SonicWall (ES)

From VoIP.ms Wiki

Latest revision as of 21:26, 23 January 2021

Autor: James A. Russo [email protected] / Halo3 Consulting, LLC

Sinopsis:

Cuando se utiliza un SonicWALL y un PBX detrás de ese SonicWALL, algunas de las conexiones SIP entrantes pueden ser rechazadas porque SonicWALL expira rápidamente las sesiones UDP en el cortafuegos. Esto dará como resultado que no pueda registrarse a través de él o una situación en la que algunas llamadas entrantes se conecten bien, pero puede que algunas después de un minuto más tarde expiren y no se conecten.

En nuestra configuración estamos usando un TZ-210 con la versión mejorada SonicOS 5.8.1.13-1o. Sin embargo, es probable que se pueda realizar la misma configuración en varios dispositivos de SonicWALL.

Pudimos determinar lo que estaba sucediendo observando los registros en Sonicwall donde encontraríamos paquetes UDP caídos que se originaban desde el servidor VOIP.MS en el puerto 5060 a nuestra dirección IP WAN en varios puertos UDP.

Solución:

La solución será agregar una regla de cortafuegos desde LAN-> WAN que se aplicará a la IP PBX de LAN interna al grupo de direcciones de los servidores VOIP.MS. Esta será una regla de Permitir cortafuegos, pero lo más importante es que definirá el tiempo de espera de la sesión UDP en 500 segundos (frente a los 30 segundos normales).

Paso 1: crear los objetos de dirección

Cree el objeto de dirección para todos los servidores VOIP.MS a los que puede conectarse. Debe enumerar sus servidores primarios y los servidores secundarios a los que pueda conectarse. No conmute por error a un servidor secundario para no tener que recordar modificar las reglas de su cortafuegos.

Estos estarán en la zona WAN y deberían ser objetos FQDN. Hacemos ésto de manera que si la dirección IP del servidor de voip.ms cambiase alguna vez, la regla seguirá funcionando.

Repita ésto para cualquier otro servidor de VOIP.MS al que pueda conectarse.

Paso 2: crear los objetos del grupo de direcciones

Cree un objeto de grupo de direcciones que contendrá todas las direcciones que definió en el paso 1. Este será el objeto real que usaremos en la regla de cortafuegos.

Paso 3: Cree un objeto de dirección para el PBX que está detrás del SonicWALL.

Este paso es técnicamente opcional, ya que en la regla de cortafuegos siempre puede aplicar esta regla de cortafuegos desde CUALQUIER host de la red a los servidores VOIP.MS. Al incluir esta regla, el tiempo de exporación de UDP solo se extenderá para las sesiones creadas desde el PBX a los servidores VOIP.MS. En nuestra configuración tenemos un PBX internamente detrás del SonicWALL. Si tiene muchos teléfonos detrás de SonicWALL, puede omitir este paso y especificar CUALQUIERA como la dirección de origen en el Paso 4 de a continuación.

Paso 4: cree la regla de cortafuegos

En este paso, creará la regla de cortafuegos que permitirá el acceso desde LAN -> WAN y también ajustará el tiempo de expiración UDP específico. Esta es una regla redundante ya que existe una regla de cortafuegos que permite LAN -> WAN. Sin embargo, esta regla incluirá el tiempo de expiración UDP de 30 segundos que es la causa real del problema.

Una vez que haya configurado la regla, haga clic en la pestaña Avanzado y ajuste el valor de tiempo de espera de UDP a algo así como 300 segundos (5 minutos). Esto debería evitar que SonicWALL deje caer los paquetes SIP INVITE que llegan más de 30 segundos desde el último paquete SIP saliente al servidor VOIP.MS.