Typický problém SIP ALG - přerušený hovor
Napsal: čtv 14. úno 2013 15:22:25
> Máme problém o jedné z našich nově registrovaných linek. Máme VOIP adaptér CISCO SPA112 a došlo ke správné
> konfiguraci přes váš web prohlížeč, resp. návod k nastavení. Linka je registrována, ale při volání z linky
> je hovor vytořčen a po přijmutí je hovor aktivní pouze 2-3 sekundy a pak se hovor sám ukončí.
> Stejný problém je i při volání z programu odorik.exe z pc. nevím si už stímto vubec rady.
> Problém je u čísla 555444XXX. Velice děkuji za případnou pomoc.
Konkrétně jsme zjistili, že router se zjevně aktivním SIP ALG, který zprzní zprávu ACK, kterou telefon potvrzuje zdvihnutí hovoru. V tomto konkrétním případě do SIP hlavičky dosadí nesmyslnou lokální ip adresu. Jelikož naše ústředna neobdrží platnou odpověď, hovor za cca 4 vteřiny sama zavěsí. SIP ALG se dovede projevovat různými záhadnými způsoby a to navíc jen občas. Jediné co nedovede, je přidávat do hovoru koktání.
To že zlobí i volání Odorik.exe což je další důkaz SIP ALG.
Na routeru se nepodařilo SIP ALG vypnout. Jiné jednoduché řešení je, aby se CISCO hlásilo na místo na sip.odorik.cz na sip.odorik.cz:6688. Díky této změně se přestane SIP AGL uplatňovat.
Dálo doporučujeme změnit i lokální port z defaultního 5060 na nějaké náhodné číslo třeba 46716.
Podrobnější návody jak přesně udělat opatření prot SIP AGL nejdete na naší wiky u příslušného zařízení např.
pap2t
Grandstream
Dále jsem se v vzápětí setkali s tím, že u příchozích hovorů nebylo slyšet. Problém byl ve vícenásobném restartu cisca, kdy cisco bylo restartováno odpojením z elektřiny, takže se nestihlo odregistrovat.
Vzniklo tedy několik paralelních registrací, díky pomatenému DHCP serveru vždy s jinou lokální ip adresou, ale díky nevhodnému mapování NATu se stejným veřejným portem. Naše proxy to považovala za vícero různých telefonů, proto poslala vícero různých invite paketů při příchozím hovoru.
A cisco se z toho dostalo do chorobného stavu, kdy nebylo slyšet. Řešením je nastavit "Povolit více registrací " na neaktivní. Problém, že kvůli chybné vícenásobné registraci není slyšet u příchozích hovorů se projevuje jen u značky Cisco/Linksys a nestává se běžně. Předpokládám, že nutné navíc mít náhodně přidělující DHCP server, nevhodně mapující NAT (interní port 5060 namapuje nevhodně na externí port 5060, zjevně aby to měl útočník jednodušší atd.) a navíc je nutné cisco nečekaně vytáhnout minimálně jednou ze zásuvky, aby se nemohlo odregistrovat.
> konfiguraci přes váš web prohlížeč, resp. návod k nastavení. Linka je registrována, ale při volání z linky
> je hovor vytořčen a po přijmutí je hovor aktivní pouze 2-3 sekundy a pak se hovor sám ukončí.
> Stejný problém je i při volání z programu odorik.exe z pc. nevím si už stímto vubec rady.
> Problém je u čísla 555444XXX. Velice děkuji za případnou pomoc.
Konkrétně jsme zjistili, že router se zjevně aktivním SIP ALG, který zprzní zprávu ACK, kterou telefon potvrzuje zdvihnutí hovoru. V tomto konkrétním případě do SIP hlavičky dosadí nesmyslnou lokální ip adresu. Jelikož naše ústředna neobdrží platnou odpověď, hovor za cca 4 vteřiny sama zavěsí. SIP ALG se dovede projevovat různými záhadnými způsoby a to navíc jen občas. Jediné co nedovede, je přidávat do hovoru koktání.
To že zlobí i volání Odorik.exe což je další důkaz SIP ALG.
Na routeru se nepodařilo SIP ALG vypnout. Jiné jednoduché řešení je, aby se CISCO hlásilo na místo na sip.odorik.cz na sip.odorik.cz:6688. Díky této změně se přestane SIP AGL uplatňovat.
Dálo doporučujeme změnit i lokální port z defaultního 5060 na nějaké náhodné číslo třeba 46716.
Podrobnější návody jak přesně udělat opatření prot SIP AGL nejdete na naší wiky u příslušného zařízení např.
pap2t
Grandstream
Dále jsem se v vzápětí setkali s tím, že u příchozích hovorů nebylo slyšet. Problém byl ve vícenásobném restartu cisca, kdy cisco bylo restartováno odpojením z elektřiny, takže se nestihlo odregistrovat.
Vzniklo tedy několik paralelních registrací, díky pomatenému DHCP serveru vždy s jinou lokální ip adresou, ale díky nevhodnému mapování NATu se stejným veřejným portem. Naše proxy to považovala za vícero různých telefonů, proto poslala vícero různých invite paketů při příchozím hovoru.
A cisco se z toho dostalo do chorobného stavu, kdy nebylo slyšet. Řešením je nastavit "Povolit více registrací " na neaktivní. Problém, že kvůli chybné vícenásobné registraci není slyšet u příchozích hovorů se projevuje jen u značky Cisco/Linksys a nestává se běžně. Předpokládám, že nutné navíc mít náhodně přidělující DHCP server, nevhodně mapující NAT (interní port 5060 namapuje nevhodně na externí port 5060, zjevně aby to měl útočník jednodušší atd.) a navíc je nutné cisco nečekaně vytáhnout minimálně jednou ze zásuvky, aby se nemohlo odregistrovat.