Hola,
El Thursday 22 November 2007 16:13:37 Jesus Rodriguez escribió:
Exacto. Fuerza el keepalive desde la red (si puedes detectar que el UA está detrás de NAT porque si un ALG hace bien su trabajo el nathelper ni se entera) y como último extremo fuerzalo desde el UA.
Entonces ¿alguien puede explicar para qué demonios inventaron el ALG para SIP si se va a cargar las entrantes sí o sí?
Es que manda ******, si el router no mete las narices al menos nos queda la posibilidad de proxy RTP y keepalive por la evidente detección de NAT en el proxy. Pero si el router se las da de listo y aplica ALG entonces nos fastidia de todas todas las entrantes !!!
Lo mejor es:
- Que tus UA usen un puerto de origen diferente al 5060
- Que tu proxy escuche en un puerto que NO sea el 5060
De esta forma podrás evitarte un montón de ALGs que sólo usan como referencia el puerto de origen y/o destino para detectar que estás pasando un paquete SIP y modificarlo... aunque hay otros que intentan ser más listos todavía y miran el payload del UDP y a esos no los engañas :-/
De una forma u otra y mejor o peor el NAT actual es un sistema de seguridad (me refiero a NAT simétrico). Cualquier administrador tendrá miedo de tener todos sus equipos con direccionamiento público y accesible...
Pero al menos será más viable poner una regla para permitir el tráfico entrante UDP en un rango de puertos y configurar los dispositivos SIP de la LAN para que usen ese intervalo como puertos RTP.
eso ya te implica políticas de seguridad, restricciones de acceso, firewalls, etc, etc
Y sobre todo: implica "saber" XD
/me fully agrees :)
Saludos JesusR.
------------------------------------ Jesus Rodriguez VozTelecom Sistemas, S.L. jesusr@voztele.com http://www.voztele.com Tel. 902360305 -------------------------------------