Problemas Troncal SIP pasando por Firewall PIX
259 views
Skip to first unread message
Krusher
Aug 4, 2008, 9:40:55 AM8/4/08
to asterisk-es
Estimados:
Les cuento mi problematica:
Hay dos subredes, la 192.168.1.x y la 192.168.10.x, entre medio hay un
firewall PIX que tiene configurado ip estaticas para el nateo (la
192.168.1.x esta en la zona mas segura del FW). Bueno el tema está en
que en la subred 192.168.1.x hay un servidor asterisk y desde
192.168.10.x hay teléfonos los cuales se registran y todo funciona
ok!
Sin embargo, tengo la necesidad de poner un servidor en la subred
192.168.10.x (o desde la internet) y hacer un troncal SIP con el
servidor que tengo en 192.168.1.x, pero no logro que los servidores se
registren y todas estas conexiones pasan a través del PIX… (el troncal
tiene que ser SIP) Buscando encontré el famoso:
fixup protocol sip 5060
fixup protocol sip udp 5060
Le puse no fixup protocol sip 5060 y no fixup protocol sip udp 5060...
logro registrar mi servidor en el otro, pero el problema es que los
teléfonos que pasan a través del PIX, después de un tiempo quedan
unreachable!! Y no se como solucionar esto…
En resumen:
con el fixup, funcionan los teléfonos y no el troncal SIP
con no fixup, funciona el troncal SIP pero los teléfonos quedan
Unreachable.
Espero que me puedan ayudar, de antemano gracias
Saludos
Jaime
p.s.: Los teléfonos que uso son grandstream BT101 y BT102.
Les cuento mi problematica:
Hay dos subredes, la 192.168.1.x y la 192.168.10.x, entre medio hay un
firewall PIX que tiene configurado ip estaticas para el nateo (la
192.168.1.x esta en la zona mas segura del FW). Bueno el tema está en
que en la subred 192.168.1.x hay un servidor asterisk y desde
192.168.10.x hay teléfonos los cuales se registran y todo funciona
ok!
Sin embargo, tengo la necesidad de poner un servidor en la subred
192.168.10.x (o desde la internet) y hacer un troncal SIP con el
servidor que tengo en 192.168.1.x, pero no logro que los servidores se
registren y todas estas conexiones pasan a través del PIX… (el troncal
tiene que ser SIP) Buscando encontré el famoso:
fixup protocol sip 5060
fixup protocol sip udp 5060
Le puse no fixup protocol sip 5060 y no fixup protocol sip udp 5060...
logro registrar mi servidor en el otro, pero el problema es que los
teléfonos que pasan a través del PIX, después de un tiempo quedan
unreachable!! Y no se como solucionar esto…
En resumen:
con el fixup, funcionan los teléfonos y no el troncal SIP
con no fixup, funciona el troncal SIP pero los teléfonos quedan
Unreachable.
Espero que me puedan ayudar, de antemano gracias
Saludos
Jaime
p.s.: Los teléfonos que uso son grandstream BT101 y BT102.
Angel Elena
Aug 4, 2008, 3:25:21 PM8/4/08
to aster...@googlegroups.com
Prueba de subir y jugar con el valor de qualify en el sip.conf o donde tengas configuradas las extensiones
-----Mensaje original-----
De: aster...@googlegroups.com [mailto:aster...@googlegroups.com] En nombre de Krusher
Enviado el: lunes, 04 de agosto de 2008 15:41
Para: asterisk-es
Asunto: [Asterisk-ES] Problemas Troncal SIP pasando por Firewall PIX
Estimados:
Les cuento mi problematica:
Hay dos subredes, la 192.168.1.x y la 192.168.10.x, entre medio hay un firewall PIX que tiene configurado ip estaticas para el nateo (la 192.168.1.x esta en la zona mas segura del FW). Bueno el tema está en que en la subred 192.168.1.x hay un servidor asterisk y desde 192.168.10.x hay teléfonos los cuales se registran y todo funciona ok!
Sin embargo, tengo la necesidad de poner un servidor en la subred 192.168.10.x (o desde la internet) y hacer un troncal SIP con el servidor que tengo en 192.168.1.x, pero no logro que los servidores se registren y todas estas conexiones pasan a través del PIX... (el troncal tiene que ser SIP) Buscando encontré el famoso:
fixup protocol sip 5060
fixup protocol sip udp 5060
Le puse no fixup protocol sip 5060 y no fixup protocol sip udp 5060...
logro registrar mi servidor en el otro, pero el problema es que los teléfonos que pasan a través del PIX, después de un tiempo quedan unreachable!! Y no se como solucionar esto...
-----Mensaje original-----
De: aster...@googlegroups.com [mailto:aster...@googlegroups.com] En nombre de Krusher
Enviado el: lunes, 04 de agosto de 2008 15:41
Para: asterisk-es
Asunto: [Asterisk-ES] Problemas Troncal SIP pasando por Firewall PIX
Estimados:
Les cuento mi problematica:
Hay dos subredes, la 192.168.1.x y la 192.168.10.x, entre medio hay un firewall PIX que tiene configurado ip estaticas para el nateo (la 192.168.1.x esta en la zona mas segura del FW). Bueno el tema está en que en la subred 192.168.1.x hay un servidor asterisk y desde 192.168.10.x hay teléfonos los cuales se registran y todo funciona ok!
fixup protocol sip 5060
fixup protocol sip udp 5060
Le puse no fixup protocol sip 5060 y no fixup protocol sip udp 5060...
Julian J. M.
Aug 4, 2008, 6:34:13 PM8/4/08
to aster...@googlegroups.com
¿No tienes posibilidad de quitar el NAT? Dado que tienes dos subredes
distintas, no veo razón para hacer NAT y que la IP de origen sea
reemplazada por la del firewall cuando un equipo de una red contacta
con otro equipo en el otro lado.
Está claro que el problema que tienes es de timeout en la tabla nat...
Una solución (dependiendo del tiempo de timeout) es activar el
keepalive de los teléfonos (no se si los tienen), o en su defecto usar
qualify=yes para que asterisk envíe un paquete OPTIONS cada
60segundos, manteniendo así abierto el canal.
De cualquier modo, si no hay contraindicaciones, yo eliminaría el NAT
directamente ;)
Julian J. M.
2008/8/4 Krusher <jdi...@gmail.com>:
--
http://www.julianmenendez.es
distintas, no veo razón para hacer NAT y que la IP de origen sea
reemplazada por la del firewall cuando un equipo de una red contacta
con otro equipo en el otro lado.
Está claro que el problema que tienes es de timeout en la tabla nat...
Una solución (dependiendo del tiempo de timeout) es activar el
keepalive de los teléfonos (no se si los tienen), o en su defecto usar
qualify=yes para que asterisk envíe un paquete OPTIONS cada
60segundos, manteniendo así abierto el canal.
De cualquier modo, si no hay contraindicaciones, yo eliminaría el NAT
directamente ;)
Julian J. M.
2008/8/4 Krusher <jdi...@gmail.com>:
http://www.julianmenendez.es
Saúl Ibarra
Aug 5, 2008, 2:26:38 AM8/5/08
to aster...@googlegroups.com
Tu problema nada tiene que ver con Asterisk. Es más bien un tema de
networking :-/
networking :-/
Como bien te ha comentado julian, si los tienes en 2 redes separadas,
lo suyo sería tener una ruta entre las 2, en lugar de hacer NAT...
--
Saúl -- "Nunca subestimes el ancho de banda de un camión lleno de disketes."
----------------------------------------------------------------
http://www.saghul.net/
Krusher
Aug 4, 2008, 3:30:39 PM8/4/08
to asterisk-es
Hola Angel:
gracias por tu respuesta, he intentando usando el qualify pero sin
buenos resultados...
Si pueden darme mas sugerencias se los agradeceré mucho
saludos
gracias por tu respuesta, he intentando usando el qualify pero sin
buenos resultados...
Si pueden darme mas sugerencias se los agradeceré mucho
saludos
Krusher
Aug 4, 2008, 7:16:20 PM8/4/08
to asterisk-es
Hola julian, gracias por responder... te cuento que los telefonos
tienen configurado el keep alive en 20 segundos (valor por defecto de
los grandstream) y todos mis usuarios en el asterisk estan con
qualify=yes. Con respecto al Nat, no lo puedo sacar :(. Yo tambien
sospecho que el problema es por timeout ya que al poner
no fixup protocol sip 5060
como unreachable
saludos
tienen configurado el keep alive en 20 segundos (valor por defecto de
los grandstream) y todos mis usuarios en el asterisk estan con
qualify=yes. Con respecto al Nat, no lo puedo sacar :(. Yo tambien
sospecho que el problema es por timeout ya que al poner
no fixup protocol sip 5060
no fixup protocol sip udp 5060
los telefonos se mantienen registrados un momento y despues quedan
como unreachable
saludos
Angel Elena
Aug 8, 2008, 8:15:17 AM8/8/08
to aster...@googlegroups.com
las 2 redes están conectadas físicamente al pix ?
________________________________
> > registren y todas estas conexiones pasan a través del PIX... (el troncal
________________________________
> > tiene que ser SIP) Buscando encontré el famoso:
>
> > fixup protocol sip 5060
> > fixup protocol sip udp 5060
>
> > Le puse no fixup protocol sip 5060 y no fixup protocol sip udp 5060...
> > logro registrar mi servidor en el otro, pero el problema es que los
> > teléfonos que pasan a través del PIX, después de un tiempo quedan
> > unreachable!! Y no se como solucionar esto...
>
> > fixup protocol sip 5060
> > fixup protocol sip udp 5060
>
> > Le puse no fixup protocol sip 5060 y no fixup protocol sip udp 5060...
> > logro registrar mi servidor en el otro, pero el problema es que los
> > teléfonos que pasan a través del PIX, después de un tiempo quedan
Reply all
Reply to author
Forward
0 new messages