Re: [FRnOG] cisco1811 désactivation du service SIP ALG
Raf, Le 30/07/2009 13:49, pierre a écrit : La seule solution pour protéger un peu le SIP c'est de mettre des opensips en frontal. (je ne parle même pas des différents SBC que nous avons évalué, tous plus pitoyables les uns que les autres). Opensips / Kamailio / SIProuter (pick your Open/SER flavour) en frontal avec Path Header (RFC 3327) c'est vraiment bien pour faire de la distribution de charge aussi surtout depuis la nouvelle fonctionnalite http_query() . Par contre la mauvaise pub pourr eux, c'est que c'est ce qu'utilise cisco/linksys :p http://www.mail-archive.com/us...@openser.org/msg08965.html Thomas --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] cisco1811 désactivation du ser vice SIP ALG
Le 30/07/2009 13:49, pierre a écrit : Sur un NS SSG140 y'a : "unset alg sip enable" qui peut sauver de vies. Ça a surtout sauvé nos ISG d'aller à la benne vu qu'on nous les avez vendus comme solution miracle pour protéger nos proxy sip. Avec Deep Inspection SIP et ALG sip on a jamais réussi à faire en sorte que cela fonctionne (même un peu). Du coup on les a recyclé en simple firewall. La seule solution pour protéger un peu le SIP c'est de mettre des opensips en frontal. (je ne parle même pas des différents SBC que nous avons évalué, tous plus pitoyables les uns que les autres). -- raf --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] localisation des adresses IP
On Jul 29, 2009, at 11:11 AM, Guénolé Saurel wrote: Le Wed, Jul 29, 2009 at 10:02:07AM +0200, Dominique Rousseau racontait : Une très connue et très utilisée, notamment parcequ'il en existe un extrait gratuit, c'est GeoIP de Maxmind. Je viens de déménager de 350km tout en gardant la même IP, je vais de ce pas vérifier si la base GeoIP est à jour :) -- L'homme descend du singe. George Bush n'a pas encore trouvé l'échelle. Maximind et autres Quova (les deux leaders du marché) utilisent plusieurs moyens de recoupement pour constituer leurs bases: - les Routing Registries - leur produit de Online Fraud Prevention qu'ils vendent également, qui nourrit, grace aux informations des commandes des sites d'eCommerce de leurs clients, leurs bases GeoIP. - d'autre méthodes un peu moins avouables T'as deux degrés de précision de la base, le Lite est gratuit, le normal est payant. http://www.maxmind.com/app/geolitecity Par contre, Geolitecity, hors des US, c'est un peu au p'tit bonheur la chance hein... Les APIs sont là: http://www.maxmind.com/app/api Sinon, toujours pour un geotargetting de base, y'a un truc que je trouve super elegant fait par CYMRU et leur DNS Magique: $ dig +short 31.108.90.216.origin.asn.cymru.com TXT "23028 | 216.90.108.0/24 | US | arin | 1998-09-25" Ca donne l'AS, le range de l'announcement BGP, le pays, et la base du routing registry. Tout ca avec juste un dig. Sinon t'as leur whois patché: $ whois -h whois.cymru.com " -v 216.90.108.31 2005-12-25 13:23:01 GMT" AS | IP | BGP Prefix | CC | Registry | Allocated | Info | AS Name 23028 | 216.90.108.31| 216.90.108.0/24 | US | arin | 1998-09-25 | 2005-12-25| TEAMCYMRU Toutes les infos sont la: http://www.team-cymru.org/Services/ip-to-asn.html Greg VILLAIN
Re: [FRnOG] cisco1811 désactivation du service SIP ALG
On Thu, 2009-07-30 at 13:49 +0200, pierre wrote: > Raphael Mazelier wrote: > > > > > >> > >> Tant que c'est désactivable ils peuvent fournir ce qu'ils ont envie. > >> La vraie question de ce post est : Comment désactiver cette feature > >> cisco ? > >> > >> > > Hum c'est parfois très bizarre à désactiver, je me rappelle entre > > autre des ST605 ou même sur des Netscreen, c'était pas ultra intuitif. > > Mais c'était faisable. Tout espoir est permis. > Sur un NS SSG140 y'a : > > "unset alg sip enable" > L'équivalent de cette commande n'existe pas sur le cisco1811 que j'utilise. > qui peut sauver de vies. > > -- > PG. > > > --- > Liste de diffusion du FRnOG > http://www.frnog.org/ > > -- Alexandre Legrix Euro Web - Location de serveurs dediés et infogérés. Tel : 01 75 43 75 75 --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] cisco1811 désactivation du ser vice SIP ALG
Raphael Mazelier wrote: Tant que c'est désactivable ils peuvent fournir ce qu'ils ont envie. La vraie question de ce post est : Comment désactiver cette feature cisco ? Hum c'est parfois très bizarre à désactiver, je me rappelle entre autre des ST605 ou même sur des Netscreen, c'était pas ultra intuitif. Mais c'était faisable. Tout espoir est permis. Sur un NS SSG140 y'a : "unset alg sip enable" qui peut sauver de vies. -- PG. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] cisco1811 désactivation du ser vice SIP ALG
Effectivement c'est un "hack" lié au SIP et c'est faux au sens IP. Mais mon client s'en fout :) Il veut que ça fonctionne "Comme il a l'habitude" Alors change de routeur. Non plus sérieusement c'est fatalement désactivable. Avis aux experts cisco. Appels sortant ok. Donc problèmes de fermetures de pinholes. Dans le pire des cas mets un register timeout très bas sur tes téléphones. Genre moins de 30 secondes, ca devrait suffire à garder ouvert. Tant que c'est désactivable ils peuvent fournir ce qu'ils ont envie. La vraie question de ce post est : Comment désactiver cette feature cisco ? Hum c'est parfois très bizarre à désactiver, je me rappelle entre autre des ST605 ou même sur des Netscreen, c'était pas ultra intuitif. Mais c'était faisable. Tout espoir est permis. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] cisco1811 désactivation du service SIP ALG
Rebonjour. On Thu, 2009-07-30 at 11:55 +0200, Raphael Mazelier wrote: > Le 30/07/2009 10:57, Alexandre Legrix a écrit : > > sip show peer numerodupeer > > > > Ainsi on remarque la ligne suivante : > > > > Reg. Contact : sip:u...@192.168.1.7:5060 > > > Ce qui est un contact faux, puisque ton contact est censé être quelque > chose de contactable au sens IP du terme. > Mais cela marche car Asterisk sait que ton peer est Naté et donc envoie > les paquets sur l'@IP d'où il a recu le paquet. Effectivement c'est un "hack" lié au SIP et c'est faux au sens IP. Mais mon client s'en fout :) Il veut que ça fonctionne "Comme il a l'habitude" > Le problème en général c'est qu'il faut laisser les pinhole ouvert sur > ce port (la table nat si tu veux). > Est ce que t'on asterisk fait du qualify ou mieux est ce que ton > téléphone à paramètre nat keepalive quelconque. > > Le problème étant que Appriori le serveur asterisk s'emmele les pinceaux > > lorsqu'il a besoin de faire sonner un téléphone se trouvant derrière > > cette ipwan. > > Je n'ai pas accès au serveur asterisk qui est derrière. (enfin je peux y faire du tcpdump mais guère plus, je ne peux pas changer la conf). Il ya des centaines de comptes en prod sur cette asterisk, et je ne peux pas toucher à sa configuration. > J'imagine que tu n'as pas de problème pour les appels sortants. Si ce > c'est le cas c'est clairement un problème de pinhole. Appels sortant ok. > Regarde la doc de référence cisco sur le sujet : > http://www.cisco.com/en/US/docs/ios/security/configuration/guide/sec_sip_alg_aic.html J'ai aussi essayé de suivre cette doc, sans aucun résultats. > Ah les joies de la Voip et du Nat. Pourquoi les vendeurs essaye t'il de > refourguer des ALG sip qui ne marche jamais ? Tant que c'est désactivable ils peuvent fournir ce qu'ils ont envie. La vraie question de ce post est : Comment désactiver cette feature cisco ? -- Alexandre Legrix Euro Web - Location de serveurs dediés et infogérés. Tel : 01 75 43 75 75 --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] cisco1811 désactivation du service SIP ALG
Si le cisco ne le fait pas * devra le faire, si le cisco le fait ta machine * devrait voir moins de traffic (media) si il n'y a pas de conversion de codec a faire. Je reprend ca. * agit en B2B et pas en router ... Thomas --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] cisco1811 désactivation du service SIP ALG
Alexandre, Le 1811 ne garde pas la relation si il ne voit pas assez de traffic. Recherche SIP OPTION PING pour garder la connection/mapping ouvert sur le router. Que ce soit * ou le cisco qui re-ecrive l'addresse IP pour le media (et le contact) ne devrait faire aucune difference. Si le cisco ne le fait pas * devra le faire, si le cisco le fait ta machine * devrait voir moins de traffic (media) si il n'y a pas de conversion de codec a faire. Thomas On 30 Jul 2009, at 09:57, Alexandre Legrix wrote: Bonjour. J'ai un routeur cisco 1811 dualwan. Sur ce routeur j'ai de configuré deux connexions wan. Une connexion WAN adsl s'établissant en ppp. Une interco SDSL. Derrière ce routeur Cisco sont branchés dans le LAN des téléphones SIP. Je rencontre sur mon serveur asterisk des incohérances au niveau des enregistrements SIP des téléphones qui sont derrière ce routeur cisco à cause de la fonction sip ALG. Je m'explique. Classiquement lorsqu'un téléphone s'enregistre en sip (quand on est derrière un routeur bas de gamme ou ne disposant pas de fonction ALG), on peut le voir dans asterisk en faisant : sip show peer numerodupeer Ainsi on remarque la ligne suivante : Reg. Contact : sip:u...@192.168.1.7:5060 On remarque ce type d'enregistrement sur un serveur asterisk lorsque tout va bien. (pour mon cas) Avec la fonction ALG cisco l'enregistrement se fait plutot ainsi : Reg. Contact : sip:u...@ipwan:8190 Le problème étant que Appriori le serveur asterisk s'emmele les pinceaux lorsqu'il a besoin de faire sonner un téléphone se trouvant derrière cette ipwan. J'ai tenté de désactiver la fonction "sip alg", en suivant quelques post cisco/forum etc ... J'ai donc cette directive dans ma conf : no ip nat service sip udp port 5060 no ip nat service sip tcp port 5060 ça ne donne rien, le téléphone se présente toujours au server asterisk avec son ip wan et pas son ip lan. Je désespère un peu je pense avoir quasiment tout tenté. Si quelqu'un à une idée. Cordialement. -- Alexandre Legrix Euro Web - Location de serveurs dediés et infogérés. Tel : 01 75 43 75 75 --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Vlans traversants
On Jul 29, 2009, at 11:28 AM, Raphael Maunier wrote: Le 29 juil. 09 à 11:03, Raphael Mazelier a écrit : Bonjour à tout le monde sur la liste. Hier en regardant le design de notre archi de firewalling interne je me suis demandé pourquoi on en été arrivé à une telle complexité : pas moins de 8 sessions bgps croisés entre les deux firewalls en cluster... bref. K.I.S.S ... la seule rêgle d'ingénierie intangible. Je me rappelle que le départ de ce design "complexe" était du au fait que nous voulions pas de vlans 'traversants' entre nos différents sites et sur nos interlans. Les différents ingé réseaux que j'ai connus m'ont toujours affirmé que faire des vlans propagés sur plusieurs sites physiques c'était pas bien. Le soucis souvent des inge, c'est qu'ils n'ont souvent pas de notion de prix et de passation d'information en cas de changement de personnel. Généralisation abusive. Et encore, c'est plus une question de bosser comme un goret ou faire preuve de méthodologie. Y'a des tocards partout, et du ressenti envers les diplomés aussi, ca fait une moyenne. C'est bien de se faire plaisir parfois, de mon cote je suis plutot partisan du "keep it simple". Chez Neo, nous avons fonctionne tres longtemps en spanning-tree sur Cisco 6500 sans soucis. Spanning tree, c'est hyper chiant en terme d'interop. 802.1D, 802.1W sont clairs sur l'automate à état fini qu'est STP/RSTP, mais l'implem varie tellement que ca t'oblige souvent à être mono-constructeur si tu veux pas te prendre la tête... been there, done that... En effet, y'a pas de solution magique, mais d'un point de vue perso, le trunking versus le load-balancing IP j'ai fait mon choix. Ensuite quand on a commence a avoir beaucoup de debit, le load- balancing, backup etc etc, nous avons tout passe en L3. Je peux concevoir qu'il vaut mieux avoir des coupures "propres" niveau layer3 plutôt qu'avoir un layer 2 coupé en deux, mais a quel prix niveau compléxité qui en découle ? Je penses aussi qu'il vaut mieux avoir des gateway sur le même site pour éviter des aller- retours inutiles sur l'interlan. Je ne vois pas les blocages d'avoir des vlans pour chaque "interco" / 31 ou /30 entre les equipements. Si le spanning-tree est correctement configure, je ne vois pas pourquoi monter une usine a gaz alors que l'on pourrait faire super simple. De toute façon t'as intérêt à faire simple, vu que tu seras dignitaire et mainteneur de ton archi. Autant pas faire compliqué et efficace... J'aimerai avoir votre avis et des arguments sur cette affirmation car je trouve ca quand même assez pratique du point de vue de l'administrateur système que je suis. Cdt, -- raf Greg
Re: [FRnOG] cisco1811 désactivation du ser vice SIP ALG
Le 30/07/2009 10:57, Alexandre Legrix a écrit : sip show peer numerodupeer Ainsi on remarque la ligne suivante : Reg. Contact : sip:u...@192.168.1.7:5060 Ce qui est un contact faux, puisque ton contact est censé être quelque chose de contactable au sens IP du terme. Mais cela marche car Asterisk sait que ton peer est Naté et donc envoie les paquets sur l'@IP d'où il a recu le paquet. On remarque ce type d'enregistrement sur un serveur asterisk lorsque tout va bien. (pour mon cas) Avec la fonction ALG cisco l'enregistrement se fait plutot ainsi : Reg. Contact : sip:u...@ipwan:8190 Ce contact est bon si ton cisco a bien natté sur le port 8190. Le problème en général c'est qu'il faut laisser les pinhole ouvert sur ce port (la table nat si tu veux). Est ce que t'on asterisk fait du qualify ou mieux est ce que ton téléphone à paramètre nat keepalive quelconque. Le problème étant que Appriori le serveur asterisk s'emmele les pinceaux lorsqu'il a besoin de faire sonner un téléphone se trouvant derrière cette ipwan. J'imagine que tu n'as pas de problème pour les appels sortants. Si ce c'est le cas c'est clairement un problème de pinhole. sip debug peer est ton ami. Il faudrait aussi pouvoir sniffé du coté de ton tél. J'ai tenté de désactiver la fonction "sip alg", en suivant quelques post cisco/forum etc ... J'ai donc cette directive dans ma conf : no ip nat service sip udp port 5060 no ip nat service sip tcp port 5060 Hum ca désactive le nat sur le port en question globalement; pas sur que cela marche. Regarde la doc de référence cisco sur le sujet : http://www.cisco.com/en/US/docs/ios/security/configuration/guide/sec_sip_alg_aic.html ça ne donne rien, le téléphone se présente toujours au server asterisk avec son ip wan et pas son ip lan. Je désespère un peu je pense avoir quasiment tout tenté. Si quelqu'un à une idée. Cordialement. Ah les joies de la Voip et du Nat. Pourquoi les vendeurs essaye t'il de refourguer des ALG sip qui ne marche jamais ? -- raf --- Liste de diffusion du FRnOG http://www.frnog.org/
[FRnOG] cisco1811 désactivation du service SIP ALG
Bonjour. J'ai un routeur cisco 1811 dualwan. Sur ce routeur j'ai de configuré deux connexions wan. Une connexion WAN adsl s'établissant en ppp. Une interco SDSL. Derrière ce routeur Cisco sont branchés dans le LAN des téléphones SIP. Je rencontre sur mon serveur asterisk des incohérances au niveau des enregistrements SIP des téléphones qui sont derrière ce routeur cisco à cause de la fonction sip ALG. Je m'explique. Classiquement lorsqu'un téléphone s'enregistre en sip (quand on est derrière un routeur bas de gamme ou ne disposant pas de fonction ALG), on peut le voir dans asterisk en faisant : sip show peer numerodupeer Ainsi on remarque la ligne suivante : Reg. Contact : sip:u...@192.168.1.7:5060 On remarque ce type d'enregistrement sur un serveur asterisk lorsque tout va bien. (pour mon cas) Avec la fonction ALG cisco l'enregistrement se fait plutot ainsi : Reg. Contact : sip:u...@ipwan:8190 Le problème étant que Appriori le serveur asterisk s'emmele les pinceaux lorsqu'il a besoin de faire sonner un téléphone se trouvant derrière cette ipwan. J'ai tenté de désactiver la fonction "sip alg", en suivant quelques post cisco/forum etc ... J'ai donc cette directive dans ma conf : no ip nat service sip udp port 5060 no ip nat service sip tcp port 5060 ça ne donne rien, le téléphone se présente toujours au server asterisk avec son ip wan et pas son ip lan. Je désespère un peu je pense avoir quasiment tout tenté. Si quelqu'un à une idée. Cordialement. -- Alexandre Legrix Euro Web - Location de serveurs dediés et infogérés. Tel : 01 75 43 75 75 --- Liste de diffusion du FRnOG http://www.frnog.org/