On Mon, Dec 27, 2010 at 06:40:46PM +0200, lucky@luckyluke.org wrote: > - da fuori posso pingare tale ip e pure collegarmi alla 5060/tcp (la > porta SIP standard) [allego un nmap -AO] La porta SIP standard e' la 5060 UDP, a volte si usa anche TCP, ma e' piu raro. Nel vostro caso, comunque, non volendo fare voi un sip server per il mondo ma solo un client di fatto, non serviva nessun ip pubblico, bastavano un paio di port forward e il supporto al nat impostato sul centralino, o appunto stun in alternativa ( ma in realta' non serve quasi mai, serve solo quando entrambi gli endpoint sono dietro nat, e anche in quel caso se ne potrebbe fare a meno. ) > - $vifacciamoparlare dice che non basta perché c'è un qualche blocco > (?!?), a riprova di ciò apre Avaya IP Office Manager, va alla > configurazione della seconda porta ethernet (la WAN appunto), > schissa "Esegui STUN" e quello risponde dicendo che non riesce a > fare lo STUN. Come STUN server viene usato 69.90.168.13:3478 che è > il default segnalato dai manuali Avaya (cfr. google), presumo sia un > server STUN messo a disposizione dalla casa madre Avaya. Non capisco che caspita di dimostrazione sia usare STUN dal momento che avete un ip pubblico. Pero' e' vero che la 5060 UDP da sola non basta, devi avere raggiungibili anche tutte le porte UDP che possono essere usate per l'RTP ( dipendono dalle configurazioni e dal centralino, spesso sono tra la 10000 e la 11000 ) > Ora io di voip non so una cippa e di stun so poco, ma mi risulta che > STUN altro non sia che un modo di fare nat traversal ed aprirsi dei > percorsi attraverso NAT. Il che mi porta a tre considerazioni: Corretto. > 1. a che ca%%o serviva dedicare un intero ip pubblico? Per l'uso del > VoIP non sarebbe bastato inoltrare la 5060/udp e 5060/tcp dall'ip > pubblico statico fino ad un ip 'dmz' assegnato al centralino? O > anche senza inoltri non ci avrebbe dovuto pensare STUN ad aprirsi > quel che gli serviva? Si, con un ip pubblico non ti serve null'altro. Pero' verifica come hai configurato l'ip pubblico, non deve essere rigirato con nat, ma deve essere realmente routato. E la macchina in questione deve uscire su internet con l'ip pubblico, non con un eventuale ip snattato. E come detto prima, servono anche le porte per l'rtp, non basta la 5060. > 2. posto che gli abbiamo comunque assegnato un suo ip pubblico, a > che serve STUN? (che è l'acronimo di Session Traversal Utilities for > NAT, e qui non c'è nessunissimo NAT in ballo!) Come sopra. > 3. non essendoci altro che il rutter alice business in mezzo, senza > alcun firewall né altro, tutto il traffico TCP, UDP ed ICMP verso > quell'indirizzo ip pubblico passa senza problemi... non mi risulta > che STUN o VoIP usino altri protocolli layer 3 (chessò, qualcosa > incapsulato sullo stile di IPSec o IGMP o roba similare), che > diavolo possono avere ancora da lamentarsi? Be', ci sono certi provider furbini ( io so per certo di fastweb ) che bloccano in certi casi il traffico entrante sulla 5060 udp... > sono le mie supposizioni giuste? qualcuno ha esperienze dirette su > cosa serva far passare sopra IP per usare VoIP? 5060 udp e porte RTP, a patto che si parli di SIP ovviamente. > [segue estratto da nmap -AO ip.pubblico.del.centralino] > PORT STATE SERVICE VERSION > 80/tcp open http? > 1720/tcp open H.323/Q.931? > 4111/tcp open unknown > 5060/tcp open sip? > Device type: PBX|VoIP adapter > Running (JUST GUESSING) : NetworkAlchemy embedded (89%), Avaya > embedded (86%) > Aggressive OS guesses: NetworkAlchemy ArgentBranch PBX (89%), Avaya > Office IP403 VoIP gateway (86%) Nulla di questo ci dice niente. Servono le porte che ti dicevo prima. -- Franco (nextime) Lanza Busto Arsizio - Italy SIP://casa@casa.nexlab.it NO TCPA: http://www.no1984.org you can download my public key at: http://danex.nexlab.it/nextime.asc || Key Servers Key ID = D6132D50 Key fingerprint = 66ED 5211 9D59 DA53 1DF7 4189 DFED F580 D613 2D50 ----------------------------------- echo 16i[q]sa[ln0=aln100%Pln100/snlbx]sbA0D212153574F444E49572045535520454D20454B414D204F54204847554F4E452059415020544F4E4E4143205345544147204C4C4942snlbxq | dc -----------------------------------
Attachment:
signature.asc
Description: PGP signature