Re: [FRnOG] cisco1811 désactivation du ser vice SIP ALG

2009-07-30 Par sujet Raphael Mazelier 

Le 30/07/2009 10:57, Alexandre Legrix a écrit :

sip show peer numerodupeer

Ainsi on remarque la ligne suivante :

Reg. Contact : sip:u...@192.168.1.7:5060
   
Ce qui est un contact faux, puisque ton contact est censé être quelque 
chose de contactable au sens IP du terme.
Mais cela marche car Asterisk sait que ton peer est Naté et donc envoie 
les paquets sur l'@IP d'où il a recu le paquet.

On remarque ce type d'enregistrement sur un serveur asterisk lorsque
tout va bien. (pour mon cas)

Avec la fonction ALG cisco l'enregistrement se fait plutot ainsi :

Reg. Contact : sip:u...@ipwan:8190
   

Ce contact est bon si ton cisco a bien natté sur le port 8190.

Le problème en général c'est qu'il faut laisser les pinhole ouvert sur 
ce port (la table nat si tu veux).
Est ce que t'on asterisk fait du qualify ou mieux est ce que ton 
téléphone à paramètre nat keepalive quelconque.

Le problème étant que Appriori le serveur asterisk s'emmele les pinceaux
lorsqu'il a besoin de faire sonner un téléphone se trouvant derrière
cette ipwan.
   
J'imagine que tu n'as pas de problème pour les appels sortants. Si ce 
c'est le cas c'est clairement un problème de pinhole.
sip debug peer est ton ami.  Il faudrait aussi pouvoir sniffé du coté de 
ton tél.

J'ai tenté de désactiver la fonction sip alg, en suivant quelques post
cisco/forum etc ...

J'ai donc cette directive dans ma conf :

no ip nat service sip udp port 5060
no ip nat service sip tcp port 5060
   
Hum ca désactive le nat sur le port en question globalement; pas sur que 
cela marche.

Regarde la doc de référence cisco sur le sujet :
http://www.cisco.com/en/US/docs/ios/security/configuration/guide/sec_sip_alg_aic.html


ça ne donne rien, le téléphone se présente toujours au server asterisk
avec son ip wan et pas son ip lan.

Je désespère un peu je pense avoir quasiment tout tenté.
Si quelqu'un à une idée.

Cordialement.

   
Ah les joies de la Voip et du Nat. Pourquoi les vendeurs essaye t'il de 
refourguer des ALG sip qui ne marche jamais ?


--
raf



---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] cisco1811 désactivation du ser vice SIP ALG

2009-07-30 Par sujet Raphael Mazelier 



Effectivement c'est un hack lié au SIP et c'est faux au sens IP.

Mais mon client s'en fout :) Il veut que ça fonctionne Comme il a
l'habitude
   

Alors change de routeur.
 Non plus sérieusement c'est fatalement désactivable. Avis aux experts 
cisco.



Appels sortant ok.

   
Donc problèmes de fermetures de pinholes. Dans le pire des cas mets un 
register timeout très bas sur tes téléphones. Genre moins de 30 
secondes, ca devrait suffire à garder ouvert.


Tant que c'est désactivable ils peuvent fournir ce qu'ils ont envie.
La vraie question de ce post est : Comment désactiver cette feature
cisco ?

   
Hum c'est parfois très bizarre à désactiver, je me rappelle entre autre 
des ST605 ou même sur des Netscreen, c'était pas ultra intuitif.

Mais c'était faisable. Tout espoir est permis.

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] cisco1811 désactivation du ser vice SIP ALG

2009-07-30 Par sujet pierre 

Raphael Mazelier wrote:





Tant que c'est désactivable ils peuvent fournir ce qu'ils ont envie.
La vraie question de ce post est : Comment désactiver cette feature
cisco ?

   
Hum c'est parfois très bizarre à désactiver, je me rappelle entre 
autre des ST605 ou même sur des Netscreen, c'était pas ultra intuitif.

Mais c'était faisable. Tout espoir est permis.

Sur un NS SSG140 y'a :

unset alg sip enable

qui peut sauver de vies.

--
PG.


---
Liste de diffusion du FRnOG
http://www.frnog.org/