obliger de changer de port SIP toutes les semaines pour reconnecter un trunk perdu

[fastm3]

J'ai ce probleme sur une livebox "pro" fibre meme si c'est moins frequent. Ca serait plutot tous les 3-4-5 semaines. C'est possible que ca se passe apres une microcoupure du lien.
J'ai un script qui change le trunk dynamiquement. ( meme trunk mais port different ). C'est le seul moyen "propre" en effet. Je zappe entre 2 trunks et un sip reload suffit. La coupure ne doit pas durer plus de 30 secondes. C'est un pb de routage de la box et ca semble etre sur la "pro" uniquement. Je ne rencontre ce probleme que sur 1 install et avec ovh ( qui est aussi un peu bizarre de temps en temps ).
Un sip reload ou un reboot ne fera rien , par contre , si je change le trunk puis sip reload , le trunk avec l'autre port est ok et puis si immediatement , je remets le trunk initial , c'est ok...
Le probleme est au niveau de la livebox box pro a mon avis. Avec un soucis tous le 4-5 semaines, jamais eu le temps d'aller plus loin vu que j'ai une pseudo solution.
La vrai solution , ca serait de virer cette livebox pro pourrie...Pas possible ici a moins de changer d'operateur.

Ton routeur pourrait avoir le meme type de pb. En regle generale , il vaut mieux desactiver sip alg donc decoché c'etait bon.

Reste que ca peut aussi etre un range de ports non forwardes et qui devrait l'etre. Verifie bien ton range rtp , et tes redirs de ports sur ton routeur.
Fastm3.

[tanguyd]

C'est qui est sur, c'est que les livebox pro et le modem thomson ovh sont tout les deux en sip alg :-)
Et non, il ne faut pas faire de renvoi de port 5060 et 5061 vers l'ip interne de l'asterisk, tu contournera peut être certains problèmes, mais tu ouvres surtout une belle porte pour les pirates.

fastm: Pourquoi changer d'opérateur et pas juste routeur ?

[carabin76]

merci pour vos réponses.
Au tout début j'avais une livebox pro, et je n'ai plus le souvenir d'avoir ce genre de problèmes. je l'ai virée au profit d'un modem routeur Linksys XAC1900 surtout pour élargir ma plage wifi et c'était plus pratique pour la domotique, NAS etc.
l'option SIP était décochée mais ça fait des mois que c'est come ça et des mois que je galère. je viens de la cocher pour voir, on verra bien si cela change.

Tout comme fastm3 , modifier le port est a seule méthode que j'ai trouvée, mais je ne comprends pas pourquoi il faut faire cela pour récupérer le contact avec le trunk.

[fastm3]

C'est qui est sur, c'est que les livebox pro et le modem thomson ovh sont tout les deux en sip alg :-)
Et non, il ne faut pas faire de renvoi de port 5060 et 5061 vers l'ip interne de l'asterisk, tu contournera peut être certains problèmes, mais tu ouvres surtout une belle porte pour les pirates.

fastm: Pourquoi changer d'opérateur et pas juste routeur ?

C'est une install fibre avec un abo orange pro. Si on change d'operateur "grand public" , on ne peut plus avoir la fibre. Et la fibre est necessaire pour d'autre usages.
Meme avec un autre routeur , on devrait garder la livebox en bridge avec probablement d'autre soucis ou limitations ( ligne tel par exemple ).
On peut virer la livebox completement en fibre mais ca reste du "beta" et bidouille et non supporté par orange.
Bref un peu coincé et j'espere toujours une mise à jour d'orange miracle.
Le client lui ne se rends compte de rien vu la frequence. Il n'a pas de maintenance et ne paiera pas pour regler un probleme qu'il ne voit pas...
Francois.

[carabin76]

Reste que ca peut aussi etre un range de ports non forwardes et qui devrait l'etre. Verifie bien ton range rtp , et tes redirs de ports sur ton routeur.
Fastm3.

c'est quoi le range rtp

[tanguyd]

Le RTP est le signal au audio, il ne passe pas par le même flux que la signalisation SIP. Par défaut avec asterisk le rtp passe sur des ports aléatoires entre 10000 et 20000.

Cependant un problème RTP causerait une absence ( éventuellement aléatoire ) de son dans un sens ou dans les deux, mais pas un trunk qui se déconnecte.

[carabin76]

merci pour l'info, par contre, comme le souligne tanguyd , il est souvent déconseillé de rediriger les ports du routeur pour des raisons de sécurité.

[fastm3]

merci pour l'info, par contre, comme le souligne tanguyd , il est souvent déconseillé de rediriger les ports du routeur pour des raisons de sécurité.

???? Oui, un serveur web risque moins d'attaques si son port 80 est fermé mais le serveur web marche aussi moins bien...
Asterisk en sip, c'est un peu pareil. Perso, SIP Alg sur le routeur = toujours des soucis. Cest la premiere chose que je desactive quand un routeur le permet.

Avec un asterisk sip et un fournisseur sip , il faut ouvrir le port de signalsation et les ports rtp. Je ne vois pas comment les appels entrants pourraient fonctionner sinon.
Par contre, on est pas obligés de le faire ( ouvrir ) pour tous le monde , on peut juste laisser entrer son fournisseur sip et il y a des methodes de protections et on peut utiliser n'importe quel port. Si on n'utilise pas de trunk sip ( ligne T0, T2 ) , alors ok pas besoin d'ouvrir.

Un asterisk derriere un nat avec un fournisseur sip ne peut fonctionner a 100% correctement si les redirections sont incorrectes ou absente.
Tanguyd: je ne comprends pas pourquoi tu conseilles le contraire. SIP Alg ? Tous les routeurs ont une implémentation variable et je n'en ai jamais trouvé un qui est fonctionnel a 100% avec tous les operateurs. Au final , la solution a toujours été de de le désactiver pour alors un fonctionnement parfait.
Francois.

[tanguyd]

Je vais essayer de répondre point par point

1: Sortir la livebox avec orange est très simple. Il suffit d'avoir un routeur ( *WRT ou autres ) qui puisse discuter avec le boitier fibre sur le vlan 835 et faire une connexion pppoe. Si il faut utiliser la ligne téléphonique de la livebox, là effectivement c'est possible mais plus compliqué.

2: Je ne comprend pas ta remarque sur le port 80. Dans le cas d'un serveur web c'est le client distant qui initie une connexion. Dans le cadre d'une connexion SIP c'est la machine locale qui initie une connexion et bien sur quand une connexion est "ESTABLISHED" ( je suis pas sur que ce soit le bon mot pour l'UDP, mais comme iptables l'utilise, je le fais aussi ) entre le serveur local et l'opérateur, donc les échanges se font dans les deux sens. Comme les serveurs échangent des paquets OPTIONS régulièrement, la "connexion" reste maintenue par le routeur.

Je parle pas de bloquer tout échange sur tel ou tel port mais de ne pas ouvrir une brèche sur le port 5060 pour permettre à un distant d’initier un dialogue, donc status NEW si on fait des règles iptables.

Un asterisk derriere un nat avec un fournisseur sip ne peut fonctionner a 100% correctement si les redirections sont incorrectes ou absente.
Comment fait tu si plusieurs asterisk ou plusieurs téléphones sont derrière un même nat ? Tu fait des regles nat pour plusieurs plages de ports vers chacun des tes serveurs. J'ai jamais eu a faire des choses pareil.

3: J'avoue que mon message pouvait porter à confusion. J'ai demandé si il routeur avait du SIP ALG, j'ai pas précisé que la présence du SIP ALG était un problème, c'était tellement sous entendu dans mon esprit que j'ai oublié l’essentiel.

Si tu arrives à avoir un service acceptable avec ta livebox pro en sip alg tant mieux. De mon coté je bosse surtout en mode centrex ( sauf si le client garde son ISDN ) et ne pose chez le client que des téléphones, les soucis que je rencontre avec sip alg sont si aléatoires que je considère son absence comme un prérequis majeur à toute installation.

[fastm3]

Je vais essayer de répondre point par point

1: Sortir la livebox avec orange est très simple. Il suffit d'avoir un routeur ( *WRT ou autres ) qui puisse discuter avec le boitier fibre sur le vlan 835 et faire une connexion pppoe. Si il faut utiliser la ligne téléphonique de la livebox, là effectivement c'est possible mais plus compliqué.

Oui il suffit. Mais il suffit aussi d'avoir une version livebox non pro ou une freebox par exemple. Bref il suffit d'eviter la livebox pro.
Le routeur sur le vlan 835 te fait passer aussi sur une config non supporté par Orange. Ca a un cout hardware , de maintenance et on a aucune garantie que cela fonctionnera encore "demain".
Tu perds aussi la ligne fournie avec la freebox donc cette solution n'en est pas une. Tu perds aussi le flux video.
Ok on peut bidouiller pour resoudre les 2 mais je prefere mon script qui apporte une solution simple et sans surcout et independante de la box.

2: Je ne comprend pas ta remarque sur le port 80. Dans le cas d'un serveur web c'est le client distant qui initie une connexion. Dans le cadre d'une connexion SIP c'est la machine locale qui initie une connexion et bien sur quand une connexion est "ESTABLISHED" ( je suis pas sur que ce soit le bon mot pour l'UDP, mais comme iptables l'utilise, je le fais aussi ) entre le serveur local et l'opérateur, donc les échanges se font dans les deux sens. Comme les serveurs échangent des paquets OPTIONS régulièrement, la "connexion" reste maintenue par le routeur.

Ca peut marcher comme cela mais ca n'est pas forcemment vrai avec tous les routeurs. Tu n'as aucune garantie que le port soit maintenu ouvert le temps necessaire a un moment donné. Lors d'un appel entrant, c'est bien le serveur distant qui initie une connexion sur le port 5060. Meme si il y a eu un register avant et qu'il connait ainsi l'adresse ip, rien ne garanti que ton routeur "ouvre" spontanement le port 5060 a ce moment la. C'est juste un constat verifié des centaines de fois...et c'est logique.

Je parle pas de bloquer tout échange sur tel ou tel port mais de ne pas ouvrir une brèche sur le port 5060 pour permettre à un distant d’initier un dialogue, donc status NEW si on fait des règles iptables.

La redirection nat n'est en rien plus une breche que dans ton fonctionnement. Dans les 2 cas , on fait en sorte de ne laisser passer que ce qui est necessaire et autorisé.

Un asterisk derriere un nat avec un fournisseur sip ne peut fonctionner a 100% correctement si les redirections sont incorrectes ou absente.
Comment fait tu si plusieurs asterisk ou plusieurs téléphones sont derrière un même nat ? Tu fait des regles nat pour plusieurs plages de ports vers chacun des tes serveurs. J'ai jamais eu a faire des choses pareil.

Comment fait ton routeur a ton avis ? Honnetement, je ne vois pas comment tu fais si tu ne fais pas les regles nat sans l'aide de sip alg ou autre module evolué dans ton routeur qui analyse les paquets sip.
En creant les regles NAT, je m'assure que le routeur fait ce qui est necessaire. En faisant confiance au routeur, tu t'exposes a un fonctionnement erratique.
Tu as peut etre un routeur que tu connais bien et qui fonctionne ainsi. Moi je n'ai eu que rarement la main sur le choix du routeur.
En tout cas, derriere une freebox, bbox ou neufbox qui sont souvent chez les TPE, tu ne pourras jamais mettre plusieurs asterisk derriere elles et que ceux-ci soient ok sans regles nat. Les appels entrants ne pourront pas fonctionner.
Tu indiques le contraire non ?

3: J'avoue que mon message pouvait porter à confusion. J'ai demandé si il routeur avait du SIP ALG, j'ai pas précisé que la présence du SIP ALG était un problème, c'était tellement sous entendu dans mon esprit que j'ai oublié l’essentiel.
Si tu arrives à avoir un service acceptable avec ta livebox pro en sip alg tant mieux. De mon coté je bosse surtout en mode centrex ( sauf si le client garde son ISDN ) et ne pose chez le client que des téléphones, les soucis que je rencontre avec sip alg sont si aléatoires que je considère son absence comme un prérequis majeur à toute installation.

Ok je comprends tout. La on parle d'un serveur asterisk derriere un nat d'une box ou autre. C'est le sujet car on parle de trunk ippi. Et on a besoin de regles nat pour que le serveur asterisk puissent recevoir les appels.

Si tu es en centrex , et que uniquement les tels sont derrieres le nat d'une box. Ok , pas besoin de regles nat. Mais c'est juste un autre cas qui n'a rien a voir.
On parle d'un asterisk derriere un nat" et non un telephone derriere un nat.