Como escolher uma fonte aberta, firewall amigável do Asterisk?

2

Estou com dor.

Estamos mudando para um sistema VOIP baseado em SIP e, por qualquer motivo, não conseguimos que nossa solução Asterisk hospedada funcione com nosso Sonicwall. Nosso provedor de VOIP desistiu e está recomendando um fornecedor de código aberto, pfSense.

Um pequeno histórico:

  • Temos cerca de 30 usuários em nossa rede.
  • Usamos algumas conexões VPN IPSec para redes remotas.
  • Eu gostaria, mas não preciso, de filtragem de camada de aplicativo.
  • Somos usuários ativos da Internet, portanto, a modelagem do tráfego provavelmente é uma preocupação.

Como posso saber se um firewall de código-fonte aberto vai lidar com a configuração de VOIP sem problemas com um sistema Asterisk hospedado?

Tentativa atual de configuração com o Sonicwall

  • Estamos usando um TZ 190 executando o SonicOS Enhanced 4.2
  • NAT consistente está ativado
  • Não estamos usando as Transformações SIP automáticas da SonicWall. link da imagem: link
  • O firewall foi aberto para permitir tudo do nosso provedor de VOIP e todos os SIP UDP & TCP: link da imagem: link (@Tom O'Conner faz uma boa observação de que isso pode ser um problema.)
  • Mais detalhes depois ...
por Lucas 30.03.2012 / 12:04

1 resposta

2

PFsense pode fazer isso. Para ser sincero, qualquer firewall deve ser capaz de passar o SIP e o RTP sem tocar.

O SIP é apenas o mecanismo para iniciar chamadas, portanto, isso é apenas parte do problema. RTP é o protocolo para o tráfego de voz em si. Alguns telefones VoIP podem usar o UPnP para falar com o firewall e configurar dinamicamente os encaminhamentos de porta enquanto fazem as chamadas.

O PFsense também pode fazer QoS, mas não tenho certeza de como isso o implementa bem (eu tenho configurado o PFsense no trabalho ultimamente e ainda não cheguei ao QoS!)

Esta pode ser uma leitura interessante, NAT + VoIP (De VoIP-info.org . A coisa que você provavelmente quer fazer é restringir a entrada de conexões SIP para vir somente do gateway SIP do seu provedor, caso contrário, pessoas desagradáveis tendem a se conectar e fazer chamadas caras na sua conta. Certifique-se de bloquear também outras portas para os telefones, como HTTP (S) e Telnet. Eu encontrei uma falha de segurança interessante em uma empresa uma vez, sendo capaz de fazer telnet em um telefone SIP público e, em seguida, enviar ssh para a rede.

Você também deve considerar ter uma VLAN separada para o tráfego de voz. Isso pode ajudar com a QoS e eliminar o jitter.

Estes pode ser interessante para < a href="https://serverfault.com/questions/303798/what-would-cause-sip-traffic-to-be-seen-going-into-a-switch-but-not-coming-out"> uma olhada em vários registros SIP e PFSense

    
por 30.03.2012 / 12:57