Protocollo SIP e NAT

[leon84]

Salve a tutti,

ho una connessione ADSL a 20 Mbit/s fornitami da Telecom Italia e utilizzo un router NETGEAR DG834G.

Da oggi sto provando ad utilizzare il mio telefonino nokia e51 come client SIP per telefonate VoIP con EuteliaVoIP.

Ovviamente il mio telefono è dietro NAT. Stamattina ho cominciato la configurazione del telefono e in pochi istanti sono riuscito sia a chimare fissi e mobili dal mio telefonino SIP che a ricevere. Più tardi però mi sono accorto di questa stranezza :

se il telefono rimaneva inutilizzato per qualche minuto non ero più contattabile al numero geografico assegnatomi da Eutelia. Non appena squillavo qualche numero dal mio telefonino SIP automaticamente ritronavo ad essere contattato dall'esterno. In tutto questo la sessione SIP restava cmq sempre attiva.

Ho analizzato in dettaglio il protocollo SIP e mi sono accorto che il mio client in realtà funge sia da client che da server. A questo punto non ho fatto altro che aprire il mio firewall alla porta 5060 in ingresso verso il cellulare. E così ho risolto tutti i problemi. Ma la domanda è : ho ripetuto l'operazione dalla mia ragazza che possiede ALICE tutto incluso e quindi router WiFi. Ebbene da lei nessun problema di firewall ma mi chiedo : come fa allora il suo router ad instradare corretamente verso il cellualare le richieste SIP ?

Ho anche letto di particolari server per aggirare il problema. Pare si tratti di stun server o una cosa del genere ma il software SIP del Nokia E51 non li menziona affatto...

[BTS]

è veramente strano quel che dici... intendo che il client faccia anche da server.

dovresti provare con un software phone a registrarti all'indrizzo ip del telefono per vedere se realmente l'E51 è anche un gestore SIP...

come fai a dire che si comporta da server?

[leon84]

Quote:

Originariamente inviato da BTS

è veramente strano quel che dici... intendo che il client faccia anche da server.

dovresti provare con un software phone a registrarti all'indrizzo ip del telefono per vedere se realmente l'E51 è anche un gestore SIP...

come fai a dire che si comporta da server?

Beh, non ho fatto un'analisi dettagliata delle porte utilizzate e del traffico originato ma ho letto su wikipedia che un terminale sip viene contattato direttamente dall'altro interlocutore. ti allego link immagine : http://it.wikipedia.org/wiki/Immagin...ser_Agents.jpg

oltretutto sul mio router ho inserito una regola secondo la quale tutto il traffico verso la porta 5060 UDP debba essere rediretto al cellulare nella LAN interna. La cosa senza dubbio strana è : perché se provo io a squillare subito dopo rimango contattabile ??? Questo si è strano. Molto strano. Se avete informazioni aggiuntive potreste indicarmi un link che espleta le porte utilizzate da SIP. cmq ripeto abilitando la regola nel firewall rimango sempre contattabile.

[leon84]

Anzi ti allego anche questa :

http://voip.html.it/articolo06.aspx

[Harry_Callahan]

prova ad impostare lo stun server di eutelia:

stun.voip.eutelia.it

[Harry_Callahan]

edit: una cosa, ma hai già risolto il problema oppure persite?

[leon84]

Quote:

Originariamente inviato da Harry_Callahan

edit: una cosa, ma hai già risolto il problema oppure persite?

Vorrei poter impostare lo stun server. E' quello il punto. Il Nokia non gestisce gli stun server. Cmq si il problema è risolto ma il punto è : ok è risolto per casa, il router è mio e sono io a mettere mano al firewall. Ma se mi sposto in altre coperture WiFi sono fregato. Quindi o Nokia introduce gli stun o il protocollo SIP mi pare poco utilizzabile oggi in cui le reti di calcolatori sono divenute più vulnerabili e quindi le politiche di sicurezza più restrittive...

[Harry_Callahan]

attenzione, non hai risolto per caso
hai risolto grazie all'apertura della porta 5060(SIP)

lo stun server serve per NAT un pò particolari
nel tuo caso, se funziona senza lo STUN va bene, lascia le cose così

logicamente se ti sposti su altro router lo devi configurare ad hoc quel router(apertura 5060 in entrata)

io ho riscontrato un problema simile al tuo, riuscivo a sbloccare la situazione chiamando(da altro numero) la numerazione Eutalia 2-3 volte

[leon84]

Quote:

Originariamente inviato da Harry_Callahan

attenzione, non hai risolto per caso
hai risolto grazie all'apertura della porta 5060(SIP)

lo stun server serve per NAT un pò particolari
nel tuo caso, se funziona senza lo STUN va bene, lascia le cose così

logicamente se ti sposti su altro router lo devi configurare ad hoc quel router(apertura 5060 in entrata)

io ho riscontrato un problema simile al tuo, riuscivo a sbloccare la situazione chiamando(da altro numero) la numerazione Eutalia 2-3 volte

Si si certo sono consapevole di non aver risolto per caso ma sarebbe davvero molto utile seNOKIA introducesse un client stun. Però resta ancora il dubbio : perché subito dopo uno squillo funge ????

[Harry_Callahan]

Quote:

Originariamente inviato da leon84

Si si certo sono consapevole di non aver risolto per caso ma sarebbe davvero molto utile seNOKIA introducesse un client stun.

hai una schermata da postare?

Quote:

Originariamente inviato da leon84

Però resta ancora il dubbio : perché subito dopo uno squillo funge ????

questo accadeva PRIMA dell'apertura della porta? giusto? oppure hai ancora questo problema?

[leon84]

Quote:

Originariamente inviato da Harry_Callahan

hai una schermata da postare?



questo accadeva PRIMA dell'apertura della porta? giusto? oppure hai ancora questo problema?

Ora che la porta è aperta sono sempre rintracciabile. senza alcun problema. A porta chiusa sono rintracciabile non appena mi registro a voip.eutelia.it. Poi dopo qualche secondo non lo sono più. Poi se squillo qualcuno nei secondi successivi sono nuovamente rintracciabile.

Scusa una schermata di cosa ?

[Harry_Callahan]

Quote:

Originariamente inviato da leon84

Ora che la porta è aperta sono sempre rintracciabile. senza alcun problema. A porta chiusa sono rintracciabile non appena mi registro a voip.eutelia.it. Poi dopo qualche secondo non lo sono più. Poi se squillo qualcuno nei secondi successivi sono nuovamente rintracciabile.

ok tutto chiaro
probabilmente il firewall subito dopo lo squillo non droppava il pacchetto e permetteva il passaggio

ho riscontrato anch'io delle anomalie con tale firewall

Quote:

Originariamente inviato da leon84

Scusa una schermata di cosa ?

della configurazione del Nokia

[leon84]

Quote:

Originariamente inviato da Harry_Callahan

ok tutto chiaro
probabilmente il firewall subito dopo lo squillo non droppava il pacchetto e permetteva il passaggio

ho riscontrato anch'io delle anomalie con tale firewall



della configurazione del Nokia

Leggi questo articolo molto bello : spiega tutto

http://www.zarrelli.org/blog/index.p...n-parte-prima/

Era come dicevo io : ho anche risposto al perché se squillo io dopo rimango rintracciabile. Praticamente il motivo è : Se è il client VOIP ad iniziare una sessione ovviamente il router compila le sue tabelle in modo da poter risolvere il NAT. Questo non accade per il contrario. Faccio un esempio

Il mio cell ha indirizzo 192.168.0.4 e viene mappato con l'indirizzo pubblico xxx.xxx.xxx.xxx .

Quando il mio cell inizializza una sessione al mio router risulta :
Pacchetto IP src 192.168.0.4 porta aaa dest voip.eutelia.it porta 5060.
Il nat farà in modo di avere
src xxx.xxx.xxx.xxx porta bbb dest voip.eutelia.it porta 5060.

Quando il server eutelia risponde il router verifica la tabella e riscontra che l'indirizzo voip.eutelia.it porta 5060 era stato contattato da 192.168.0.4 e quindi redirige il traffico. Dopo un pò ovviamente elimina la entry e quindi se instauro dall'esterno una connesione il router non saprà a chi redirigere quel traffico. A meno che non inserisca una politica nel firewall come ho fatto io.

Soluzione al tutto ??? Utilizzare uno stun server.

[Harry_Callahan]

Quote:

Originariamente inviato da leon84

Soluzione al tutto ??? Utilizzare uno stun server.

non è così semplice

se hai un router come il mio, Atlantis 440 e imposti il firewall su user defined, non c'è STUN server che faccia passare il pacchetto in entrata. Un firewall del genere lo blocca subito, se non c'è una regola ben precisa non c'è verso di farlo passare

il Netgear è meno aggressivo e alcun firmware sono anche bugati....
ho riscontrato un grave errore del firewall con l'ultimo firmware GT
instrada pacchetti P2P anche ai PC non nella regola del firewall

[leon84]

Quote:

Originariamente inviato da Harry_Callahan

non è così semplice

se hai un router come il mio, Atlantis 440 e imposti il firewall su user defined, non c'è STUN server che faccia passare il pacchetto in entrata. Un firewall del genere lo blocca subito, se non c'è una regola ben precisa non c'è verso di farlo passare

il Netgear è meno aggressivo e alcun firmware sono anche bugati....
ho riscontrato un grave errore del firewall con l'ultimo firmware GT
instrada pacchetti P2P anche ai PC non nella regola del firewall

Ma uno stun server utilizza un paradigma client/server. Il tuo telefono voip farà sempre da client. non vedo perché un router debba interferire. Questo infatti non dovrà consentire alcun traffico in entrata. Solo in uscita.

[Harry_Callahan]

Quote:

Originariamente inviato da leon84

Ma uno stun server utilizza un paradigma client/server. Il tuo telefono voip farà sempre da client. non vedo perché un router debba interferire. Questo infatti non dovrà consentire alcun traffico in entrata. Solo in uscita.

e in entrata se i pacchetti sono droppati da un firewall tipo il mio, come fai a comunicare?

[leon84]

Quote:

Originariamente inviato da Harry_Callahan

e in entrata se i pacchetti sono droppati da un firewall tipo il mio, come fai a comunicare?

Ma scusa non puoi configurarlo affinché non droppi ???

[leon84]

Comunque ho altre novità in merito.

La UI S60 del Nokia E51 non permette di modificare le impostazioni relative allo stun ma le gestisce. Questo perché si assume di default che se un server di registrazione o proxy ha ad esempio indirizzo voip.eutelia.it il suo stun è stun.voip.eutelia.it e la porta di default 3478.

Ho trovato infatti questa utility http://www.forum.nokia.com/info/sw.n..._0_en.zip.html

che permette di modificare le impostazioni dello stun server. Il punto è che affinché il protocollo stun funzioni occorre anche avere un tipo di NAT particolare. Ecco perché dalla mia ragazza funzionava. Perché il NAT viene fatto tenendo in considerazione che ci si può trovare dinanzi ad uno stun e quindi il mio telefono utillizzava quelli di default.

Ho chiamato anche NETGEAR mi hanno detto che occorre un router che gestisce il NAT tenendo conto del VOIP (probabilmente intendeva lo stun).
Alla fine ho detto loro. Apro il firewall ed il gioco è fatto altro che spendere altri soldi.

[Harry_Callahan]

Quote:

Originariamente inviato da leon84

Ma scusa non puoi configurarlo affinché non droppi ???

certo, era solo per farti capire che lo STUN server da solo non basta
ha la sua funzione, ma in entrata il router deve essere settato correttamente

probabilmente non ci siamo capito prima

[leon84]

Quote:

Originariamente inviato da Harry_Callahan

certo, era solo per farti capire che lo STUN server da solo non basta
ha la sua funzione, ma in entrata il router deve essere settato correttamente

probabilmente non ci siamo capito prima

Scusa allora mi manca ancora qualcosa ... Il firewall deve si consentire connessioni in ingresso ma se è il client ad inizializzare tali connessioni sarà trasparente al firewall. Ecco il vantagio dello stun. Ed ecco anche perché a me a firewall chiuso entro pochi secondi riuscivo cmq a ricevere. Questo perché il router aveva ancora l'ip del mio cellulare nella tabella di nat. Quindi se in presenza di NAT (Ad eccezione di quello simmetrico) si utilizza uno STUN non occorre aprire nulla in ingresso...