Re: Problema con clientes de Voz IP
kazabe wrote: El siguiente es mi script de firewall. Como podran notar, uso ACCEPT como politica por defecto, y tengo habilitado nat para toda la red. No veo en ningún momento dónde establecés las políticas del firewall. Si no tengo ningun puerto cerrado para salir, debo abrir explicitamente los puertos para vozip? No. #Aceptamos los paquetes de la conexion ya establecida $IPTABLES -A INPUT -p TCP -m state --state RELATED -j ACCEPT #Rechazamos los de conexiones nuevas $IPTABLES -A INPUT -i $EXT -m state --state NEW,INVALID -j DROP #Rechazamos las conexiones de forwarding no establecidas $IPTABLES -A FORWARD -i $EXT -m state --state NEW,INVALID -j DROP echo Listo Acá está el problema. Como ya te mencioné antes, en la mayoría de los protocolos de VoIP, la voz (media) es aparte de la señalización y se negocia mediante la misma. Supongamos que sea SIP, en los paquetes de comienzo de la llamada (INVITE) indicas qué puertos usarás para media y en el paquete de conexión (200 OK) te dirá a dónde tienes que enviar la media. Pero es una nueva conexión por dos puertos distintos y la voz entrante es, casualmente, una nueva conexión entrante. Como también mencioné antes, para SIP viene un módulo para conntrack que justamente marca dichos paquetes de media como RELATED en lugar de como NEW para evitar este problema (al igual que lo hace el módulo para conntrack de FTP). Saludos, Toote -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: Problema con clientes de Voz IP
El siguiente es mi script de firewall. Como podran notar, uso ACCEPT
como politica por defecto, y tengo habilitado nat para toda la red.
Si no tengo ningun puerto cerrado para salir, debo abrir
explicitamente los puertos para vozip?
saludos
#!/bin/bash
IPTABLES=/sbin/iptables
#Interfaz WAN
EXT=eth0
#Interfaz LAN
INT=eth1
case $1 in
start)
#Se cargan los modulos necesarios
echo Configurando reglas de Firewall...
#activamos el IPFORWARDING
echo -n Activando el soporte para IP Forwarding...
echo 1 /proc/sys/net/ipv4/ip_forward
echo listo
#eliminamos las reglas anteriores
echo -n Borrando las reglas de firewall anteriores:
$IPTABLES -F INPUT
$IPTABLES -F OUTPUT
$IPTABLES -F FORWARD
$IPTABLES -F
$IPTABLES -t nat -F
echo Listo
echo -n Activando NAT:
$IPTABLES -t nat -A POSTROUTING -s 192.168.12.0/24 -d 0.0.0.0/0
-o
$EXT -j MASQUERADE
echo Listo
echo -n Cargando los parametros del filtro de navegacion:
$IPTABLES -t nat -A PREROUTING -p TCP -s 192.168.12.0/24
--dport 80
-d -j REDIRECT --to-port 3128
echo Listo
echo -n Desactivando ICMP echo request
$IPTABLES -A INPUT -i $EXT -p ICMP -j ACCEPT
echo Listo
echo -n Configurando las reglas para los puertos del Firewall
#22: SSH
$IPTABLES -A INPUT -i $EXT -p TCP --dport 22 -m state --state
NEW -j ACCEPT
#ACCESO HTTPS
$IPTABLES -A INPUT -i $EXT -p TCP --dport 443 -m state --state
NEW -j ACCEPT
#APACHE
$IPTABLES -A INPUT -i $EXT -p TCP --dport 80 -m state --state
NEW -j ACCEPT
echo Listo
echo -n Detalles finales...
#Aceptamos los paquetes de la conexion ya establecida
$IPTABLES -A INPUT -p TCP -m state --state RELATED -j ACCEPT
#Rechazamos los de conexiones nuevas
$IPTABLES -A INPUT -i $EXT -m state --state NEW,INVALID -j DROP
#Rechazamos las conexiones de forwarding no establecidas
$IPTABLES -A FORWARD -i $EXT -m state --state NEW,INVALID -j
DROP
echo Listo
;;
stop)
echo -n Deteniendo el Firewall:
$IPTABLES -F INPUT
$IPTABLES -F OUTPUT
$IPTABLES -F FORWARD
$IPTABLES -F
$IPTABLES -t nat -F
echo Listo!
;;
restart)
$0 stop
echo -n Desactivando por unos segundos mientras se recargan las
reglas nuevamente:
sleep 2
echo Listo
$0 start
;;
status)
$IPTABLES -L
$IPTABLES --table nat --list --exact --verbose --numeric
--line-numbers
;;
*)
echo Usage: $0 {start|stop|restart|status}
exit 1
esac
exit 0
2008/4/2, Elvis Aaron Presley [EMAIL PROTECTED]:
Sin conocer expresamente el tema de la voz ip, sí te puedo decir que parece
tema de que estás bloqueando algún puerto que no debes. ¿Puedes poner tu
script de firewall? ¿Sabes que puertos usa el voz ip?
Un saludo.
Elvis
-Mensaje original-
De: kazabe [mailto:[EMAIL PROTECTED]
Enviado el: miércoles, 02 de abril de 2008 17:09
Para: Debian User Spanish
Asunto: Problema con clientes de Voz IP
Buenas.
Tengo un problemilla con una red en la que un servidor debian hace las veces
de proxy y firewall. Necesitamos conectar unos clientes de voz ip a un
servidor en otra ciudad, pero no funciona desde mi red. Tengo el firewall
haciendo nat con un sencillo script de iptables, y los clientes de voz ip se
autentican correctamente en el servidor asterisk remoto, e inclusive puedo
marcar a las extensiones del servidor remoto. pero ni escucho, ni me
escuchan.
Alguno de ustedes ha tenido un problema similar?como puedo
encontrar el problema? Como ya comente, desde cualquier conexion a internet
funciona sin problemas, pero no funciona para los clientes detras de ese
servidor
gracias por su ayuda
saludos
--
Imagination is more important than knowlege
A.E.
--
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of unsubscribe. Trouble? Contact
[EMAIL PROTECTED]
--
Imagination is more important than knowlege
A.E.
RE: Problema con clientes de Voz IP
Sin conocer expresamente el tema de la voz ip, sí te puedo decir que parece tema de que estás bloqueando algún puerto que no debes. ¿Puedes poner tu script de firewall? ¿Sabes que puertos usa el voz ip? Un saludo. Elvis -Mensaje original- De: kazabe [mailto:[EMAIL PROTECTED] Enviado el: miércoles, 02 de abril de 2008 17:09 Para: Debian User Spanish Asunto: Problema con clientes de Voz IP Buenas. Tengo un problemilla con una red en la que un servidor debian hace las veces de proxy y firewall. Necesitamos conectar unos clientes de voz ip a un servidor en otra ciudad, pero no funciona desde mi red. Tengo el firewall haciendo nat con un sencillo script de iptables, y los clientes de voz ip se autentican correctamente en el servidor asterisk remoto, e inclusive puedo marcar a las extensiones del servidor remoto. pero ni escucho, ni me escuchan. Alguno de ustedes ha tenido un problema similar?como puedo encontrar el problema? Como ya comente, desde cualquier conexion a internet funciona sin problemas, pero no funciona para los clientes detras de ese servidor gracias por su ayuda saludos -- Imagination is more important than knowlege A.E. -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: Problema con clientes de Voz IP
kazabe escribió: Necesitamos conectar unos clientes de voz ip a un servidor en otra ciudad, pero no funciona desde mi red. Tengo el firewall haciendo nat con un sencillo script de iptables, y los clientes de voz ip se autentican correctamente en el servidor asterisk remoto, e inclusive puedo marcar a las extensiones del servidor remoto. pero ni escucho, ni me escuchan. Como han comentado, parece que podría haber algún problema de filtrado de puertos. Para comprobarlo, lo más fácil es hacer una conexión controlada mediante un sniffer y ver que y dónde intenta conectar. Comprobando si el tráfico llega correctamente (logs de iptables). -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: Problema con clientes de Voz IP
Buenas, La voip utiliza un protocolo llamado SIP, pero no tengo claro si este protocolo es un protocolo de red como puede ser TCP o UDP. Tengo la sensación por lo que has comentado, que el problema viene de que estás bloqueando la conexión SIP, ya que el marcado se realiza mediante una conexión UDP. Deberías mirar si puedes abrir ese protocolo, aunque, en cualquiera de los casos, lo que está claro es que con un sniffer podrás averiguar qué conexiones está intentando establecer. Un saludo. 2008/4/2 José A. Barrera [EMAIL PROTECTED]: kazabe escribió: Necesitamos conectar unos clientes de voz ip a un servidor en otra ciudad, pero no funciona desde mi red. Tengo el firewall haciendo nat con un sencillo script de iptables, y los clientes de voz ip se autentican correctamente en el servidor asterisk remoto, e inclusive puedo marcar a las extensiones del servidor remoto. pero ni escucho, ni me escuchan. Como han comentado, parece que podría haber algún problema de filtrado de puertos. Para comprobarlo, lo más fácil es hacer una conexión controlada mediante un sniffer y ver que y dónde intenta conectar. Comprobando si el tráfico llega correctamente (logs de iptables). -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED] -- Linux registered user ~#363219 PGP keys avaiables at KeyServ. ID: 0x4233E9F2 Los hombres somos esclavos de la historia
Re: Problema con clientes de Voz IP
El 2/04/08, David López Zajara (Er_Maqui) [EMAIL PROTECTED] escribió: Buenas, La voip utiliza un protocolo llamado SIP, pero no tengo claro si este protocolo es un protocolo de red como puede ser TCP o UDP. Tengo la sensación por lo que has comentado, que el problema viene de que estás bloqueando la conexión SIP, ya que el marcado se realiza mediante una conexión UDP. Deberías mirar si puedes abrir ese protocolo, aunque, en cualquiera de los casos, lo que está claro es que con un sniffer podrás averiguar qué conexiones está intentando establecer. Un saludo. 2008/4/2 José A. Barrera [EMAIL PROTECTED]: kazabe escribió: Necesitamos conectar unos clientes de voz ip a un servidor en otra ciudad, pero no funciona desde mi red. Tengo el firewall haciendo nat con un sencillo script de iptables, y los clientes de voz ip se autentican correctamente en el servidor asterisk remoto, e inclusive puedo marcar a las extensiones del servidor remoto. pero ni escucho, ni me escuchan. Como han comentado, parece que podría haber algún problema de filtrado de puertos. Para comprobarlo, lo más fácil es hacer una conexión controlada mediante un sniffer y ver que y dónde intenta conectar. Comprobando si el tráfico llega correctamente (logs de iptables). -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED] -- Linux registered user ~#363219 PGP keys avaiables at KeyServ. ID: 0x4233E9F2 Los hombres somos esclavos de la historia saludos la voz ip utiliza el puerto 5060 udp si utilizas softphone dicho coso se debe registrar asi: ip.serverip.remoto:5060 y debes tener abierto un rango de puertos udp en tu servidor ip, dicho rango lo debes definir en tu archivo sip.conf suerte en la tarea mmejiav
Re: Problema con clientes de Voz IP
El 2/04/08, mmejiav [EMAIL PROTECTED] escribió: El 2/04/08, David López Zajara (Er_Maqui) [EMAIL PROTECTED] escribió: Buenas, La voip utiliza un protocolo llamado SIP, pero no tengo claro si este protocolo es un protocolo de red como puede ser TCP o UDP. Tengo la sensación por lo que has comentado, que el problema viene de que estás bloqueando la conexión SIP, ya que el marcado se realiza mediante una conexión UDP. Deberías mirar si puedes abrir ese protocolo, aunque, en cualquiera de los casos, lo que está claro es que con un sniffer podrás averiguar qué conexiones está intentando establecer. Un saludo. 2008/4/2 José A. Barrera [EMAIL PROTECTED]: kazabe escribió: Necesitamos conectar unos clientes de voz ip a un servidor en otra ciudad, pero no funciona desde mi red. Tengo el firewall haciendo nat con un sencillo script de iptables, y los clientes de voz ip se autentican correctamente en el servidor asterisk remoto, e inclusive puedo marcar a las extensiones del servidor remoto. pero ni escucho, ni me escuchan. Como han comentado, parece que podría haber algún problema de filtrado de puertos. Para comprobarlo, lo más fácil es hacer una conexión controlada mediante un sniffer y ver que y dónde intenta conectar. Comprobando si el tráfico llega correctamente (logs de iptables). -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED] -- Linux registered user ~#363219 PGP keys avaiables at KeyServ. ID: 0x4233E9F2 Los hombres somos esclavos de la historia saludos la voz ip utiliza el puerto 5060 udp si utilizas softphone dicho coso se debe registrar asi: ip.serverip.remoto:5060 y debes tener abierto un rango de puertos udp en tu servidor ip, dicho rango lo debes definir en tu archivo sip.conf suerte en la tarea mmejiav El 5060 (UDP) es el port que se usa en SIP, pero eso es para señalizacion, entonces, si el port esta bien configurado en el firewall se puede mantener señalizacion con lo cual los endpoint se pueden registrar y hasta discar, algo que kazabe si puede hacer. Lo que no puede hacer es que la voz pase, y esto es por que la voz no se transmite por el 5060 sino que se realiza por RTP en ports altos, es ahi es donde esta el problema. Por otro lado, en el server Asterisk, hay que indicar en sip.conf si el usuario sip va a estar detras de NAT o no, el parametro es justamente nat=(yes o no). Tambien, y no creo que sea el problema pero por si acaso, si el Asterisk a su vez esta detras de NAT, en sip.conf hay 2 parametros a configurar, a saber: externip=(ip publica o domain) y localnet = network|mask Saludos.
