IP adresy odorik pro firewall

tls,srtp,zrtp a bezpečnostní potíže VoIP
Odpovědět
Eter
Příspěvky: 4
Registrován: stř 01. bře 2017 17:37:39

IP adresy odorik pro firewall

Příspěvek od Eter »

Chtěl jsem díky bezpečnosti, povolit VOIP zařízením jen IP adresu odoriku, ale kdyz mam ve firewalu sip.odorik.cz (81.31.45.51) A zadnou jinou,
tak sice hovory zvoní ale nefunguji, koukal jsem na firewalu a UDP komunikace jela jeste na IP 89.185.255.45, je někde seznam ip adres nebo
dns seznam adres, aby pri zmene jsem to nemusel měnit, který musím povolit aby mi hovory fungovaly korektne.
Naposledy upravil(a) Eter dne stř 01. bře 2017 22:04:39, celkem upraveno 1 x.
Uživatelský avatar
xsouku04
Administrátor
Příspěvky: 8138
Registrován: pát 15. říj 2010 11:11:44
Bydliště: Brno
Kontaktovat uživatele:

Re: IP adresy odorik pro firewall

Příspěvek od xsouku04 »

Ano je to tak. sip.odorik.cz je jen pro signalizaci, na RTP, tedy zvuk samotný se používají různé jiné ip adresy.
Máme rozsahy: 89.185.255.32/27 a 81.31.45.32/27
Joe1vm
Příspěvky: 2
Registrován: pát 16. úno 2018 17:46:36

Re: IP adresy odorik pro firewall

Příspěvek od Joe1vm »

Dobrý den,
rád bych se vrátil k tomuto tématu.
Během hovoru vidím na firewallu probíhající spojení z IP adresy telefonu, např. portu 16472 s IP adresou 81:30.45.56 např. s portem 20362 (RTP). Vše probíhá v pořádku.
Ale pravidelně každých pět vteřin mi přichází na vstup routeru packet z téže adresy z portu +1 (v tomto případě 20363) na port mé IP adresy, port +1 (tedy 16472). a jelikož nepatří k žádnému spojení, tak ho router po právu zahazuje.
Můžete mi prosím poradit o co jde a k čemu packety slouží? (jestli je potřeba je pustit dovnitř?:-)
Díky moc.
Uživatelský avatar
xsouku04
Administrátor
Příspěvky: 8138
Registrován: pát 15. říj 2010 11:11:44
Bydliště: Brno
Kontaktovat uživatele:

Re: IP adresy odorik pro firewall

Příspěvek od xsouku04 »

Joe1vm píše:Dobrý den,
rád bych se vrátil k tomuto tématu.
Během hovoru vidím na firewallu probíhající spojení z IP adresy telefonu, např. portu 16472 s IP adresou 81:30.45.56 např. s portem 20362 (RTP). Vše probíhá v pořádku.
Ale pravidelně každých pět vteřin mi přichází na vstup routeru packet z téže adresy z portu +1 (v tomto případě 20363) na port mé IP adresy, port +1 (tedy 16472). a jelikož nepatří k žádnému spojení, tak ho router po právu zahazuje.
Můžete mi prosím poradit o co jde a k čemu packety slouží? (jestli je potřeba je pustit dovnitř?:-)
Díky moc.
To bude RTCP. https://cs.wikipedia.org/wiki/Real-time ... col_(RTCP)
Slouží k informování druhé strany, kolik paketů se směrem od ní ztratilo/opozdilo.

Moc jsem se tím nezabýval, ale co jsem si všiml, vypadá to, že většina VoIP zařízení to nedělá korektně, pokud vůbec, takže z toho nelze moc vyčíst/spolehnout se. Kdyby to dělala korektně všechna koncová VoIP zařízení, tak bychom mohli mít přehled o kvalitě zvuku v obou směrech. Takto máme přehled ve kvalitě směrem k nám. Podobně by mohlo mít přehled samotné zařízení a hlásit to samotnému uživatelovi.
Myslím, že aby se otevřel průchod přes NAT, musel by vaše VoIP zařízení to RTCP posílat také. Pokud to nedělá, protože to soudruh výrobce nějak nedodělal, pakety směrem od nás se k zařízení nedostanou, protože se jim neotevře NAT, což ale zjevně nevadí, protože by to stejně nikdo nečetl :).

V SIPu je více takových nedomyšlených věcí, které se v praxi moc nepoužívají. Např. v SIPových hlavičkách se to hemží IP adresami, které jsou kvůli použitému NATu nesmyslnými, a proto na ně obvykle nikdo nehledí...
Joe1vm
Příspěvky: 2
Registrován: pát 16. úno 2018 17:46:36

Re: IP adresy odorik pro firewall

Příspěvek od Joe1vm »

xsouku04 píše: To bude RTCP. https://cs.wikipedia.org/wiki/Real-time ... col_(RTCP)
Slouží k informování druhé strany, kolik paketů se směrem od ní ztratilo/opozdilo.

Moc jsem se tím nezabýval, ale co jsem si všiml, vypadá to, že většina VoIP zařízení to nedělá korektně, pokud vůbec, takže z toho nelze moc vyčíst/spolehnout se. Kdyby to dělala korektně všechna koncová VoIP zařízení, tak bychom mohli mít přehled o kvalitě zvuku v obou směrech. Takto máme přehled ve kvalitě směrem k nám. Podobně by mohlo mít přehled samotné zařízení a hlásit to samotnému uživatelovi.
Myslím, že aby se otevřel průchod přes NAT, musel by vaše VoIP zařízení to RTCP posílat také. Pokud to nedělá, protože to soudruh výrobce nějak nedodělal, pakety směrem od nás se k zařízení nedostanou, protože se jim neotevře NAT, což ale zjevně nevadí, protože by to stejně nikdo nečetl :).

V SIPu je více takových nedomyšlených věcí, které se v praxi moc nepoužívají. Např. v SIPových hlavičkách se to hemží IP adresami, které jsou kvůli použitému NATu nesmyslnými, a proto na ně obvykle nikdo nehledí...
Dobrý den.
Díky moc za vysvětlení. Je to přesně, jak jste napsal. Soudruh výrobce to má zvládnuto, ale uživatel moc ne.:-). Stačilo nastavit RTCP Tx Interval: na nenulovou hodnotu, čímž se samozřejmě otevřelo spojení přes NAT. Pak se dají na web rozhraní zařízení nalézt informace o spojení jako např. Round Trip Delay. Ale který normální smrtelník by to četl to fakt nevím.:-)
Každopádně díky za rozšíření obzoru.
Odpovědět