé: vendredi 9 octobre 2015 18:22
> > À: frnog-t...@frnog.org
> > Répondre à: Antoine Durant
> > Objet: [FRnOG] [TECH] SIP ALG sur routeur
> > 
> > Salut !
> > Je viens de tomber sur l'article concernant la désactivation SIP ALG sur 
> > des routeurs : 
> > http://docs.keyyo.com/telephonie-fixe/expert/desactivation-optimisation-sip-routeur-wan/
> > J'utilise et administre un serveur ASTERISK sur un serveur présent dans un 
> > centre de données, j'ai quelque poste en centrex derrière un Cisco qui vont 
> > chercher/connecter l'ASTERISK.
> > Est-ce que je dois désactiver SIP ALG "no ip nat service sip udp port 5060" 
> > ?Je ne rencontre aucun problème à ce jour pour que mes téléphones dialogues 
> > avec mon ASTERISK...
> > Quel est votre avis d'expert sur SIP ALG en mode centrex ?
> > Bon WE :)
> > ---
> > Liste de diffusion du FRnOG
> > http://www.frnog.org/
> 
> 
> 
> > 
> 
> 
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/
> 
> 


---
Liste de diffusion du FRnOG
http://www.frnog.org/

RE: [FRnOG] [TECH] SIP ALG sur routeur

[Michel Py]

> David Ponzone a écrit :
> La synthèse de nos réponses, c’était plutôt; désactive l’ALG sur le Cisco, 
> parce que ça a jamais rendu service à personne :)

Même si c'est vrai dans la plupart des cas, il  y a un élément dans la réponse 
d'Antoine qui est important:

> Antoine Durant a écrit :
> Bon je vais faire confiance à mon Asterisk puisque cela fonctionne bien !! Je 
> vais rien toucher sur le Cisco...

Si c'est un réseau de prod, ne touche pas avant de l'avoir simulé en lab. Si 
c'est pas en panne, pourquoi réparer ? Chaque fois que tu touches le réseau de 
prod même pour un "petit détail", tu ouvres la boîte de Pandore à un effet de 
bord, les pires étant ceux que tu ne détecte pas tout de suite.


L'ALG, c'était un mal nécessaire dans 2 cas :

- Les protocoles conçus avant NAT et qui ne se sont pas (ou pas bien) adaptés. 
Exemple : FTP. L'adresse IP est incluse dans le paquet, rendant l'usage d'un 
ALG nécessaire. Même si certaines évolutions (comme PASV) ont rendu la 
traversée de NAT et des pare-feu plus facile, il faut garder l'ALG.

- Les protocoles conçus après NAT et mal conçus. Exemple : SIP. Alors que la 
généralisation de NAT était déjà bien en cours, SIP a été conçu pour ne pas 
traverser NAT facilement, ce qui a donné naissance aux ALGs SIP. Je mets "aux" 
à la place de "à", car il y en a plusieurs différents et aucun ne réagit pareil.

Comme finalement les gens ont compris que NAT était là pour rester, les 
applications utilisant SIP (par exemple, Asterisk) se sont adaptées et sont 
maintenant capables de traverser NAT sans ALG.

Michel.



---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] SIP ALG sur routeur

[Duchet Rémy]

Salut, 

J'ai les 2 cas de figure. Sur un Asterisk aucun soucis derrière du ASA.
‎Sur le même type de FW, il m'a fallu désactiver le ALG parce que le provider 
SIP ne le supporte pas.
‎Si ça fonctionne, pourquoi changer ? 

Rémy
  Message d'origine  
De: Antoine Durant
Envoyé: vendredi 9 octobre 2015 18:22
À: frnog-t...@frnog.org
Répondre à: Antoine Durant
Objet: [FRnOG] [TECH] SIP ALG sur routeur

Salut !
Je viens de tomber sur l'article concernant la désactivation SIP ALG sur des 
routeurs : 
http://docs.keyyo.com/telephonie-fixe/expert/desactivation-optimisation-sip-routeur-wan/
J'utilise et administre un serveur ASTERISK sur un serveur présent dans un 
centre de données, j'ai quelque poste en centrex derrière un Cisco qui vont 
chercher/connecter l'ASTERISK.
Est-ce que je dois désactiver SIP ALG "no ip nat service sip udp port 5060" ?Je 
ne rencontre aucun problème à ce jour pour que mes téléphones dialogues avec 
mon ASTERISK...
Quel est votre avis d'expert sur SIP ALG en mode centrex ?
Bon WE :)
---
Liste de diffusion du FRnOG
http://www.frnog.org/



pgptEMJjuQVof.pgp
Description: PGP signature

Re: [FRnOG] [TECH] SIP ALG sur routeur

[Antoine Durant]

Salut,
C'est justement ma question... En faisant une recherche sur gooogle on trouve 
que notamment sur les Cisco il le désactive...
J'ai du mal à cerner quand faut t'il le désactiver...
   De : Duchet Rémy <r...@duchet.eu>
 À : Antoine Durant <antoine.duran...@yahoo.fr>; "frnog-t...@frnog.org" 
<frnog-t...@frnog.org> 
 Envoyé le : Vendredi 9 octobre 2015 18h31
 Objet : Re: [FRnOG] [TECH] SIP ALG sur routeur
   
Salut, 

J'ai les 2 cas de figure. Sur un Asterisk aucun soucis derrière du ASA.
‎Sur le même type de FW, il m'a fallu désactiver le ALG parce que le provider 
SIP ne le supporte pas.
‎Si ça fonctionne, pourquoi changer ? 

Rémy
  Message d'origine  
De: Antoine Durant
Envoyé: vendredi 9 octobre 2015 18:22
À: frnog-t...@frnog.org
Répondre à: Antoine Durant
Objet: [FRnOG] [TECH] SIP ALG sur routeur

Salut !
Je viens de tomber sur l'article concernant la désactivation SIP ALG sur des 
routeurs : 
http://docs.keyyo.com/telephonie-fixe/expert/desactivation-optimisation-sip-routeur-wan/
J'utilise et administre un serveur ASTERISK sur un serveur présent dans un 
centre de données, j'ai quelque poste en centrex derrière un Cisco qui vont 
chercher/connecter l'ASTERISK.
Est-ce que je dois désactiver SIP ALG "no ip nat service sip udp port 5060" ?Je 
ne rencontre aucun problème à ce jour pour que mes téléphones dialogues avec 
mon ASTERISK...
Quel est votre avis d'expert sur SIP ALG en mode centrex ?
Bon WE :)
---
Liste de diffusion du FRnOG
http://www.frnog.org/


  
---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] SIP ALG sur routeur

[David Ponzone]

+1
Mais si ça fonctionne aussi en le désactivant, je le vire.

Le 9 oct. 2015 à 18:31, Duchet Rémy  a écrit :

> Salut, 
> 
> J'ai les 2 cas de figure. Sur un Asterisk aucun soucis derrière du ASA.
> ‎Sur le même type de FW, il m'a fallu désactiver le ALG parce que le provider 
> SIP ne le supporte pas.
> ‎Si ça fonctionne, pourquoi changer ? 
> 
> Rémy
>   Message d'origine  
> De: Antoine Durant
> Envoyé: vendredi 9 octobre 2015 18:22
> À: frnog-t...@frnog.org
> Répondre à: Antoine Durant
> Objet: [FRnOG] [TECH] SIP ALG sur routeur
> 
> Salut !
> Je viens de tomber sur l'article concernant la désactivation SIP ALG sur des 
> routeurs : 
> http://docs.keyyo.com/telephonie-fixe/expert/desactivation-optimisation-sip-routeur-wan/
> J'utilise et administre un serveur ASTERISK sur un serveur présent dans un 
> centre de données, j'ai quelque poste en centrex derrière un Cisco qui vont 
> chercher/connecter l'ASTERISK.
> Est-ce que je dois désactiver SIP ALG "no ip nat service sip udp port 5060" 
> ?Je ne rencontre aucun problème à ce jour pour que mes téléphones dialogues 
> avec mon ASTERISK...
> Quel est votre avis d'expert sur SIP ALG en mode centrex ?
> Bon WE :)
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/
> 


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] SIP ALG sur routeur

[Antoine Durant]

Intéressant ! Quel  est la valeur du timeout UDP ?



---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] SIP ALG sur routeur

[David Ponzone]

En gros, je considère que si les mécanismes de NAT-Traversal dans le Softswitch 
(Asterisk, Freeswitch, SBC commercial, etc…) fonctionnent sans l’aide du SIP 
ALG, il vaut mieux leur faire confiance.
Leur manière de gérer le NAT (en apprenant l’IP/port source réel du flux RTP en 
écoutant ce qui arrive sur le port local qu’il a annoncé dans le SDP) est 
infaillible.
Donc dans ce cas, il vaut mieux virer le SIP ALG, parce qu’il est souvent 
foireux.

Attention par contre pour le REGISTER au timeout UDP du routeur: soit tu 
l’augmentes, soit tu dis à ton poste (ou à Asterisk) d’envoyer un paquet de 
keekalive plus fréquemment que le timeout UDP.

Le 9 oct. 2015 à 18:40, Antoine Durant <antoine.duran...@yahoo.fr> a écrit :

> Salut,
> C'est justement ma question... En faisant une recherche sur gooogle on trouve 
> que notamment sur les Cisco il le désactive...
> J'ai du mal à cerner quand faut t'il le désactiver...
>De : Duchet Rémy <r...@duchet.eu>
> À : Antoine Durant <antoine.duran...@yahoo.fr>; "frnog-t...@frnog.org" 
> <frnog-t...@frnog.org> 
> Envoyé le : Vendredi 9 octobre 2015 18h31
> Objet : Re: [FRnOG] [TECH] SIP ALG sur routeur
> 
> Salut, 
> 
> J'ai les 2 cas de figure. Sur un Asterisk aucun soucis derrière du ASA.
> ‎Sur le même type de FW, il m'a fallu désactiver le ALG parce que le provider 
> SIP ne le supporte pas.
> ‎Si ça fonctionne, pourquoi changer ? 
> 
> Rémy
>   Message d'origine  
> De: Antoine Durant
> Envoyé: vendredi 9 octobre 2015 18:22
> À: frnog-t...@frnog.org
> Répondre à: Antoine Durant
> Objet: [FRnOG] [TECH] SIP ALG sur routeur
> 
> Salut !
> Je viens de tomber sur l'article concernant la désactivation SIP ALG sur des 
> routeurs : 
> http://docs.keyyo.com/telephonie-fixe/expert/desactivation-optimisation-sip-routeur-wan/
> J'utilise et administre un serveur ASTERISK sur un serveur présent dans un 
> centre de données, j'ai quelque poste en centrex derrière un Cisco qui vont 
> chercher/connecter l'ASTERISK.
> Est-ce que je dois désactiver SIP ALG "no ip nat service sip udp port 5060" 
> ?Je ne rencontre aucun problème à ce jour pour que mes téléphones dialogues 
> avec mon ASTERISK...
> Quel est votre avis d'expert sur SIP ALG en mode centrex ?
> Bon WE :)
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/
> 
> 
> 
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] SIP ALG sur routeur

[David Ponzone]

Sur un Cisco, c’est normalement 300s.
C’est normalement suffisant, mais attention à ce que tes postes SIP ne soient 
pas dans une conf du genre:
REGISTER toutes les 3600s
Aucun SIP KeepAlive.
Tes postes qui ne sont pas utilisés seraient injoignables environ 3300s par 
heure.


Le 9 oct. 2015 à 19:30, Antoine Durant  a écrit :

> Intéressant ! Quel  est la valeur du timeout UDP ?
> 
> 


---
Liste de diffusion du FRnOG
http://www.frnog.org/

RE: [FRnOG] [TECH] SIP ALG sur routeur

[Olivier Varenne]

Pour infos on a déjà vu chez nous des routeurs poser des problèmes nat alors 
que le keep alive était active.

Nous on déconseille le sip alg qui est généralement source de problèmes parfois 
difficiles a diagnostiquer.

On a a ce jour jamais eu de soucis avec le nat et asterisk si celui ci est 
correctement configuré :)

Cordialement,

Olivier varenne
Co-gérant 
Ipconnect 

Ce message ayant été envoyé depuis une mobile, veuillez excuser le caractère 
concis ou les éventuelles fautes de frappes et corrections automatiques 
inattendues.

-Message d'origine-
De : "David Ponzone" <david.ponz...@gmail.com>
Envoyé : ‎09/‎10/‎2015 20:03
À : "Antoine Durant" <antoine.duran...@yahoo.fr>
Cc : "Duchet Rémy" <r...@duchet.eu>; "frnog-t...@frnog.org" 
<frnog-t...@frnog.org>
Objet : Re: [FRnOG] [TECH] SIP ALG sur routeur

Sur un Cisco, c’est normalement 300s.
C’est normalement suffisant, mais attention à ce que tes postes SIP ne soient 
pas dans une conf du genre:
REGISTER toutes les 3600s
Aucun SIP KeepAlive.
Tes postes qui ne sont pas utilisés seraient injoignables environ 3300s par 
heure.


Le 9 oct. 2015 à 19:30, Antoine Durant <antoine.duran...@yahoo.fr> a écrit :

> Intéressant ! Quel  est la valeur du timeout UDP ?
> 
> 


---
Liste de diffusion du FRnOG
http://www.frnog.org/

---
Liste de diffusion du FRnOG
http://www.frnog.org/

RE: [FRnOG] [TECH] SIP ALG sur routeur

[Michel Py]

> Olivier Varenne a écrit:
> Nous on déconseille le sip alg qui est généralement source de problèmes 
> parfois difficiles a diagnostiquer.
> On a a ce jour jamais eu de soucis avec le nat et asterisk si celui ci est 
> correctement configuré :)

Je plussoie, vaut mieux éviter l'ALG et faire confiance à Asterisk. Ceci dit, 
il y a une alternative à NAT : un VPN; je préfère pour diagnostiquer. De plus 
en plus de téléphones SIP ont l'option VPN. Dans je temps je pensais 
qu'utiliser SIP en natif çà serait mieux pour QOS, mais dans le monde réel ça 
ne change rien de l'encapsuler dans un tunnel et c'est parfois plus stable.

Michel.


---
Liste de diffusion du FRnOG
http://www.frnog.org/