scrnb2
Legenda IP:
- 85.18.217.100 - server SIP Fastweb (SIP-F)
- 85.18.217.108 - server RTP Fastweb (RTP-F)
- 172.16.15.16 - mio PBX
Chiamata ricevuta
SIP
Il primo pacchetto viene inviato da SIP-F a PBX, di conseguenza ci sono due possibilità:
- NAT port forward sulla porta 5060 verso PBX (configurazione del Firewall)
- stato esistente nella table PBX:5060 -> SIP-F:5060 (invio continuo di pacchetti da PBX a SIP-F, ottenibile in vari modi)
RTP
La sessione RTP invece viene stabilita dal PBX già sulle porte giuste, quindi lo stato esiste nella tabella e non occorre fare altro.
Problema: NAT riscrive la porta sorgente e questo impedisce al trucchetto dell'established state di funzionare, la soluzione è usare NAT outbound statico per le porte RTP, oppure fare port forward come sopra.
Sintomo: L'audio funziona in uscita ma non in entrata (dal punto di vista del nostro PBX).
Chiamata effettuata
SIP
Qui è PBX a iniziare la sessione, di conseguenza è sufficiente avere NAT outbound statico sulla porta 5060 per far funzionare tutto a dovere.
RTP
Siamo comunque noi ad iniziare la sessione, quindi valgono le stesse considerazioni di una chiamata in entrata.
Configurazione CPE
Riassumendo le considerazioni di cui sopra bisogna agire su due configurazioni, NAT e Firewall.
NAT
- Port forward in entrata a PBX:5060
- Outbound statico da PBX:5060
- Outbound statico da PBX:<range RTP>
Firewall
- Aprire WAN:5060 -> PBX:5060 (scheda WAN)
- Aprire PBX:5060 -> WAN:5060 (scheda LAN, o segmento con il PBX)
- Aprire PBX:<range RTP> -> WAN:<range RTP>
Hardening vari sono possibili restringendo gli host sorgente e destinazione delle regole di Firewall e NAT, come nelle mie immagini sopra.
