obliger de changer de port SIP toutes les semaines pour reconnecter un trunk perdu

[fastm3]

merci pour l'info, par contre, comme le souligne tanguyd , il est souvent déconseillé de rediriger les ports du routeur pour des raisons de sécurité.

???? Oui, un serveur web risque moins d'attaques si son port 80 est fermé mais le serveur web marche aussi moins bien...
Asterisk en sip, c'est un peu pareil. Perso, SIP Alg sur le routeur = toujours des soucis. Cest la premiere chose que je desactive quand un routeur le permet.

Avec un asterisk sip et un fournisseur sip , il faut ouvrir le port de signalsation et les ports rtp. Je ne vois pas comment les appels entrants pourraient fonctionner sinon.
Par contre, on est pas obligés de le faire ( ouvrir ) pour tous le monde , on peut juste laisser entrer son fournisseur sip et il y a des methodes de protections et on peut utiliser n'importe quel port. Si on n'utilise pas de trunk sip ( ligne T0, T2 ) , alors ok pas besoin d'ouvrir.

Un asterisk derriere un nat avec un fournisseur sip ne peut fonctionner a 100% correctement si les redirections sont incorrectes ou absente.
Tanguyd: je ne comprends pas pourquoi tu conseilles le contraire. SIP Alg ? Tous les routeurs ont une implémentation variable et je n'en ai jamais trouvé un qui est fonctionnel a 100% avec tous les operateurs. Au final , la solution a toujours été de de le désactiver pour alors un fonctionnement parfait.
Francois.

[tanguyd]

Je vais essayer de répondre point par point

1: Sortir la livebox avec orange est très simple. Il suffit d'avoir un routeur ( *WRT ou autres ) qui puisse discuter avec le boitier fibre sur le vlan 835 et faire une connexion pppoe. Si il faut utiliser la ligne téléphonique de la livebox, là effectivement c'est possible mais plus compliqué.

2: Je ne comprend pas ta remarque sur le port 80. Dans le cas d'un serveur web c'est le client distant qui initie une connexion. Dans le cadre d'une connexion SIP c'est la machine locale qui initie une connexion et bien sur quand une connexion est "ESTABLISHED" ( je suis pas sur que ce soit le bon mot pour l'UDP, mais comme iptables l'utilise, je le fais aussi ) entre le serveur local et l'opérateur, donc les échanges se font dans les deux sens. Comme les serveurs échangent des paquets OPTIONS régulièrement, la "connexion" reste maintenue par le routeur.

Je parle pas de bloquer tout échange sur tel ou tel port mais de ne pas ouvrir une brèche sur le port 5060 pour permettre à un distant d’initier un dialogue, donc status NEW si on fait des règles iptables.

Un asterisk derriere un nat avec un fournisseur sip ne peut fonctionner a 100% correctement si les redirections sont incorrectes ou absente.
Comment fait tu si plusieurs asterisk ou plusieurs téléphones sont derrière un même nat ? Tu fait des regles nat pour plusieurs plages de ports vers chacun des tes serveurs. J'ai jamais eu a faire des choses pareil.

3: J'avoue que mon message pouvait porter à confusion. J'ai demandé si il routeur avait du SIP ALG, j'ai pas précisé que la présence du SIP ALG était un problème, c'était tellement sous entendu dans mon esprit que j'ai oublié l’essentiel.

Si tu arrives à avoir un service acceptable avec ta livebox pro en sip alg tant mieux. De mon coté je bosse surtout en mode centrex ( sauf si le client garde son ISDN ) et ne pose chez le client que des téléphones, les soucis que je rencontre avec sip alg sont si aléatoires que je considère son absence comme un prérequis majeur à toute installation.

[fastm3]

Je vais essayer de répondre point par point

1: Sortir la livebox avec orange est très simple. Il suffit d'avoir un routeur ( *WRT ou autres ) qui puisse discuter avec le boitier fibre sur le vlan 835 et faire une connexion pppoe. Si il faut utiliser la ligne téléphonique de la livebox, là effectivement c'est possible mais plus compliqué.

Oui il suffit. Mais il suffit aussi d'avoir une version livebox non pro ou une freebox par exemple. Bref il suffit d'eviter la livebox pro.
Le routeur sur le vlan 835 te fait passer aussi sur une config non supporté par Orange. Ca a un cout hardware , de maintenance et on a aucune garantie que cela fonctionnera encore "demain".
Tu perds aussi la ligne fournie avec la freebox donc cette solution n'en est pas une. Tu perds aussi le flux video.
Ok on peut bidouiller pour resoudre les 2 mais je prefere mon script qui apporte une solution simple et sans surcout et independante de la box.

2: Je ne comprend pas ta remarque sur le port 80. Dans le cas d'un serveur web c'est le client distant qui initie une connexion. Dans le cadre d'une connexion SIP c'est la machine locale qui initie une connexion et bien sur quand une connexion est "ESTABLISHED" ( je suis pas sur que ce soit le bon mot pour l'UDP, mais comme iptables l'utilise, je le fais aussi ) entre le serveur local et l'opérateur, donc les échanges se font dans les deux sens. Comme les serveurs échangent des paquets OPTIONS régulièrement, la "connexion" reste maintenue par le routeur.

Ca peut marcher comme cela mais ca n'est pas forcemment vrai avec tous les routeurs. Tu n'as aucune garantie que le port soit maintenu ouvert le temps necessaire a un moment donné. Lors d'un appel entrant, c'est bien le serveur distant qui initie une connexion sur le port 5060. Meme si il y a eu un register avant et qu'il connait ainsi l'adresse ip, rien ne garanti que ton routeur "ouvre" spontanement le port 5060 a ce moment la. C'est juste un constat verifié des centaines de fois...et c'est logique.

Je parle pas de bloquer tout échange sur tel ou tel port mais de ne pas ouvrir une brèche sur le port 5060 pour permettre à un distant d’initier un dialogue, donc status NEW si on fait des règles iptables.

La redirection nat n'est en rien plus une breche que dans ton fonctionnement. Dans les 2 cas , on fait en sorte de ne laisser passer que ce qui est necessaire et autorisé.

Un asterisk derriere un nat avec un fournisseur sip ne peut fonctionner a 100% correctement si les redirections sont incorrectes ou absente.
Comment fait tu si plusieurs asterisk ou plusieurs téléphones sont derrière un même nat ? Tu fait des regles nat pour plusieurs plages de ports vers chacun des tes serveurs. J'ai jamais eu a faire des choses pareil.

Comment fait ton routeur a ton avis ? Honnetement, je ne vois pas comment tu fais si tu ne fais pas les regles nat sans l'aide de sip alg ou autre module evolué dans ton routeur qui analyse les paquets sip.
En creant les regles NAT, je m'assure que le routeur fait ce qui est necessaire. En faisant confiance au routeur, tu t'exposes a un fonctionnement erratique.
Tu as peut etre un routeur que tu connais bien et qui fonctionne ainsi. Moi je n'ai eu que rarement la main sur le choix du routeur.
En tout cas, derriere une freebox, bbox ou neufbox qui sont souvent chez les TPE, tu ne pourras jamais mettre plusieurs asterisk derriere elles et que ceux-ci soient ok sans regles nat. Les appels entrants ne pourront pas fonctionner.
Tu indiques le contraire non ?

3: J'avoue que mon message pouvait porter à confusion. J'ai demandé si il routeur avait du SIP ALG, j'ai pas précisé que la présence du SIP ALG était un problème, c'était tellement sous entendu dans mon esprit que j'ai oublié l’essentiel.
Si tu arrives à avoir un service acceptable avec ta livebox pro en sip alg tant mieux. De mon coté je bosse surtout en mode centrex ( sauf si le client garde son ISDN ) et ne pose chez le client que des téléphones, les soucis que je rencontre avec sip alg sont si aléatoires que je considère son absence comme un prérequis majeur à toute installation.

Ok je comprends tout. La on parle d'un serveur asterisk derriere un nat d'une box ou autre. C'est le sujet car on parle de trunk ippi. Et on a besoin de regles nat pour que le serveur asterisk puissent recevoir les appels.

Si tu es en centrex , et que uniquement les tels sont derrieres le nat d'une box. Ok , pas besoin de regles nat. Mais c'est juste un autre cas qui n'a rien a voir.
On parle d'un asterisk derriere un nat" et non un telephone derriere un nat.

[tanguyd]

Pour ce qui est de l'absence de support opérateur si on utilise pas leur routeur effectivement c'est un risque. Je n'ai pas été confronté au cas ou un client avait besoin d'avoir aussi un flux TV ou la ligne téléphonique de la box et toutes façons de manière générale je me mutualise pas la connexion dédié aux ordinateurs et celle dédié voip, donc on peut choisir notre opérateur/routeur ( le double wan représente un cout, mais pour arriver au cout du isdn + communications + maintenance pbx dédié on à encore de la marge )

Si tu es en centrex , et que uniquement les tels sont derrieres le nat d'une box. Ok , pas besoin de regles nat. Mais c'est juste un autre cas qui n'a rien a voir.
On parle d'un asterisk derriere un nat" et non un telephone derriere un nat.

Je ne comprend pas pourquoi ça devait être différant d'avoir des téléphones ou un asterisk. Dans les deux cas une machine derrière un NAT discute avec un serveur SIP sur internet, mais a mon sens ils parlent le même langage, les problématiques de routages sont les mêmes.

Je n'ai jamais eu de soucis avec un port qui n'est pas "ouvert" au moment on l'on en a besoin. Si ton serveur envoie un paquet OPTIONS toutes 20/30 secondes ( qualify=yes dans le cas d'asterisk ) il n'y a pas de raison que le port se ferme vu par le serveur. Ces paquets OPTIONS permettent de s'assurer que le réseau est OK et maintiens la connexion ouverte dans le routeur.

Le routeur n'ouvre pas spontanément le port 5060 ( ou un autre port aléatoire si plusieurs clients sip sont derrière la même IP publique ) mais il est déjà ouvert.

[fastm3]

Je n'ai jamais eu de soucis avec un port qui n'est pas "ouvert" au moment on l'on en a besoin. Si ton serveur envoie un paquet OPTIONS toutes 20/30 secondes ( qualify=yes dans le cas d'asterisk ) il n'y a pas de raison que le port se ferme vu par le serveur. Ces paquets OPTIONS permettent de s'assurer que le réseau est OK et maintiens la connexion ouverte dans le routeur.

Oui on est d'accord mais ca c'est vrai uniquement si asterisk est en dehors du nat et les clients à l'interieur du nat avec nat=yes et qualify, oui, ca marchera. Bref dans ton cas d'utilisation centrex. Mais pas le cas dont on parlait ici et dont on a completement pourri le post. Désolé.
La traversée du NAT est un probleme recurrent avec un serveur asterisk. Il y a plein de methodes pour essayer le la resoudre ( STUN , ICE) ou proxy rtp coté serveur. ALG aussi en fonction de la ou se trouve asterisk et ses clients. Il y a des centaines d'articles la dessus. Que tu n'ai jamais rencontrer de soucis est curieux mais il ne faut pas generaliser. Non, ca ne marchera pas magiquement en ne faisant rien sur ton routeur.
Intalle stp un asterisk derriere une box grand public histoire de t'assurer que tu n'utilise pas un routeur "intelligent", de tunnel, de sip firewall, alg ou autre.
Installe meme 3 asterisks histoire de corser un peu comme chez moi actuellement. Les 3 fonctionnent parfaitement car je sais exactement les ports utilisés. Sans regle forward, tu n'as aucun controle. Asterisk est B2BUA pas un tel.
As tu testé seulement un asterisk derriere un nat se connectant a differents fournisseur sip et sans un routeur evolué ?
Si je suis tes conseils, a l'instant meme , mon asterisk à coté de moi ( une 13.10 ) ne recoit plus les appels entrants et les appels sortants n'ont pas de flux audio. J'ai retesté quand meme au cas ou...Et c'est normal.
Avec le port forward en limitant les adresses et couples a iptables, plus en restreignant les ips pour les extensions, il n'y a aucun risque ( meme si le risque 0 n'existe pas ).
Si tu ne fait pas de regles forward et que ton port 5060 ou celui choisi est ouvert tout seul, c'est pour moi deja un probleme de securité. Si ca marche alors que tu ne controlle pas les ports utilisés, c'en est un autre aussi. Tres peu pour moi. Je soupconne que tu utilises un routeur avec un firewall sip puisque tu parlais de routeur wrt. Ne pas oublier que bcp de problemes peuvent etre dependants aussi du fournisseur sip en face.
On est HS sur le sujet initial. J'arrete de polluer meme si je voulais reagir sur le conseil ne ne faire aucune regle nat qui crée un dysfonctionnement chez moi. et c'est normal avec une box basique et un serveur asterisk derriere.
Francois.

[carabin76]

je reviens car au bout d'une semaine le problème revient, comme d'habitude je dirai, j'avais essayé de cocher l'option SIP dans le menu du routeur puisque non coché ça ne fonctionnait pas. là j'ai redirigé le port 5060 qui est le port chanSIP et on verra bien dans une semaine.
Cependant j'ai quelques questions:

1. Si le problème vient du modem/routeur, pourquoi c'est uniquement le trunk ippi qui lache et qu'avec le trun OVH je n'ai pas de problème (ou de façon exceptionnelle)??

2. Pourquoi un simple reboot de la machine ou "importal restart" ne suffit pas à rétablir la connecion et pourquoi faut il obligatoirement modifier le port 5060 ou 5061 ?

3. ceci m'amène à penser que peut être mes paramètres ne sont pas bons. pouvez vous me dire ce que vous en pensez , en particulier NAT et autres? merci d'avance.
asterisk 1.JPG
asterisk2.JPG

[fastm3]

Tu dois mettre staticip avec l'ip externe si tu es derriere un nat avec une ip fixe. Je prefere indiquer/forcer les choses. Ca corresponds à un externip dans le sip setting. Les paquets sip seront correctement renseignés. Pas sur que ca l'etait avec le choix publicip.
Je rajoute aussi juste un language = fr_FR dans other settings pour info qui doit deja contenir l'ip externe.
C'est la page general qui doit etre bien remplie aussi surtout. ( ip externe, network,range udp que tu peux reduire a 2 ports par canal )
(masque ton ip externe si tu publies les images )

De maniere generale, tu peux choisir un autre port que 5060 completement différent. Ca ne change rien et ca evite que ta machine soit identifiée trop facilement comme ayant un asterisk.
Rien d'obligatoire mais ca ne mange pas de pain.

Les fournisseurs sip n'utilisent pas tous les memes piles sip, ils peuvent avoir des proxy avec des comportement differents. Ca peut generer des dialogues differents et mettre en evidence un bug dans la chaine.
Moi, j'en suis venu a cette conclusion parce ce que je n'ai ces problemes que avec la livebox pro. J'ai plein d'autres configs completement identiques avec juste le routeur de different.
Ca marche et le bug comme indiqué n'est meme pas vu par le client mais il y a bug et par elimination , je pense que c'est la livebox.
J'ai un register qui echoue, je ne vois pas revenir la reponse sur le serveur asterisk, c'est que le routeur bloque quelque chose. J'incrimine le routeur.
Je n'ai pas l'explication "scientifique" pourquoi ca ne marche pas car le comportement interne de la livebox est inconnu. J'ai juste un workaround qui me suffit.

Par contre , si c'est le port d'ecoute asterisk que tu changes , c'est un peu violent car tu dois redemarrer asterisk. Ca serait bien d'essayer de trouver un moyen plus soft de retablir la ligne sip sans que les autres services ou lignes soient impactés.

Francois.

[carabin76]

là mon modem/routeur n'est plus une liveboxpro mais un modèle Linksys XAC1900.
j'ai une adresse IP dynamique comme avec beaucoup de fournisseurs français, c'est pour cela que je ne sais pas trop quoi mettre en option NAT.

[fastm3]

Bon, ta config n'etait pas carré non plus. Normal que tu aies des problemes.
Il faut eviter les ip dynamiques qui cree forcement une coupure si celle-ci change au renouvellement de bail.

Il fallait que tu mettes alors dynamic et dans le host, tu mets le nom de ton systeme enregistré dans un dns dynamique, genre dyndns et equivalent.
Il faudra bien sur que ce nom soit mis a jour correctement au changement d'ip. Le plus simple est d'utiliser les capacités de ton routeur qui semble supporter ce type de service.
Francois.

[carabin76]

merci pour ta réponse, j'ai un compte no ip je vais voir cela, ce qui est bizarre c'est qu'auparavant je n'ai jalais eu besoin de faire cela et que ça fonctionnait vraiment très très bien.

PS: en redirigeant le port 5060 c'est le trunk OVH qui s'est déconnecté au bout de 48H.