[echo]

Tere! Kas on keegi pannud tööle (Elioni) IP-telefoni Cisco 881 ruuteri taha? Otsin infot, aga Cisco+VoiP on mu jaoks veel liiga uus teema.
Praeguse konfiga ta ei tööta. Samas, kunagi on sinna sisse löödud, et sip'ile tehakse ka inspect. Ei tea, kuna selle mahavõtmist katsetada saan, telefon pole enda juures.

Seadme tarkvara info:
Cisco IOS Software, C880 Software (C880DATA-UNIVERSALK9-M), Version 12.4(15)XZ, RELEASE SOFTWARE (fc2)

[Etz]

Keera ruuterist SIP ALG maha...

[echo]

Aitäh, proovin millalgi järgi, annan teada, mis sai.

[Dirty Harry]

link :: Elioni Äritelefon

Vähe allpool on "Internetikõneteenuste kasutamise tingimused ja parameetrid".

[echo]

Aitäh, eile sai korra testida, võtsin selle tcp/udp maha, aga telefonile ei tule nö. piltigi ette, st. ta ei saa numbrit kätte.

Seal on välisele liidesele pandud "access-group in" (ruuter pole minu konfitud, aga seda on tehtud SDM-ga), see peaks tähendama väljast sisse tulevate ühenduste reguleerimist, nagu vastava listi sisu vaadates võib arvata.
Sisevõrgu Vlan1 peal on samuti "access-group in" ja see vist peaks tähendama sisevõrgust väljuva liikluse reguleerimist. Vastavat listi vaadates näen, et seal on üldiselt tegeletud smtp-ga, mitte aga voipi-teemaliste teenuste/portidega. Lõpeb see "permit ip any any"-ga, st. kõik muu siiski välja lubatakse.

Elioni nimekirjas on veel soovitused NATi sessiooni pikendamiseks 70 sekundini.
Lõin siis sisse
Router881(config)#ip nat translation udp-timeout 90
Router881(config)#ip nat translation tcp-timeout 90
Router881(config)#ip nat translation timeout 90
(viimase leidsin hiljem, vist käib kõikide protokollide kohta korraga)
Testida aga saab taas hiljem, hetkel ei tea, kas need viimased midagi aitasid.

[Etz]

acces-group in alla tuleks lisada ilmselt VoIP vahemikud, telefonile konfi selga saatmine toimub minu teada väljaspoolt...
Samuti pead vlan1 peal lubama liiluse VoIP serveri poole, muidu pole sul telefonis toonigi.

[Andrus Luht]

Ma just tegin ühe kontori, kus läks ülesse see sama 881 ning peal tal Cisco IOS Software, C880 Software (C880DATA-UNIVERSALK9-M), Version 15.2(2)T, RELEASE SOFTWARE (fc1)
Mitte midagi - kordan MITTE MIDAGI erilist polnud vaja konfida, et asi tööle hakkaks. Telefonideks olid samuti Cisco 502 ja 504 karbid (~10 tükki). Käivad üle NATi välja nagu mühin.

[Etz]

Andrus Luht, sul pole muidugi ju õrna aimugi, nagu ka minul...mis seal ruuteris kõik kokku võib keedetud olla.

Normaaloludes peaks niisama lihtsalt käima minema, ainult NAT sip alg maha ja tuld...
Samuti pole ma iialgi ühtegi Cisco seadet SDM`iga konfinud, nii et mul pole õrna aimugi, mis see jaava vidin veel ruuteris kokku keerata võib.

[Andrus Luht]

Etz, vastupidiselt sinule on mul väga täpne ülevaade sellest, mis seal ruuteris kirjas
Nimelt oli tegu tuliuue karbiga, mille konfi ise tegin, vanamoodsalt, üle konsooli. Nendesse Java pajebennidesse mul usku pole...

[Etz]

Andrus Luht, selge, ma siis rohkem sõna ei võta sel teemal...

[echo]

See SDM on seal sihukese asja kokku keeranud, et ei viitsi hakata analüüsimagi, mida kõike seal tehtud on...

[Andrus Luht]

echo, tee talle aga 0x2102 ja konfi käsitsi ära.

[echo]

See kõlab hetkel veel rohkem hirmutavana
Aga ega sellest varsti vist ei pääse ka, sest tolle ruuteri konfis võib juba kultuurikihte eristada...

Lisa:
Niisiis, paistab, et ei ole midagi aidanud. Kuna seal on sisevõrgust väljuv liiklus kuigivõrd piiratud, siis lubasin sellele telefonile välja kõik teenused piiramatult, aga ikka pole tal numbrit ees ja kellaaeg on vana, kuigi reegli logist on näha, et mingeid ühendusi ta välja teeb. Ma küll ei vaadanud, mis need täpsemalt on.

[terat]

mis sul muud üle jääb confi ikka nullist, siis on selge mis ja kus.

[echo]

Noh, nullist konf sõltub paraku kliendist, ega see mingi kiire tegevus praegusel juhul pole, seetõttu peab selle veel edasi lükkama.
Iseenesest tahaks siiski aru saada, kus see takistaja on.
Ma ei saanud tegelikult aru, miks need
no ip nat service sip tcp port 5060
no ip nat service sip udp port 5060
üldse peaksid aitama. ALG-d käsus otseselt ei mainita ka. NAT aga peab ju ka SIP-i jaoks töötama. Peale vaadates jääb mulje, et pigem keelatakse NAT nagu teenusepõhiselt ära, mis pole kindlasti see, mis vaja. Aga paraku pole mul piisavalt kogemust sellega.

Leidsin taolise info ka sealt:
class-map type inspect match-any CCP-Voice-permit
match protocol h323
match protocol skinny
match protocol sip

Lisaks (lühendatult)
policy-map type inspect ccp-inspect
description in-to-out
class type inspect CCP-Voice-permit
inspect

zone
service-policy type inspect ccp-inspect

Ma eemaldasin selle sip-i sealt CCP-Voice-permit nimekirjast ära, lähtudes sellest, et ruuter ei peaks SIP-ile vahele segama, aga kui see ka kuidagi NATi mõjutab, pole vist hea. Õigupoolest ma ei tea, milleks on üldse vaja inspecti teha. On see inspect tegelikult sama, mis ALG? Ma pole Cisco terminitega kursis.

Katsetada saan tehtud muutusi millalgi hiljem. Kommentaarid teretulnud

[Andrus Luht]

echo, pane oma täielik konfi siia, siis ehk keegi viitsib sellega tutvuda ja sulle ka nõu anda. Praegune abi palumine on küll paras peitusemäng...

[echo]

Ehk teengi nii, vaatan järgmisel nädalal uuesti.

[Dogbert]

Ma ei tea küll midagi konkreetsest ruuterist, aga pfSense ruuteritarkvaral on juba vaikimisi peale keeratud väljuvatele ühendustele nn "saatiline port" - see tähendab seda, et kui NAT taga oleva seadme x pordist tuleb pakett, mis on adresseeritud aadressile a, siis ruuter võtab selle paketi ja saadab ta aadressile a ka just sellestsamast pordist x.

SIP telefonidega on aga see jama, et traditsiooniline vaikimisi seadistus saadab SIP pakette välja alati pordilt 5060. Kui nüüd NAT taga on rohkem kui üks VoIP telefon ja nad kõik saadavad oma SIP pakette Elioni SIP proxy-sse, siis sellise "staatilise pordiga" ruuteri taga pääseb proxyga ühendust looma ainult kõige esimesena jaole pääsenud telefon (ja kuna Elionil on SIP proxy dubleeritud aadressil b*, siis pääseb ka teine telefon ühendust looma), aga mahajääjate jaoks on ruuteril port 5060 aadressile a juba hõivatud (ja aadressile b samuti), siis ülejäänud telefonid jäävad ilma.

pfSense'i puhul on lihtsaimaks lahenduseks lõpetada väljuvatel ühendustel "staatilise pordi" kasutamine - tuleb luua ise väljuvate ühenduste reegel, kus on lubatud kasutada suvalist porti, mitte tingimata NAT taga asuva seadme poolt kasutatud porti.

Teine variant on igale telefonile määrata SIP pordiks mingi individuaalne port.

(Olen selle kadalipu ise konkreetselt läbi teinud ja telefone paigaldanud tehnikust polnud siinjuures mingit abi - tema jaoks oli see täiesti arusaamatu ja tundus, et kogu ruutimine üldse )


Antud juhtumil ma ei oska küll lahendust pakkuda (peale telefonide SIP portide muutmise), aga ehk annab minu kirjeldus vihje, kust kandist ruuteri konfis võiks viga otsida.

_________________________________
*~$ dig @dns.estpak.ee proxy.emm.elion.ee

Spoiler

; <<>> DiG 9.7.3 <<>> @dns.estpak.ee proxy.emm.elion.ee ; (1 server found) ;; global options: +cmd ;; Got answer: ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 58700 ;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 2, ADDITIONAL: 2 ;; QUESTION SECTION: ;proxy.emm.elion.ee.            IN      A ;; ANSWER SECTION: proxy.emm.elion.ee.     96      IN      A       217.159.187.4 ;; AUTHORITY SECTION: emm.elion.ee.           7234    IN      NS      edns02.emm.elion.ee. emm.elion.ee.           7234    IN      NS      edns01.emm.elion.ee. ;; ADDITIONAL SECTION: edns01.emm.elion.ee.    995     IN      A       195.250.168.162 edns02.emm.elion.ee.    4357    IN      A       195.250.168.168 ;; Query time: 22 msec ;; SERVER: 194.126.115.18#53(194.126.115.18) ;; WHEN: Sat Sep 15 13:50:34 2012 ;; MSG SIZE  rcvd: 126

[vaegkuulja]

[indrpo]

Cisco hingeelu pole küll minu ala kuid SIP ALG disabled ja voip töötab. Nii nagu Etz ütles.
Loomulikult tuleb midagi aretada kui X VPN lahendused kasutusel.

Mainiks ära, et kui kasutusel ka Cisco manageeritav switch siis sellel tuleb portidele seadistada PC+Phone häälestus, juhul kui ühe pordi taga on telefon+lauaarvuti vms. (võimalik, et olukord ei puuduta üldse sinu võrku)

[echo]

Hetkel asi seisab, kuna ruuteri saatus on küsimärgi all, erinevate inimeste poolt minevikus konfitud ja pilt jube segane. Seal tekkis sama probleem juba järgmise teenusega ja põhjust pole leidnud.
Huvitav, kuivõrd IPv6 olukorda parandab, kui IP-telefon on küll tulemüüri taga, aga mitte enam NATi ruuteri taga.

Aga sisuliselt, leidsin sellise lehe: http://www.cisco.com/en/US/docs/security/asa/asa72/configuration/guide/inspect.html#wp1204403
Seal on mh. kirjas:

To support SIP calls through the security appliance, signaling messages for the media connection addresses, media ports, and embryonic connections for the media must be inspected, because while the signaling is sent over a well-known destination port (UDP/TCP 5060), the media streams are dynamically allocated. Also, SIP embeds IP addresses in the user-data portion of the IP packet. SIP inspection applies NAT for these embedded IP addresses.

The following limitations and restrictions apply when using PAT with SIP:
If a remote endpoint tries to register with a SIP proxy on a network protected by the security appliance, the registration fails under very specific conditions, as follows:
–PAT is configured for the remote endpoint.
–The SIP registrar server is on the outside network.
–The port is missing in the contact field in the REGISTER message sent by the endpoint to the proxy server.

Aru saan siit sellest, et mingi häda on just selle olukorraga, kus SIP-server on väljaspool IP-telefoni (sise-)võrku.

[Dogbert]

vaegkuulja, see staatiline port kehtib vaid teatud kindlatele protokollidele (või portidele) nagu SIP ja ISAKMP for IPsec VPN. SIP puhul kehtib see ka vaid eelmise, praegusest release'st mitu aastat vanema versiooniga (v1.2.3 ja vanemad), uuel versioonil (v2) juba enam mitte.
http://doc.pfsense.org/index.php/Static_Port
http://doc.pfsense.org/index.php/Outbound_NAT