Nová verze SIP proxy

[Kabek]

SIP port na jedné (lokální) IP adrese byl měl být pro každý SIP účet jedinečný, ale.... Některé telefony si umí poradit samy a vyberou si v pořadí další "volný". Zcela jistě nic nezkazíte, když u každého voip zařízení, které je v jedné LAN síti, nastavíte rozdílné SIP porty. Což je u některých koncových zařízení i nutnost - FW Vás i dokonce při konfiguraci na případnou chybu sám upozorní...

Pro zajímavost: Já mám nastaveny SIP porty buď jako jeden nebo rozsah. To záleží i na možnostech konkrétního zařízení. V každém případě směrem k sobě mám nastaveny v zásadě rozdílné od 5060. Důvod zde byl již popsán. Používám porty v intervalu např. 30000 - 40000 nebo, umožňuje-li to zařízení, nad 50000 do 65530.

V některých návodech pro konfiguraci se dokonce doporučuje mít i rozdílné SIP a RTP porty.

Pak se u Odoriku koukněte na registraci. Je-li u veřejné i lokální IP adresy stejný port, je to asi důkaz toho, že se to "nepřekládá" a je to port jedinečný..., což není na škodu.

[Pitomec]

Nakouknul jsem do dvoulinkového Grandstreamu 1400 (ten mám v jiné lokalitě pod ISP Netbox) a každá linka má svůj port (jedna 5060 a druhá 5062 - v obou případech jak veřejná IP, tak lokální IP). Takže zkusím u Grandstreamu 280 použít port 5062 a ten 5060 nechám pro Siemens. Uvidíme, třeba je to další krůček k bezproblémovosti.

[Kabek]

Nakouknul jsem do dvoulinkového Grandstreamu 1400 (ten mám v jiné lokalitě pod ISP Netbox) a každá linka má svůj port (jedna 5060 a druhá 5062 - v obou případech jak veřejná IP, tak lokální IP). Takže zkusím u Grandstreamu 280 použít port 5062 a ten 5060 nechám pro Siemens. Uvidíme, třeba je to další krůček k bezproblémovosti.

Nebojte se jiných (zdánlivě neobvyklých) portů. 5060 - 5080 jsou pravděpodobně jedny z nejčastěji používaných, a také nejvíce atakovaných při hledání voip zařízení za účelem následného "zcizení" přihlašovacích údajů a penízků z kreditu.
Jestliže se to zaregistruje, pak je to OK!


Něco z návodu Gigaset: "Stanovení lokálních komunikačních portů pro VoIP" na straně 23-24 http://www.gigaset.com/fileadmin/legacy ... cs_CZE.pdf

[Pitomec]

Teď jsem to změnil, takže onen problematický Grandstream 280 má svůj port 5062. A to jak na veřejné IP, tak na lokální IP.

[Pitomec]

Dneska v pravé poledne komplet výpadek všech mých 4 linek.

[MN_]

Taky, obe sledovane linky naraz.

[Pitomec]

12:25 hod. se 3 linky přihlásily, ale ta jedna (na tom prokletém Grandstreamu 280) zase ne a byl nutný ruční restart telefonu Nejhorší ale je, že ten telefon ještě před ručním restartem nadrzo ukazoval, že je přihlášený, byť nebyl

[TKlf]

Také výpadek, 12 hodin presne, dvě linky doma, jedno cisco a jeden grandstream za jedním routerem. Druhý cisco u stejného providera za jiným routerem take ko. Vše se přihlásilo samo zpět za cca 5 minut.

Z mobilu ...

[xsouku04]

Také výpadek, 12 hodin presne, dvě linky doma, jedno cisco a jeden grandstream za jedním routerem. Druhý cisco u stejného providera za jiným routerem take ko. Vše se přihlásilo samo zpět za cca 5 minut.

Z mobilu ...

Ano byl to výpadek u nás a týkal se všech co se přihlašovali přes SIP. S novou proxy to přímo nesouviselo, problém byl na úrovní sítě.

Update 10.12.2013 - sítě a Linux kernelu : https://bugzilla.openvz.org/show_bug.cgi?id=2844

[xsouku04]

Nakouknul jsem do dvoulinkového Grandstreamu 1400 (ten mám v jiné lokalitě pod ISP Netbox) a každá linka má svůj port (jedna 5060 a druhá 5062 - v obou případech jak veřejná IP, tak lokální IP). Takže zkusím u Grandstreamu 280 použít port 5062 a ten 5060 nechám pro Siemens. Uvidíme, třeba je to další krůček k bezproblémovosti.

Nebojte se jiných (zdánlivě neobvyklých) portů. 5060 - 5080 jsou pravděpodobně jedny z nejčastěji používaných, a také nejvíce atakovaných při hledání voip zařízení za účelem následného "zcizení" přihlašovacích údajů a penízků z kreditu.
Jestliže se to zaregistruje, pak je to OK!


Něco z návodu Gigaset: "Stanovení lokálních komunikačních portů pro VoIP" na straně 23-24 http://www.gigaset.com/fileadmin/legacy ... cs_CZE.pdf

Pravda je taková, že běžně může být v lokální síti více zařízení, která naslouchají na portu 5060. Ale jistější je tento port změnit na nějaké vysoké náhodné číslo. A to hned ze dvou důvodů.

1) Některé typy NATu mohou přemapovat port z lokální ip adresy 5060 na veřejnou ip adresu 5060 a navíc nevhodně přeposílat cokoli na ten port dojde a to odkudkoli. K jakému došlo přemapování, vidíte na našich stránkách ve sloupečku "veřejná IP".
Pokud Váš router použije k přemapování port 5060 a pak přepošle úplně všechno, co na Vaši veřejnou ip adresu přijde, může se tedy stát, že Vám telefony začnou zvonit někdy v noci, protože někdo právě skenuje port 5060.
Když si natavíte nějaký náhodný port jako třeba 46273, máte po problému, protože ten na SIP nejspíš nikdy nikdo skenovat nebude.
2) Máte-li více různých zařízení, je jistější každému dát jiný port. Usnadní to práci Vašemu možná problematickému routeru. Také pokud se zařízení odmítá registrovat bez zjevného důvodu, může to vyřešit změna lokálního portu. Lokální port můžete také vidět v naší tabulce přihlášených zařízení ve sloupečku "lokální IP".


V případě záhadných potíží také doporučujeme se hlásit k nám na ústřednu na jiný port než 5060.
Pokud na to na číslo portu proxy serveru není zvlášť kolonka (u gigasetu je), tak se to vždy dělá tak, že místo
sip.odorik.cz napíšete sip.odorik.cz:6688 nebo sip.odorik.cz:443. Změna portu nemůže ničemu ublížit, proto takto nastavujeme i nové telefony. Pokud by ale někde po cestě byl SIP ALG, určitě to pomůže. Sip alg je funkce routerů po cestě, která není k ničemu dobrá, jen kazí SIP komunikaci. Problém je v tom, že se projevuje různě. Tedy možné je, že se neprojevuje nebo se projevuje, např. přerušováním hovorů, občasnou nemožností se zaregistrovat a pod. Problém se také může s jedním VoIP operátorem projevit a s druhým nikoli - nemusí to být chyba daného operátora ale jen SIP ALG. Panu Pitomcovi bych preventivně doporučil, použít jiný port a vyloučit tak možnost SIP ALG. Nemusí to být tím, ale nic to nestojí.
Port, na který se hlásíte, je vidět ve sloupečku "server port".


A poslední, co by mohlo pomoci je změnit protokol z UDP na TCP. Má Grandstream možnost přepnout SIP signalizaci z UDP na TCP? Pokud použijete protokol TCP a port 443 (ten se běžně používá na https), máte v podstatě jistotu, že signalizace hovoru projde bez problémů jakýmkoli firewallem.