VoIP Vodafone con ATA, telefoni SIP, PBX, app SIP ecc.

[Iw2dyn]

Quote:

Originariamente inviato da pentolino76

Mi spieghi meglio questo passo? A che serve modificare il NAT se il proxy è fuori dalla tua rete? O la porta aperta è sul Gigaset?

Devo verificare meglio questa sera, ma la sequenza è stata questa:
- senza aprire nessuna porta firewall/nat il telefono si registra e le chiamate partono ed arrivano ma non si sente l'audio.
- attivato STUN su Gigaset senza regola firewall idem come sopra, nessun audio
- attivata regola firewall/nat sulla porta STUN UDP 3478 l'audio finalmente funziona.

[pentolino76]

Quote:

Originariamente inviato da Iw2dyn

Devo verificare meglio questa sera, ma la sequenza è stata questa:
- senza aprire nessuna porta firewall/nat il telefono si registra e le chiamate partono ed arrivano ma non si sente l'audio.
- attivato STUN su Gigaset senza regola firewall idem come sopra, nessun audio
- attivata regola firewall/nat sulla porta STUN UDP 3478 l'audio finalmente funziona.

quindi ha esposto UDP 3478 del gigaset su internet? E' proprio la frase "attivata regola firewall/nat sulla porta STUN UDP 3478" che non mi è chiara

[korvapuusti]

Quote:

Originariamente inviato da Xyca

Non riesco a capire. Si è registrato la prima volta, poi dopo un riavvio della sessione ppp del router non si è più registrato. Ho provato a rimettere da zero tutti i dati esattamente come la volta precedente, ma nulla da fare.

ho rotto gli indugi e ne ho ordinato uno. Vediamo se ho preso un fermacarte o se trovo il modo di farlo andare (incrocio le dita...). In realta' volevo prenderlo per associarlo a freepbx, ma ancora non ci sono riuscito. Ho pensato che, comunque, avere un ATA con la blacklist e' meglio di niente. Speriamo di riuscire almeno in questo...

[miazza]

Quote:

Originariamente inviato da pentolino76

quindi ha esposto UDP 3478 del gigaset su internet? E' proprio la frase "attivata regola firewall/nat sulla porta STUN UDP 3478" che non mi è chiara

Una cosa così:
https://www.neomedia.it/servizi/voip...gurazione/nat/

[pentolino76]

Quote:

Originariamente inviato da miazza

Una cosa così:
https://www.neomedia.it/servizi/voip...gurazione/nat/

Vediamo se ho capito bene... io per NAT e port forwarding intendo dire, per esempio, che ho un PC in LAN (ip 192.168.1.2), sotto NAT, con un server https (porta 443 o altra) e voglio che sia visible su internet. Quindi configuro sul router un port forwarding dalla 443 WAN (ip 1.2.3.4) alla 443 (o quello che è) dell'IP LAN del PC in questione. Quindi 1.2.3.4:443 -> NAT -> 192.168.1.2:443.

Da quello che ho capito di SIP servono delle porte in ingresso al dispositivo (a cui diamo l'IP 192.168.1.3) per gestire i flussi audio e sono queste che vanno esposte sulla WAN? Per esempio 1.2.3.4:3478 UDP -> NAT -> 192.168.1.3:3478 UDP?

E come fa, per dire, SipDroid a funzionare senza? (sono sicuro di non avere Upnp o altre cose che permettano l'apertura automatica di porte sul router)

[Iw2dyn]

Quote:

Originariamente inviato da pentolino76

quindi ha esposto UDP 3478 del gigaset su internet? E' proprio la frase "attivata regola firewall/nat sulla porta STUN UDP 3478" che non mi è chiara

Si confermo: dopo la creazione della regola di nat sulla porta 3478 (con relativa regola firewall) l'audio ha cominciato a funzionare regolarmente.

[Iw2dyn]

Quote:

Originariamente inviato da pentolino76

Vediamo se ho capito bene... io per NAT e port forwarding intendo dire, per esempio, che ho un PC in LAN (ip 192.168.1.2), sotto NAT, con un server https (porta 443 o altra) e voglio che sia visible su internet. Quindi configuro sul router un port forwarding dalla 443 WAN (ip 1.2.3.4) alla 443 (o quello che è) dell'IP LAN del PC in questione. Quindi 1.2.3.4:443 -> NAT -> 192.168.1.2:443.

Da quello che ho capito di SIP servono delle porte in ingresso al dispositivo (a cui diamo l'IP 192.168.1.3) per gestire i flussi audio e sono queste che vanno esposte sulla WAN? Per esempio 1.2.3.4:3478 UDP -> NAT -> 192.168.1.3:3478 UDP?

E come fa, per dire, SipDroid a funzionare senza? (sono sicuro di non avere Upnp o altre cose che permettano l'apertura automatica di porte sul router)

Ciao Pentolino,
Ho provato SipDroid non si registrava nemmeno.
Pfsense blocca tutto il traffico in ingresso se non è stato originato da un ip interno: se la porta che ha originato il traffico è la 5060, senza nessuna regola di nat/firawall solo il traffico per la porta 5060 è consentito in ingresso. Le porte per la parte voce RTP rimangono chiuse perchè sono solo in ascolto e non hanno aperto il traffico verso l'esterno. Le regole NAT RTP e STUN servono proprio a far entrare il traffico anche se non è stato generato da un client interno.

Prima di acquistare il Gigaset avevo provato con X-lite:
Senza nessuna regola NAT avevo regolare registrazione dell'account, le chiamate in ingresso ed uscita funzionavano ma niente audio.
Con il Gigaset stesso identico risultato: il tutto è andato a posto con il nat sulla porta 3478 come da te riassunto.

Questa sera se ho un po' di tempo volevo provare a lasciare solo la regola per la porta 3478 e vedere se è sufficiente a far funzionare anche la parte audio, visto che le chiamate funzionano anche senza le regole di NAT.

[pentolino76]

Quote:

Originariamente inviato da Iw2dyn

Ciao Pentolino,
Ho provato SipDroid non si registrava nemmeno.

...Prima di acquistare il Gigaset avevo provato con X-lite:
Senza nessuna regola NAT avevo regolare registrazione dell'account, le chiamate in ingresso ed uscita funzionavano ma niente audio.

che strano, a me funzionano (con audio) sia SipDroid che X-Lite (indirizzo diverso, quindi escludo che ci sia NAT per la porta consueta) senza regola NAT; probabilmente dipende dal router

[Iw2dyn]

Quote:

Originariamente inviato da pentolino76

che strano, a me funzionano (con audio) sia SipDroid che X-Lite (indirizzo diverso, quindi escludo che ci sia NAT per la porta consueta) senza regola NAT; probabilmente dipende dal router

Ti confermo che se disattivo le regole NAT per le porte SIP 5060 RTP 50004-50020 e STUN 3478 l'audio non passa. A quanto pare Pfsense è MOLTO restrittivo, non per nulla è utilizzato in ambiente corporate. Ha però il vantaggio di essere gratuito e di girare su qualsiasi HW minimamente carrozzato.

[Iw2dyn]

Perfetto. Ora ho un altro problema: prima si registra, poi dopo un po', il portatile mi da registrazione fallita. Idee sui tempi di refresh da impostare per la registrazione e per il nat ?

[Iw2dyn]

Quote:

Originariamente inviato da Iw2dyn

Perfetto. Ora ho un altro problema: prima si registra, poi dopo un po', il portatile mi da registrazione fallita. Idee sui tempi di refresh da impostare per la registrazione e per il nat ?

Ho scoperto poi un'altra cosa: continuo a ricevere richieste di registrazione da parte del numero +442922550438 di DIDWW Ireland Limited (xx.xx.xx.xx è il mio ip pubblico)


185.53.88.253.51877 > xx.xx.xx.xx.5060: SIP: INVITE sip:+442922550438@xx.xx.xx.xx SIP/2.0

Per chi volesse farsi un po' di cultura sul protocollo SIP ho trovato questo interessante articolo: https://transnexus.com/whitepapers/s...header-fields/

[pentolino76]

Quote:

Originariamente inviato da Iw2dyn

Ti confermo che se disattivo le regole NAT per le porte SIP 5060 RTP 50004-50020 e STUN 3478 l'audio non passa. A quanto pare Pfsense è MOLTO restrittivo, non per nulla è utilizzato in ambiente corporate. Ha però il vantaggio di essere gratuito e di girare su qualsiasi HW minimamente carrozzato.

capito l'arcano; il mio router (firmware asuswrt merlin) ha una pagina chiamata "NAT passthrough" e tra le varie opzioni attivate c'è appunto SIP. Quindi immagino che si occupi il router di fare gli aggiustamenti necessari.

Penso che questo semplifichi molto la gestione di un dispositivo SIP nattato

[korvapuusti]

Quote:

Originariamente inviato da pentolino76

capito l'arcano; il mio router (firmware asuswrt merlin) ha una pagina chiamata "NAT passthrough" e tra le varie opzioni attivate c'è appunto SIP. Quindi immagino che si occupi il router di fare gli aggiustamenti necessari.

Penso che questo semplifichi molto la gestione di un dispositivo SIP nattato

Si', e' il cosiddetto SIP ALG (Application Layer Gateway), implementato su linux con dei moduli del kernel. Ho provato a disabilitarlo e persino la VSR (in NAT) non funziona piu'.

Su pfsense c'e' un NAT simmetrico e non so se sia possibile attivare un SIP ALG.

D'altra parte quando qualcosa non funziona, spesso e' proprio colpa del SIP ALG.

Percio' i risultati con SIP sono molto dipendenti dall'implementazione del NAT e del SIP ALG, quindi in ultima analisi dal software del router.

[pentolino76]

Quote:

Originariamente inviato da korvapuusti

Si', e' il cosiddetto SIP ALG (Application Layer Gateway), implementato su linux con dei moduli del kernel. Ho provato a disabilitarlo e persino la VSR (in NAT) non funziona piu'.

curioso, ma e me, con lo stesso router, la VSR in NAT non funzionava; funzionava solo dedicando una porta alla VLAN 1035. Probabilmente la VSR ha un implementazione SIP più debole di SipDroid e X-Lite

[Iw2dyn]

ATTENZIONE ---- Lungo-----

dopo un po' di tentativi ho trovato la configurazione funzionante.

Rapido riassunto degli attori in campo:
- Firewall PFSENSE (lo so poco usato in ambiente casalingo, ma questa guida può tornare utile a tutti).
- Telefono VOIP Gigaset A540 IP

Per chi volesse divertirsi, Pfsense è un ottimo firewall software gratuito che gira su qualsiasi piattaforma anche datata (sia fisica che virtuale) a patto che abbia almeno due schede di rete. E' potente, stabile e ci si puo divertire parecchio. E' molto usato anche in ambiente corporate.

La configurazione è la seguente:

- in System/Advanced/Firewall & NAT
impostare Firewall Optimization Options a Conservative
Disable Firewall Scrub mettere la spunta
Queste due impostazioni aiutano il firewall a non droppare le connessioni (stati) troppo velocemente anche se poco usate

- in Firewall/Aliases/IP
Creare un alias (Vodafone_Voce) che contenga queste voci Voip2.fixed.vodafone.it, ims.vodafone.it, Voip1.fixed.vodafone.it, Voip3.fixed.vodafone.it, 83.224.127.24 (l'ip è l'indirizzo da cui arriverà il traffico RTP)
Creare un secondo alias (A540IP) con l'ip fisso assegnato al telefono Gigaset
Ci serviranno dopo.

- Firewall/NAT/Port Forward
Creare una regola NAT
Interfaccia (quella che va su internet, di solito WAN)
Protocollo UDP
Source fare click su Display advanced
in source selezionare single host or alias
in address selezionare l'alias creato in precedenza (Vodafone_voce)
Così facciamo in modo che solo gli indirizzi presenti nell'alias possano passare la regola NAT, questo evita di venire bombardati da continue richieste di registrazione da parte di server SIP sconosciuti
source port range any any
destination mettere il range di indirizzi l'interfaccia che va su internet (WAN address)
è una delle voci del menu a discesa non c'è bisogno di inserire alcun indirizzo pfsense si arrangia da solo a compilare i valori corretti
destination port range from SIP (da menu a tendina) to 5061
redirect target ip l'alias A540IP
redirect target port SIP dal menu a tendina
il resto lasciare i default
SAVE
Questo creerà anche la corrispondente regola firewall

Creare successivamente altre due regole firewall una per per porte RTP (che definirete sul Gigaset) ed una per la porta STUN 3478 con la stessa procedura vista prima: in questo caso però non è necessario compilare la parte che appare sotto la voce Display Advanced.
In questo caso non è necessario filtrare le connessioni in ingresso perchè le chiamate arrivano solo dai server Vodafone.
Applicare le modifiche (pulsante in alto a destra)

- in Firewall/NAT/Outbound
sotto Mode selezionare Hybrid e cliccare su SAVE
questo attiva la generazione automatica delle regole di firewall in uscita
crare una nuova regola outbound (freccia in basso a destra)
Interface WAN
protocol ANY
source type network Source network for the outbound NAT mapping A5440IP ricordatevi il /32
Destination ANY
port o range selezionare static port
SAVE
Questa regola ha risolto il problema del portatile Gigaset che perdeva la registrazione: una volta stabilita la connessione viene mantenuta aperta la comunicazione anche in assenza di traffico.

Qui finisce la parte relativa a PFSENSE

GIGASET

Fare login nel web configurator dell' A540IP

- Sotto rete/configurazione IP
Assegnare un IP statico di vostro gradimento (congruente con la classe di ip che utilizzate)
come gateway inserire l'ip di PFSENSE
come DNS primario idem
come DNS secondario il dns di google ( o altro che preferite)

- sotto telefono/connessioni
su IP1 Mettere flag su ATTIVO e cliccare su MODIFICA
sotto nome numero o connessione mettere vostro numero +39xxxx
provider altro provider
Autenticazione Nome: +39xxxxx@ims.vodafone.it
Autenticazione Password: la famosa password ricevuta vis sms
da quel che ho capito è lunga 28 caratteri senza spazi, se ci sono provate a sostituirli con un + (a causa di un baco che riguarda gli sms il + viene fatto sparire)
Username: +39xxxxxxx
Nome visualizzato:+39xxxxx@ims.vodafone.it
click su mostra impostazioni avanzate
DNS SRV Lookup SI
Dominio: ims.vodafone.it
indirizzo server proxy: Voip2.fixed.vodafone.it (o quello ricevuto via SMS)
Server di registrazione:Voip2.fixed.vodafone.it (o quello ricevuto via SMS)
Tempo di refresh Registrazione: 30 (devo provare se è possibile allungarlo. di default era 180 secondi)
STUN abilitato: SI
Porta del server STUN: 3478
Tempo di refresh STUN: 20 sec
Tempo di refresh NAT: 10 sec
anche qui vorrei provare a riportarli al default
Modalità proxy outbound: AUTOMATICO
Indirizzo del server outbound:Voip2.fixed.vodafone.it (o quello ricevuto via SMS)
Porta proxy outbound: 5060
Scegli il protocollo di rete: soltanto UDP

- Audio
preferenza personale codec
mostra impostazioni avanzate
codec selezionati: i due G711 + G729

- impostazioni avanzate
Negoziazione automatica della trasmissione DTMF: SI
Porta random (a caso): NO
Porta SIP: 5060
Porta RTP: a vostra scelta la stessa impostata nelle regole NAT

CLICK OK

Fine dei giochi

Verificate nel tab Stato Dispositivo / CONNESSIONI il numero voip sia REGISTRATO

ATTENZIONE: a volte può impiegare alcuni minuti a registrarsi... abbiate pazienza.

Ulteriore controllo su PFSENSE:
in Diagnostics/States/States filtrare per porta 5060
verificare che le conessioni siano in stato MULTIPLE:MULTIPLE

[korvapuusti]

Quote:

Originariamente inviato da pentolino76

curioso, ma e me, con lo stesso router, la VSR in NAT non funzionava; funzionava solo dedicando una porta alla VLAN 1035. Probabilmente la VSR ha un implementazione SIP più debole di SipDroid e X-Lite

Strano, come hai fatto a nattare la VSR? col server pppoe sull'edgerouter?

[korvapuusti]

Quote:

Originariamente inviato da Iw2dyn

ATTENZIONE ---- Lungo-----

dopo un po' di tentativi ho trovato la configurazione funzionante.

Rapido riassunto degli attori in campo:
- Firewall PFSENSE (lo so poco usato in ambiente casalingo, ma questa guida può tornare utile a tutti).
- Telefono VOIP Gigaset A540 IP

Per chi volesse divertirsi, Pfsense è un ottimo firewall software gratuito che gira su qualsiasi piattaforma anche datata (sia fisica che virtuale) a patto che abbia almeno due schede di rete. E' potente, stabile e ci si puo divertire parecchio. E' molto usato anche in ambiente corporate.

La configurazione è la seguente:

- in System/Advanced/Firewall & NAT
impostare Firewall Optimization Options a Conservative
Disable Firewall Scrub mettere la spunta
Queste due impostazioni aiutano il firewall a non droppare le connessioni (stati) troppo velocemente anche se poco usate

- in Firewall/Aliases/IP
Creare un alias (Vodafone_Voce) che contenga queste voci Voip2.fixed.vodafone.it, ims.vodafone.it, Voip1.fixed.vodafone.it, Voip3.fixed.vodafone.it, 83.224.127.24 (l'ip è l'indirizzo da cui arriverà il traffico RTP)
Creare un secondo alias (A540IP) con l'ip fisso assegnato al telefono Gigaset
Ci serviranno dopo.

- Firewall/NAT/Port Forward
Creare una regola NAT
Interfaccia (quella che va su internet, di solito WAN)
Protocollo UDP
Source fare click su Display advanced
in source selezionare single host or alias
in address selezionare l'alias creato in precedenza (Vodafone_voce)
Così facciamo in modo che solo gli indirizzi presenti nell'alias possano passare la regola NAT, questo evita di venire bombardati da continue richieste di registrazione da parte di server SIP sconosciuti
source port range any any
destination mettere il range di indirizzi l'interfaccia che va su internet (WAN address)
è una delle voci del menu a discesa non c'è bisogno di inserire alcun indirizzo pfsense si arrangia da solo a compilare i valori corretti
destination port range from SIP (da menu a tendina) to 5061
redirect target ip l'alias A540IP
redirect target port SIP dal menu a tendina
il resto lasciare i default
SAVE
Questo creerà anche la corrispondente regola firewall

Creare successivamente altre due regole firewall una per per porte RTP (che definirete sul Gigaset) ed una per la porta STUN 3478 con la stessa procedura vista prima: in questo caso però non è necessario compilare la parte che appare sotto la voce Display Advanced.
In questo caso non è necessario filtrare le connessioni in ingresso perchè le chiamate arrivano solo dai server Vodafone.
Applicare le modifiche (pulsante in alto a destra)

- in Firewall/NAT/Outbound
sotto Mode selezionare Hybrid e cliccare su SAVE
questo attiva la generazione automatica delle regole di firewall in uscita
crare una nuova regola outbound (freccia in basso a destra)
Interface WAN
protocol ANY
source type network Source network for the outbound NAT mapping A5440IP ricordatevi il /32
Destination ANY
port o range selezionare static port
SAVE
Questa regola ha risolto il problema del portatile Gigaset che perdeva la registrazione: una volta stabilita la connessione viene mantenuta aperta la comunicazione anche in assenza di traffico.

Qui finisce la parte relativa a PFSENSE

GIGASET

Fare login nel web configurator dell' A540IP

- Sotto rete/configurazione IP
Assegnare un IP statico di vostro gradimento (congruente con la classe di ip che utilizzate)
come gateway inserire l'ip di PFSENSE
come DNS primario idem
come DNS secondario il dns di google ( o altro che preferite)

- sotto telefono/connessioni
su IP1 Mettere flag su ATTIVO e cliccare su MODIFICA
sotto nome numero o connessione mettere vostro numero +39xxxx
provider altro provider
Autenticazione Nome: +39xxxxx@ims.vodafone.it
Autenticazione Password: la famosa password ricevuta vis sms
da quel che ho capito è lunga 28 caratteri senza spazi, se ci sono provate a sostituirli con un + (a causa di un baco che riguarda gli sms il + viene fatto sparire)
Username: +39xxxxxxx
Nome visualizzato:+39xxxxx@ims.vodafone.it
click su mostra impostazioni avanzate
DNS SRV Lookup SI
Dominio: ims.vodafone.it
indirizzo server proxy: Voip2.fixed.vodafone.it (o quello ricevuto via SMS)
Server di registrazione:Voip2.fixed.vodafone.it (o quello ricevuto via SMS)
Tempo di refresh Registrazione: 30 (devo provare se è possibile allungarlo. di default era 180 secondi)
STUN abilitato: SI
Porta del server STUN: 3478
Tempo di refresh STUN: 20 sec
Tempo di refresh NAT: 10 sec
anche qui vorrei provare a riportarli al default
Modalità proxy outbound: AUTOMATICO
Indirizzo del server outbound:Voip2.fixed.vodafone.it (o quello ricevuto via SMS)
Porta proxy outbound: 5060
Scegli il protocollo di rete: soltanto UDP

- Audio
preferenza personale codec
mostra impostazioni avanzate
codec selezionati: i due G711 + G729

- impostazioni avanzate
Negoziazione automatica della trasmissione DTMF: SI
Porta random (a caso): NO
Porta SIP: 5060
Porta RTP: a vostra scelta la stessa impostata nelle regole NAT

CLICK OK

Fine dei giochi

Verificate nel tab Stato Dispositivo / CONNESSIONI il numero voip sia REGISTRATO

ATTENZIONE: a volte può impiegare alcuni minuti a registrarsi... abbiate pazienza.

Ulteriore controllo su PFSENSE:
in Diagnostics/States/States filtrare per porta 5060
verificare che le conessioni siano in stato MULTIPLE:MULTIPLE

Ottima guida, grazie. Pfsense e opnsense guadagneranno sempre piu' spazio. Segnalo che e' uscito il netgate SG-1100, basato sull'ottima espresso bin, che e' un'alternativa incredibilmente valida ai router consumer. Se poi opnsense dovesse riuscire ad andare sull'espresso bin e se si riuscisse a comprare l'espresso bin dall'europa senza eccessivi rincari, diventerebbe davvero un best buy.

[pentolino76]

Quote:

Originariamente inviato da korvapuusti

Strano, come hai fatto a nattare la VSR? col server pppoe sull'edgerouter?

mi sono espresso male, per nattata intendevo a valle del router, come se fosse un qualsiasi dispositivo; apparentemente la VSR non faceva richiesta DHCP ed in ogni caso non stabiliva la connessione alla LAN

[korvapuusti]

Quote:

Originariamente inviato da pentolino76

mi sono espresso male, per nattata intendevo a valle del router, come se fosse un qualsiasi dispositivo; apparentemente la VSR non faceva richiesta DHCP ed in ogni caso non stabiliva la connessione alla LAN

Infatti: a meno che non venga aggiornata come la VPS, che ora fa rischiesta DHCP sulla porta WAN, l'unica soluzione che ho trovato e' usare un server pppoe sull'edgerouter in modo da farla connettere via pppoe sulla VLAN 1036 (solo voce). In questo modo si connette alla LAN ed e' nattata. Come ho spiegato nella miniguida, questa apparentemente inutile complicazione serviva per preparare l'edgerouter a gestire anche l'intranet vodafone. E infatti posso usare quei dispositivi che sono riuscito a configurare sia sulla rete pubblica, sia su quella interna. Se riesco a configurare anche l'HT802 che dovrebbe arrivarmi la prossima settimana pensiono definitivamente la VSR.

[ZioMatt]

Quote:

Originariamente inviato da korvapuusti

Ottima guida, grazie. Pfsense e opnsense guadagneranno sempre piu' spazio. Segnalo che e' uscito il netgate SG-1100, basato sull'ottima espresso bin, che e' un'alternativa incredibilmente valida ai router consumer. Se poi opnsense dovesse riuscire ad andare sull'espresso bin e se si riuscisse a comprare l'espresso bin dall'europa senza eccessivi rincari, diventerebbe davvero un best buy.

Mmmm... anche no!
Anche nel firmware ottimizzato della Netgate (produttore di PFSense), la SG-1100 non riesce a ruotare il traffico al gigabit (https://www.youtube.com/watch?v=_bM3XqK5JzE), cosa che riesce a fare un qualsiasi router domestico da 50€ dotato di hardware offloading.

Un degno sostituto dei router "proprietari" degli operatori (per utenti consapevoli: dovete avere almeno una padronanza di livello medio di come funzionino le reti) è l'ottimo Mikrotik hap ac2 https://mikrotik.com/product/hap_ac2 ... 70€, e può ruotare il gigabit anche con tutti i filtri attivi, anche con pacchetti piccoli da 512 byte! Il piccoletto non scherza affatto!