SonicWall (FR) - VoIP.ms Wiki

SonicWall (FR)

From VoIP.ms Wiki

Jump to: navigation, search

Auteur: James A. Russo jr@halo3.net / Halo3 Consulting, LLC

Synopsis:

Lors de l'utilisation d'un SonicWALL et d'un PBX derrière ce SonicWALL, certaines des connexions SIP entrantes peuvent être refusées, car le SonicWALL expire rapidement les sessions UDP sur le pare-feu. Cela entraînera l'impossibilité de s'enregistrer via celui-ci ou une situation où certains appels entrants se connectent très bien, mais d'autres juste une minute plus tard expireraient et ne se connecteraient jamais.

Dans notre configuration, nous utilisons un TZ-210 exécutant la version améliorée SonicOS 5.8.1.13-1o. Cependant, la même configuration peut probablement être effectuée sur divers appareils de SonicWALL.

Nous avons pu déterminer ce qui se passait en regardant les journaux sur le Sonicwall où trouveraient les paquets UDP abandonnés provenant du serveur VOIP.MS sur le port 5060 vers notre adresse IP WAN sur divers ports UDP.

Solution:

La solution sera d'ajouter une règle de pare-feu de LAN-> WAN qui s'appliquera à l'IP PBX LAN interne au groupe d'adresses des serveurs VOIP.MS. Ce sera une règle Autoriser le pare-feu, mais plus important encore, le délai d'expiration de la session UDP sera de 500 secondes (par rapport aux 30 secondes normales).

Étape 1: création des objets d'adresse

Créez l'objet d'adresse pour tous les différents serveurs VOIP.MS auxquels vous pouvez vous connecter. Vous devez répertorier vos serveurs principaux et tous les serveurs secondaires auxquels vous pouvez vous connecter. Vous ne souhaitez pas basculer vers un serveur secondaire et ne pas oublier de modifier vos règles de pare-feu.

Ceux-ci seront sur la zone WAN et doivent être des objets FQDN. Nous faisons cela pour que si l'adresse IP du serveur voip.ms change un jour, la règle fonctionne toujours.

Répétez cette opération pour tous les autres serveurs VOIP.MS auxquels vous pouvez vous connecter.


SonicWall.png


2: créer les objets de groupe d'adresses

Créez un objet de groupe d'adresses qui contiendra toutes les adresses que vous avez définies à l'étape 1. Ce sera l'objet réel que nous utiliserons dans la règle de pare-feu.


SonicWall2.png


Étape 3: Créez un objet d'adresse pour le PBX qui se trouve derrière le SonicWALL.

Cette étape est techniquement facultative, car dans la règle de pare-feu, vous pouvez toujours simplement appliquer cette règle de pare-feu à partir de N'IMPORTE QUEL hôte du réseau vers les serveurs VOIP.MS. En incluant cette règle, le délai d'expiration UDP ne sera prolongé que pour les sessions créées à partir du PBX vers les serveurs VOIP.MS. Je ne suis pas convaincu que cela soit vraiment nécessaire ou renforce autant la sécurité. Dans notre configuration, nous avons un PBX en interne derrière le SonicWALL. Si vous avez de nombreux téléphones derrière le SonicWALL, vous pouvez simplement ignorer cette étape et spécifier TOUT comme adresse source à l'étape 4 ci-dessous.


SonicWall3.png


Étape 4: créer la règle de pare-feu

Dans cette étape, vous allez créer la règle de pare-feu qui autorisera l'accès à partir du LAN -> WAN et ajusterez également le délai d'expiration UDP spécifique. Il s'agit d'une règle redondante, car il existe déjà une règle de pare-feu qui autorise LAN -> WAN. Cependant, cette règle inclura le délai UDP de 30 secondes qui est la cause réelle du problème.


SonicWall4.png


Une fois que vous avez configuré la règle, cliquez sur l'onglet avancé et ajustez la valeur du délai UDP à quelque chose comme 300 secondes (5 minutes). Cela devrait empêcher le SonicWALL de laisser tomber les paquets SIP INVITE qui arrivent plus de 30 secondes depuis le dernier paquet SIP sortant vers le serveur VOIP.MS.

SonicWall5.png
Personal tools
Namespaces
Variants
Actions
VoIP.ms Wiki
VoIP.ms Blog
Configuration
Guides (English)
Guides (Français)
Guías (Español)
Toolbox