[korvapuusti]

Quote:

Originariamente inviato da Iw2dyn

ATTENZIONE ---- Lungo-----

dopo un po' di tentativi ho trovato la configurazione funzionante.

Rapido riassunto degli attori in campo:
- Firewall PFSENSE (lo so poco usato in ambiente casalingo, ma questa guida può tornare utile a tutti).
- Telefono VOIP Gigaset A540 IP

Per chi volesse divertirsi, Pfsense è un ottimo firewall software gratuito che gira su qualsiasi piattaforma anche datata (sia fisica che virtuale) a patto che abbia almeno due schede di rete. E' potente, stabile e ci si puo divertire parecchio. E' molto usato anche in ambiente corporate.

La configurazione è la seguente:

- in System/Advanced/Firewall & NAT
impostare Firewall Optimization Options a Conservative
Disable Firewall Scrub mettere la spunta
Queste due impostazioni aiutano il firewall a non droppare le connessioni (stati) troppo velocemente anche se poco usate

- in Firewall/Aliases/IP
Creare un alias (Vodafone_Voce) che contenga queste voci Voip2.fixed.vodafone.it, ims.vodafone.it, Voip1.fixed.vodafone.it, Voip3.fixed.vodafone.it, 83.224.127.24 (l'ip è l'indirizzo da cui arriverà il traffico RTP)
Creare un secondo alias (A540IP) con l'ip fisso assegnato al telefono Gigaset
Ci serviranno dopo.

- Firewall/NAT/Port Forward
Creare una regola NAT
Interfaccia (quella che va su internet, di solito WAN)
Protocollo UDP
Source fare click su Display advanced
in source selezionare single host or alias
in address selezionare l'alias creato in precedenza (Vodafone_voce)
Così facciamo in modo che solo gli indirizzi presenti nell'alias possano passare la regola NAT, questo evita di venire bombardati da continue richieste di registrazione da parte di server SIP sconosciuti
source port range any any
destination mettere il range di indirizzi l'interfaccia che va su internet (WAN address)
è una delle voci del menu a discesa non c'è bisogno di inserire alcun indirizzo pfsense si arrangia da solo a compilare i valori corretti
destination port range from SIP (da menu a tendina) to 5061
redirect target ip l'alias A540IP
redirect target port SIP dal menu a tendina
il resto lasciare i default
SAVE
Questo creerà anche la corrispondente regola firewall

Creare successivamente altre due regole firewall una per per porte RTP (che definirete sul Gigaset) ed una per la porta STUN 3478 con la stessa procedura vista prima: in questo caso però non è necessario compilare la parte che appare sotto la voce Display Advanced.
In questo caso non è necessario filtrare le connessioni in ingresso perchè le chiamate arrivano solo dai server Vodafone.
Applicare le modifiche (pulsante in alto a destra)

- in Firewall/NAT/Outbound
sotto Mode selezionare Hybrid e cliccare su SAVE
questo attiva la generazione automatica delle regole di firewall in uscita
crare una nuova regola outbound (freccia in basso a destra)
Interface WAN
protocol ANY
source type network Source network for the outbound NAT mapping A5440IP ricordatevi il /32
Destination ANY
port o range selezionare static port
SAVE
Questa regola ha risolto il problema del portatile Gigaset che perdeva la registrazione: una volta stabilita la connessione viene mantenuta aperta la comunicazione anche in assenza di traffico.

Qui finisce la parte relativa a PFSENSE

GIGASET

Fare login nel web configurator dell' A540IP

- Sotto rete/configurazione IP
Assegnare un IP statico di vostro gradimento (congruente con la classe di ip che utilizzate)
come gateway inserire l'ip di PFSENSE
come DNS primario idem
come DNS secondario il dns di google ( o altro che preferite)

- sotto telefono/connessioni
su IP1 Mettere flag su ATTIVO e cliccare su MODIFICA
sotto nome numero o connessione mettere vostro numero +39xxxx
provider altro provider
Autenticazione Nome: +39xxxxx@ims.vodafone.it
Autenticazione Password: la famosa password ricevuta vis sms
da quel che ho capito è lunga 28 caratteri senza spazi, se ci sono provate a sostituirli con un + (a causa di un baco che riguarda gli sms il + viene fatto sparire)
Username: +39xxxxxxx
Nome visualizzato:+39xxxxx@ims.vodafone.it
click su mostra impostazioni avanzate
DNS SRV Lookup SI
Dominio: ims.vodafone.it
indirizzo server proxy: Voip2.fixed.vodafone.it (o quello ricevuto via SMS)
Server di registrazione:Voip2.fixed.vodafone.it (o quello ricevuto via SMS)
Tempo di refresh Registrazione: 30 (devo provare se è possibile allungarlo. di default era 180 secondi)
STUN abilitato: SI
Porta del server STUN: 3478
Tempo di refresh STUN: 20 sec
Tempo di refresh NAT: 10 sec
anche qui vorrei provare a riportarli al default
Modalità proxy outbound: AUTOMATICO
Indirizzo del server outbound:Voip2.fixed.vodafone.it (o quello ricevuto via SMS)
Porta proxy outbound: 5060
Scegli il protocollo di rete: soltanto UDP

- Audio
preferenza personale codec
mostra impostazioni avanzate
codec selezionati: i due G711 + G729

- impostazioni avanzate
Negoziazione automatica della trasmissione DTMF: SI
Porta random (a caso): NO
Porta SIP: 5060
Porta RTP: a vostra scelta la stessa impostata nelle regole NAT

CLICK OK

Fine dei giochi

Verificate nel tab Stato Dispositivo / CONNESSIONI il numero voip sia REGISTRATO

ATTENZIONE: a volte può impiegare alcuni minuti a registrarsi... abbiate pazienza.

Ulteriore controllo su PFSENSE:
in Diagnostics/States/States filtrare per porta 5060
verificare che le conessioni siano in stato MULTIPLE:MULTIPLE

Ottima guida, grazie. Pfsense e opnsense guadagneranno sempre piu' spazio. Segnalo che e' uscito il netgate SG-1100, basato sull'ottima espresso bin, che e' un'alternativa incredibilmente valida ai router consumer. Se poi opnsense dovesse riuscire ad andare sull'espresso bin e se si riuscisse a comprare l'espresso bin dall'europa senza eccessivi rincari, diventerebbe davvero un best buy.