Asterisk bajo firewall y nat
fabricio
implemente un servidor asterisk detras de mi firewall, eso ya esta,
ahora me dijieron que quieren llevar su linksys ata por todos lados
del planeta, y quieren hacer la prueba que se registren y saquen
llamadas y reciban llamadas, ahora esto de llevarlo a todos lados
significa los siguientes escenarios:
1.- que cuando lo lleven el linksys a otro lugar este en una red
privada y que tenga Nat y se registre al asterisk y que realice
llamadas y reciba, y el asterisk que este tambien en una red privada y
que el enlace de internet este nateado.
2.- que cuando lo lleven el linksys a otro lugar este en una red
privada y que tenga un firewall, que se registre y que realice llamdas
y reciba llamadsa, y el asterisk que este en un red privada y que
tenga un firewall por delante.
ahora lo que quieren es que no se llegue a modificar el firewall de
donde vayan a los linksys, mmmm algo asi como skype, googletalk, etc,
que a donde vaya y tenga un firewall o algun tipo de nat, se registra
y realiza llamadas, totalmente transparente.
bueno espero que me hayan podido entender , y asi poder darme una mano
con este tipo de configuracion, muchas gracias
Ing. Rodrigo Fernandez Rodriguez
lineas voip
"habilitale el Nat keep alive"
Para eso podrias probar de la siguiente manera, bajo opciones avanzadas de
administrador en cada propiedad de las lineas hay dos opciones de Nat el nat
keep alive y otro al ladito que nombre no recuerdo, pero esas dos
habilitalas y funcionan bien, en Asterix no las he probado las he probado vs
Carriers de lineas voip y si jalan muy bien, entonces no veo mucha
diferencia.
Salu2
-----Mensaje original-----
De: aster...@googlegroups.com [mailto:aster...@googlegroups.com] En
nombre de fabricio
Enviado el: Miércoles, 01 de Julio de 2009 08:58 a.m.
Para: asterisk-es
Asunto: [Asterisk-ES] Asterisk bajo firewall y nat
Elio Rojano
Has comentado lo que tu cliente quiere, lo que tienes montado (bastante bien por cierto)
aunque me parece que se nos ha olvidado concretar el precio por la consultoría... :P
Es que, una cosa es resolver dudas y otra muy diferente hacer de soporte técnico sobre los
problemas que tienes con los requisitos de tu cliente... ¿no te parece?
http://www.sinologic.net/
Emiliano Vazquez
fabricio
llevarse el ata por todos lados, y que si tienen firewall o nat, ya se
estuvo haciendo esas pruebas, en algunos casos por ejemplo, llega a
registrarse y se puede realizar llamadas, pero en otros casos por
ejemplo un usario se llevo un linksys a una universidad de usa, donde
debe tener un firewall y esta con ip privada, no realiza ni el
registro hacia el asterisk peor recivir llamadas, es muy probable que
el firewall lo este bloqueando, y como dije anteriormente en otros
lugares no ocurre eso, por eso mismo queria saber si existe algun
opcion o alguna solucion para que cuando la gente se lleve un linksys
o algun otro equipo, llegue a registrarse al asterisk y realizar/
revicir llamadas, sin tener que estar desbloqueando puertos de su
firewall. y una ves mas, muchas gracias por los comentarios, con
respecto al Nat keep alive, bueno tengo estos paremetros:
en el linksys
en la seccion SIP
NAT Keep Alive Intvl:15
en la seccion Line 1
NAT Mapping Enable: Yes
NAT Keep Alive Enable: Yes
NAT Keep Alive Msg:$NOTIFY
NAT Keep Alive Dest:$PROXY
Asi esta los parametros.
Ing. Rodrigo Fernandez Rodriguez
Creo mi respuesta no se posteo =’(, solo metete al linksys como administrador avanzado y habilitale el Nat KeepAlive y la otra opcion que esta al lado a ese mismo nivel y ya, prueba de tu oficina a la de tu cliente, si se interconecta ya la hiciste, si quieres probar mas escenarios ve a un hotel renta una habitación (con o sin acompañante =P) y conectate al nodo, aunque siendote sincero pq no mejor? Si de cargar se trata se lleva su laptop con un softphone y ya?
--
http://www.sinologic.net/
<BR
Odicha
----- Original Message -----From: Elio RojanoSent: Wednesday, July 01, 2009 3:38 PMSubject: [Asterisk-ES] Re: Asterisk bajo firewall y nat
Elio Rojano
Esta lista es de usuarios para ayudar a otros usuarios, no para solucionarle la papeleta a alguien que tiene un cliente y unos requisitos que cumplir.
Nada, más... si tiene alguna pregunta concreta, puede decirla sin compromiso, de igual forma se responderá... ahora bien, eso de "mi cliente me ha dicho que quiere poder hacer loqueseaquequiera, ¿cómo se hace? ¿me lo podeis enviar en un archivo? y por favor, que incorpore un tutorial sobre cómo se monta, o mejor si se puede conectar a mi sistema, le quedaré muy agradecido de antebrazo.", pues va ser que no.
Vamos, por mantener un poco la seriedad en esta lista y tal.
http://www.sinologic.net/
Ing. Rodrigo Fernandez Rodriguez
paso en una oficina de gobierno, donde usen Proxy, y todo lo tengan
firewalleado, aunque pongas el ATA de cabeza no va a funcionar pq a la red
de ellos digamos que, no le guta que usen su trafico para ello y no saldrian
porque tendrias los puertos cerrados/denegados, cuando decias todo mundo
pense te referias a hoteles, clubes, centros nocturnos, cibercafés, etc osea
lugares donde NO hubiera un requerimiento alto de seguridad,
Te citare mi caso, en una demo que hicimos lo conectamos en la casa del
cliente y funciono muy bien, cuando conectamos en su oficina no salia porque
tenian en el barrio un sonicwall y tuvimos que abrirle los puertos y darle
permisos a la ip (en la casa del cliente no abrimos puertos ni nada y era un
router tipo 2wire de Telmex mexico) que deduces de eso? Que si tienen un
firewall profesional con opcion de tirar todo lo que no venga en las
reglas... lo va a tirar, o bueno eso me paso a mi
-----Mensaje original-----
nombre de fabricio
Enviado el: Miércoles, 01 de Julio de 2009 10:00 a.m.
Para: asterisk-es
Asunto: [Asterisk-ES] Re: Asterisk bajo firewall y nat
fabricio
abrir puertos y no tuve problema, pero en estos casos desbloquear
puertos en una Universidad u Hotel, etc. es imposible, por eso pensaba
si existiera una opcion de hacerlo transparente como los que les dije
anteriormente(skype,googletalk..), si no me equivoco la magia de estos
proveedores, es que lo hacen bajo puertos http y https, y encriptacion
de regalo, existe algo similar para el caso asterisk??
Ing. Rodrigo Fernandez Rodriguez
universidades donde incluso esas cosas estan bloqueadas, (no por echarle a
las universidades sino me refiero a que hay oficinas donde todo eso esta
bloqueado tambien y bueno, el equipo no es dios para desbloquearse
automagicamente
-----Mensaje original-----
De: aster...@googlegroups.com [mailto:aster...@googlegroups.com] En
nombre de fabricio
Asunto: [Asterisk-ES] Re: Asterisk bajo firewall y nat
bakko
Pero tambien con eso puede haber problemas.
Resulta che donde trabajo cerraron tambien el puerto 443 y (no se si es por
mi inexperiencia) ya no puedo arrancar la VPN ni SSH.
Las tonterias tipo googletalk y MSN, esas si siguen funcionando.
Ramses II
Lo que seguro que te han cortado es 1723 (PPTP) y 22(SSH).
Pero vamos, lo más seguro que hayan hecho es denegar todo tráfico saliente
excepto HTTP (80) y cuatro más.
Saludos,
Ramses
nombre de bakko
Enviado el: miércoles, 01 de julio de 2009 17:58
Para: aster...@googlegroups.com
bakko
Pero entendí una cosa. El computador que uso para acceder a mi servidor ssh
(que escucha en un puerto no estándar) no necesariamente tiene que utilizar
el puerto 22, puede ser cualquiera.
Pero como la comunicación es encriptada con una clave RSA, lo que hicieron
fue no permitir ese tipo de trafico en la red.
Lo mismo me pasa con el OpenVPN.
Lo mismo me pasa si entiendo poner cualquier dirección web que empiece con
https
¿Sigo equivocándome?
Gracias por la aclaración.
Ramses II
1.- Si en sitio tiene Proxy con su cacho de usuario y password y no lo
tenemos, "moooocccc". Caput, por ahí, nada.
2.- Si tienen un firewall y tienen todo el tráfico saliente bloqueado,
"mooooocccc". Caput, por ahí tampoco. Uuuhhhhmmm, ¿todo el tráfico
bloqueado?, alguno tendrán que tener permitido, si no sería absurdo, ¿no?.
¿Cuál sería el tráfico más normal que tuvieran permitido?, joder, claro, el
HTTP, ese pedazo de puerto 80.
Claro, ¿pero qué hago yo con el puerto 80?, no puedo hacer nada, ya que para
un cliente SIP necesitaría también el RTM.
Uuuuhhhmmm, leches, si hubiese por ahí algún protocolo que fuese por un
único puerto y que lo pudiese cambiar en el cliente por el que yo
quisiera.... que bonito sería... ;-)
Solo es pensar en voz alta...:-))
Saludos,
Ramses
-----Mensaje original-----
De: aster...@googlegroups.com [mailto:aster...@googlegroups.com] En
nombre de fabricio
Asunto: [Asterisk-ES] Re: Asterisk bajo firewall y nat
Angel Elena
Ramses, te he enviado un privado; ya me dirás
-----Mensaje original-----
De: aster...@googlegroups.com [mailto:aster...@googlegroups.com] En nombre de Ramses II
Enviado el: miércoles, 01 de julio de 2009 19:47
Para: aster...@googlegroups.com
Elio Rojano
A ver, vamos a pensar un poco en voz alta.
1.- Si en sitio tiene Proxy con su cacho de usuario y password y no lo
tenemos, "moooocccc". Caput, por ahí, nada.
2.- Si tienen un firewall y tienen todo el tráfico saliente bloqueado,
"mooooocccc". Caput, por ahí tampoco. Uuuhhhhmmm, ¿todo el tráfico
bloqueado?, alguno tendrán que tener permitido, si no sería absurdo, ¿no?.
¿Cuál sería el tráfico más normal que tuvieran permitido?, joder, claro, el
HTTP, ese pedazo de puerto 80.
Claro, ¿pero qué hago yo con el puerto 80?, no puedo hacer nada, ya que para
un cliente SIP necesitaría también el RTM.
Uuuuhhhmmm, leches, si hubiese por ahí algún protocolo que fuese por un
único puerto y que lo pudiese cambiar en el cliente por el que yo
quisiera.... que bonito sería... ;-)
Ummm se puede enviar al 5060 SIP y RTP??? xD
Solo es pensar en voz alta...:-))
Saludos,
Ramses
Enviado el: miércoles, 01 de julio de 2009 17:37
-----Mensaje original-----
De: aster...@googlegroups.com [mailto:aster...@googlegroups.com] En
nombre de fabricio
Para: asterisk-es
Asunto: [Asterisk-ES] Re: Asterisk bajo firewall y nat
exactamente, yo igual en algun momento de vida asteriskeana, tuve que
abrir puertos y no tuve problema, pero en estos casos desbloquear
puertos en una Universidad u Hotel, etc. es imposible, por eso pensaba
si existiera una opcion de hacerlo transparente como los que les dije
anteriormente(skype,googletalk..), si no me equivoco la magia de estos
proveedores, es que lo hacen bajo puertos http y https, y encriptacion
de regalo, existe algo similar para el caso asterisk??
--
http://www.sinologic.net/
fabricio
voz alta wajaja, pero hasta ahi no maj jejeje :-) con sip todavia,
pero con rtp no hay donde, o alguien se le ocurrio cambiarlo :-S
Ramses II
A ti te lo voy a contar sin que sueltes la gallina… ;-)
Y si no, verás como se asome Iñaki a la ventana… :-))
Saludos,
Ramses
fabricio
On Jul 1, 3:56 pm, "Ramses II" <ramses.sevi...@gmail.com> wrote:
> A ti te lo voy a contar sin que sueltes la gallina… ;-)
>
> Y si no, verás como se asome Iñaki a la ventana… :-))
>
> Saludos,
>
> Ramses
>
> _____
>
> nombre de Elio Rojano
> Enviado el: miércoles, 01 de julio de 2009 20:36
> Para: aster...@googlegroups.com
> Asunto: [Asterisk-ES] Re: Asterisk bajo firewall y nat
>
Sisco Ds
Mira a mi siempre me han dicho que lo mejor para las comunicaciones
detrás de un NAT es usar el protocolo IAX2 en lugar del SIP.
Prueba con eso,... no se si el modelo de tu Linksys lo soportará.
Por otro lado,... ir a una red que no es tuya y que todo te funcione
te lo veo complicado,.. la verdad que yo no he probado nunca a
configurar el IAX del asterisk para ponerlo a la escucha en el puerto
80, pero no tendría porqué no funcionar.
Creo que es la mejor opción que tienes ya que es un puerto que
normalemente está abierto y en escenarios restrictivos en que el
firewall tiene todo denegado por defecto excepto algunas cosas puede
ser tu única manera de salir al exterior.
De todas formas,.. en los firewall que nosotros montamos lo más normal
es denegar todo el tráfico de entrada excepto el que nosotros queramos
y habilitar siempre las comunicaciones salientes.
En el caso del SIP (los expertos que me corrijan por si me equivoco)
creo que funciona como el FTP,. tu lanzas una petición al 5060,.. y si
lo debugas en la consola del Asterisk seguramente verás la
comunicación el problema es que al iniciar una conversación se abren
otros puertos desde el Asterisk y por eso no te funciona el ATA, ya
que el firewall los trata como conexiones de entrada.
Prueba con el IAX y nos dices que tal te va.
Saludos.
Jon Bonilla
Sisco Ds <francisco....@gmail.com> escribió:
>
> jejeje,,... no seais malos,...
>
> Mira a mi siempre me han dicho que lo mejor para las comunicaciones
> detrás de un NAT es usar el protocolo IAX2 en lugar del SIP.
Te han metido :)
>
> Prueba con eso,... no se si el modelo de tu Linksys lo soportará.
>
Creo que no
> Por otro lado,... ir a una red que no es tuya y que todo te funcione
> te lo veo complicado,.. la verdad que yo no he probado nunca a
> configurar el IAX del asterisk para ponerlo a la escucha en el puerto
> 80, pero no tendría porqué no funcionar.
>
A no ser que únicamente esté abierto para TCP que es lo normal
>
> En el caso del SIP (los expertos que me corrijan por si me equivoco)
> creo que funciona como el FTP,. tu lanzas una petición al 5060,.. y si
> lo debugas en la consola del Asterisk seguramente verás la
> comunicación el problema es que al iniciar una conversación se abren
> otros puertos desde el Asterisk y por eso no te funciona el ATA, ya
> que el firewall los trata como conexiones de entrada.
>
Modo comedia. Y creo que hablas del RTP.
> Prueba con el IAX y nos dices que tal te va.
>
--
First they ignore you.
Then they laugh at you.
Then they fight you.
**Then you win.**
DaHjaj jaj QaQ Daghajjaj :)
fabricio
otros puertos >:-( , y con respecto a lo del IAX, no es tan asi como
lo decis de que no lo bloquea el firewall, con respecto al modelo del
linksys, no soporta IAX.
Raúl Alexis Betancor Santana
¿Y no puedes hablar con quien se encarge de ese firewall para que haga los
cambios necesarios?
--
Raúl Alexis Betancor Santana
Dimensión Virtual
fabricio
lugar que haya un firewall con los puertos cerrados y se tenga que
hablar con el administrador, no le veo solucion en ese punto de
vista.....
On Jul 2, 12:40 pm, Raúl Alexis Betancor Santana <r...@dimension-
Raúl Alexis Betancor Santana
> me parece que eso es imposible, ya que no se va a estar yendo a cada
> lugar que haya un firewall con los puertos cerrados y se tenga que
> hablar con el administrador, no le veo solucion en ese punto de
> vista.....
Pero es que si tienes TODAS las salidas cerradas, no te quedan más huevos
Raúl Alexis Betancor Santana
> lugar que haya un firewall con los puertos cerrados y se tenga que
> hablar con el administrador, no le veo solucion en ese punto de
> vista.....
¿Sabes si tienes algún puerto disponible para salir?, sino ya te puedes ir
olvidando del todo.
Emiliano Vazquez
>>cambios necesarios?
lugar sin interferencia de ningún usuario/administrador de la red a la que
se va.
Lo veo dificil.... sobre todo porque las redes corporativas/facultades
tienen muchas restricciones para evitar cualquier tipo de consumo.
Yo en mi caso soy WISP y si un usuario se pone con el Skype a hablar me mata
el upload y es algo que no quiero, ya que como todos sabemos no sobra....
Esto que digo es para el Skype, pero lo mismo se aplica para una llamada
VOIP, los 7kb que usa de download no son el problema, el drama esta en el
upload, con 4 llamadas se lo saturas y no navega nadie.
Emiliano Vazquez
----- Original Message -----
To: <aster...@googlegroups.com>
Sent: Thursday, July 02, 2009 1:40 PM
Subject: [Asterisk-ES] Re: Asterisk bajo firewall y nat
On Thursday 02 July 2009 17:20:39 fabricio wrote:
> q se podra hacer con los benditos rtp + rtcp para hacerlo funcar con
> otros puertos >:-( , y con respecto a lo del IAX, no es tan asi como
> lo decis de que no lo bloquea el firewall, con respecto al modelo del
> linksys, no soporta IAX.
fabricio
skype, utilice una herramienta muy interesante que es check point, q
la verdad tiene un motor de firewall muy completito, lo cual hice q
desde mi usuario bloquee todo, menos http, htttps, y dns, asi q hice
las pruebas de llamadas desde skype, y q paso, bingooo salio todo
perfecto, no bloqueo nada, ahora esta bien eso, skype tiene su propio
metodo, y esa sabido que utilizan puertos como el 80, 443, 53 y nose
q otros podrian funcionar, pero es lo que tambien quisiera tratar de
hacer con asterisk, pero para el protocolo rtp o rtcp que van por udp,
es complicado y ahi la forma de bloquear o en todo caso el famoso one
way audio, sera q hay una herramienta para asterisk similiar a la
funciona skype...............
On Jul 2, 12:48 pm, "Emiliano Vazquez" <emilianovazq...@gmail.com>
wrote:
Ramses II
Por cierto, a ver, otra vez a pensar en voz alta...
Uhhuummm, ¡leñes!, que jodienda, tienen abierto solo el puerto 80 TCP, si
tuvieran también el UDP lo mismo podría hacer algo con IAX2... :-(
Ejem, ejem, otro uhhmmm, si pudiera tirar desde esta red un pptp al puerto
TCP que me diese la gana de mi red, lo mismo podría....
¿o no?
Saludos,
Ramses
-----Mensaje original-----
De: aster...@googlegroups.com [mailto:aster...@googlegroups.com] En
Enviado el: jueves, 02 de julio de 2009 21:05
Para: aster...@googlegroups.com
Asunto: [Asterisk-ES] Re: Asterisk bajo firewall y nat
Raúl Alexis Betancor Santana
> Raúl, joder, vaya patada que le has pegado al diccionario, se dice
> "güevos".
Buff, me has acojonao ... tengo tendencia a los errores ortográficos ... XDD
> Por cierto, a ver, otra vez a pensar en voz alta...
>
> Uhhuummm, ¡leñes!, que jodienda, tienen abierto solo el puerto 80 TCP, si
> tuvieran también el UDP lo mismo podría hacer algo con IAX2... :-(
>
> Ejem, ejem, otro uhhmmm, si pudiera tirar desde esta red un pptp al puerto
> TCP que me diese la gana de mi red, lo mismo podría....
>
> ¿o no?
Pues puede que no, si solo tiene el puerto 80, puede que ni siquiera salga de
forma "limpia", sino que esté redirigido a un proxy http, con lo que olvídate
de lanzar pptp, openvpn o cualquier otra cosa, a no ser que permitan pasar a
través de un proxy http
Ramses II
Hombre, muchas veces no hay Proxy de por medio, ¿no?, sino que solo está el
firewall filtrando puertos de salida, por lo que, lo mismo, sí podríamos
tirar un pptp, ¿no?.
Te hablo solo de pensamiento, sin haberlo pilotado... :-)
Saludos,
Ramses
-----Mensaje original-----
De: aster...@googlegroups.com [mailto:aster...@googlegroups.com] En
nombre de Raúl Alexis Betancor Santana
fabricio
usuario que solo tenga acceso a esos puertos, http, https y dns, le
restringi todo, pero oviamente como dices: si le doy puertos udp y
pruebo con iax, sip, rtp, rtcp es muy ovio q tambien me va dejar, solo
estaba tratando de ver la forma de como, en este caso skype saca sus
llamadas a traves de estos puertos sin necesidad de estar abriendo
otros puertos y cerrandolos, mi idea es saber si existe alguna
posibilidad de que funcione lo mismo pero con los linksys o cual sea
el equipo a traves de asterisk, y q tambien se pueda dejar abiertos
esos puertos (http,https,dns), ya que son los que seguramente algun
administrador no llegaria a cerrar o bloquear....
Raúl Alexis Betancor Santana
> con respecto a la pruebas del checkpoint, osea yo configure a ese
> usuario que solo tenga acceso a esos puertos, http, https y dns, le
> restringi todo, pero oviamente como dices: si le doy puertos udp y
> pruebo con iax, sip, rtp, rtcp es muy ovio q tambien me va dejar, solo
> estaba tratando de ver la forma de como, en este caso skype saca sus
> llamadas a traves de estos puertos sin necesidad de estar abriendo
> otros puertos y cerrandolos,
Skype lo hace, porque es un protocolo cerrado, que lo que hace es buscar la
forma de "salir", si puede hacerlo directamente, puta madre, sobre todo si
hay soporte de uPnP activado en los routers/firewalls. Sino, prueba a
conectarse a los servidores de skype, si tampoco puede, prueba a ver si puede
usar el comando CONNECT de los proxies http, si nada de eso funciona ...
skype no funciona.
> mi idea es saber si existe alguna
> posibilidad de que funcione lo mismo pero con los linksys o cual sea
> el equipo a traves de asterisk, y q tambien se pueda dejar abiertos
> esos puertos (http,https,dns), ya que son los que seguramente algun
> administrador no llegaria a cerrar o bloquear....
No existe ninguna forma, los protocolos SIP, RTP e IAX tienen sus puertos
definidos (se pueden cambiar evidentemente), pero ni SIP ni IAX
utilizan "tácticas de serpiente" para salir, tienen un flujo muy bien
definido.
La única opción sería utilizar alguna herramienta de tunelización, tipo ptpp,
ovpn, etc y evidentemente con sus limitaciones.
Raúl Alexis Betancor Santana
> La próxima vez te pondré el guiño al principio para que no te asustes...
> ;-)
>
> Hombre, muchas veces no hay Proxy de por medio, ¿no?, sino que solo está el
> firewall filtrando puertos de salida, por lo que, lo mismo, sí podríamos
> tirar un pptp, ¿no?.
Si claro que se podría, pero solo en caso de que el puerto no esté "proxeado",
sino la cosa se complica un huevo.
Ricardo Peironcely
que no eslo mismo que poner otro protocolo en el puerto 80. Lo que no
se es si simplemente hacen un tunel de IP sobre HTTP y luego sobre el
transmiten un protocolo estándar como SIP /RTP (Lo que sería un poc
desperdicio de doble encabezado para cada payload) o directamente se
han implementado señalización + rtp sobre HTTP.
De esta forma consiguen no solo funcionar tras un firewal, sino tras
un proxy http.
Puedes ver una implementación de algo similar en
http://www.gnu.org/software/httptunnel/
--
Un saludo / Best regards / С уважением
Ricardo Peironcely
Raúl Alexis Betancor Santana
> Bueno, skype, googletalk ydemás herramientas usan directamente HTTP,
Eso no es cierto en absoluto, skype usa el protocolo skype y googletalk usaba
en sus primeras versiones XMPP (Jabber), no sé si en las últimas versiones
habían migrado ya a SIP, estaba en los planes.
> que no eslo mismo que poner otro protocolo en el puerto 80. Lo que no
> se es si simplemente hacen un tunel de IP sobre HTTP y luego sobre el
> transmiten un protocolo estándar como SIP /RTP (Lo que sería un poc
> desperdicio de doble encabezado para cada payload) o directamente se
> han implementado señalización + rtp sobre HTTP.
Es lo que hacen, encapsular su protocolo en HTTP, es muy, muy, muy fácil de
averiguar.
Si coges un FW y cierras toda salida que no sea la del puerto 80, y encima
rediriges el tráfico al puerto 80 a través de un proxy squid transparente y
en ese squid SOLO permites HTTP, deshabilitando el sopporte de CONNECT, verás
como skype no funciona
> De esta forma consiguen no solo funcionar tras un firewal, sino tras
> un proxy http.
Funcionan tras un proxy siempre y cuando el proxy tenga habilitado el soporte
de CONNECT, sino tampoco funcionan
> Puedes ver una implementación de algo similar en
> http://www.gnu.org/software/httptunnel/
Es precisamente este tipo de técnicas las que usan, tunelización, suponiendo
un overhead bastante considerable.
Ricardo Peironcely
Me parece demasiado arriesgado hablar categóricamente de encapsulación
de IP (XMPP o SIP) en HTTPy descartar un protocolo propio sobre http
sin haber examinadolo pasa a través de los mensajes CONNECT. Por eso
mejor dejar abierta la puerta y explicar las dos posibilidades.
Si has realizado el trabajo de recomponer los paquetes IP tras el
connect, te agradecería que lo publicaras y así todos podemos aprender
algo mas, estaría sobre todo muy interesado en saber cómo los
fraccionan, la MTU que usan, en definitiva cuanto overhead tiene cada
payload del RTP.
--
Un saludo / Best regards / С уважением
Ricardo Peironcely
Santana<ra...@dimension-virtual.com> escribió:
Raúl Alexis Betancor Santana
> Buenos días.
>
> Me parece demasiado arriesgado hablar categóricamente de encapsulación
> de IP (XMPP o SIP) en HTTPy descartar un protocolo propio sobre http
> sin haber examinadolo pasa a través de los mensajes CONNECT.
Si te lo digo, es porque ya lo investigamos en su momento, a petición
explícita de un cliente.
> Por eso
> mejor dejar abierta la puerta y explicar las dos posibilidades.
Si lo quieres probar, es bien sencillo de montar.
> Si has realizado el trabajo de recomponer los paquetes IP tras el
> connect, te agradecería que lo publicaras y así todos podemos aprender
> algo mas, estaría sobre todo muy interesado en saber cómo los
> fraccionan, la MTU que usan, en definitiva cuanto overhead tiene cada
> payload del RTP.
No, el cliente no pagó para eso, pagó solo para que bloquearamos Skype y
GoogleTalk.
Bloquear Skype fue fácil, no se permitían conexiones al proxy no autenticadas
y los CONNECT solo se permitían para conexiones HTTPS.
Bloquear GoogleTalk es igual de fácil que bloquear el Messenger.
fabricio
paquetes rtp rtcp....
On Jul 8, 6:16 am, Raúl Alexis Betancor Santana <r...@dimension-
Isaac Urdaneta
Es extraño nadie menciono el uso de un stunserver seria adrede? ok es que la cosa esta muy mala para mensionarlo supongo, esta lista esta cada vez mejor, byeeee.
Ing. Rodrigo Fernandez R.
Si buscas en los posts viejitos yo proponía del stun server para conexiones de NAT, es mas, ya que se ve que te gusta meter mano, usa el stunnerd