Trafic SIP à travers un VPN IPSEC
-
Bonjour,
Je voudrais que le Trafic SIP d’un IPBX sur un site A travers un VPN IPSEC pour ressortir sur un site B et partir sur le WAN afin d’accéder à un service truck SIP.
Problème le service Truck SIP a une IP publique et donc :
-
Sur le PFS A je peux créer Phase 2 : LAN A <=> IP Public/32 Service truck SIP
-
Sur le PFS B je ne peux pas créer Phase 2 : IP Public/32 Service truck SIP <=> LAN A
Avez-vous une idée pour contourner ce problème ?
Je vous remercie par avance, de l’attention accordé à cette question.
-
-
J'avoue ne pas comprendre grand chose :-[ et donc ma réponse est peut-être un peu à coté de la plaque mais j'aurais tendance à aborder le problème "par couche".
Si il s'agit de mettre en place un tunnel entre 2 sites sur lesquels un pfSense est installé, indépendamment de ce qui va passer ultérieurement dans ce tunnel, je commencerais par là.Et donc la problématique deviendrait assez simple à exprimer:
"création d'un tunnel ipsec entre 2 sites"une fois que ça fonctionne, il s'agit juste de configurer le service SIP pour qu'il atteigne la bonne adresse sur le réseau interne ;)
-
Bonjour,
Le tunnel VPN en le site A le site B est déjà opérationnel.
Le trafic LAN A / LAN B est en * donc tous fonction ^L^.Maintenant je voudrais que le trafic du IPBX du site A passe par le WAN du site B via le VPN entre les deux sites.
Cdt,
-
Le mieux serait de publier des copies d'écran de vos paramètres.
-
@jcs:
Maintenant je voudrais que le trafic du IPBX du site A passe par le WAN du site B via le VPN entre les deux sites.
Mais ce n'est qu'un problème de routage non ?
Ceci n'est pas dépendant du protocole (encore que selon le type de tunnel, tout ne fonctionne pas exactement de la même manière, par exemple voir les différences entre TAP et TUN ;) ) mais à ce type de détail près, une fois que les routes sont OK, ça devrait normalement fonctionner. -
Une description de SIP par un étudiant : http://www-igm.univ-mlv.fr/~dr/XPOSE2002/DEBOURDEAU/
SIP n'utilise pas que TCP et UDP : il utilise d'autres protocoles (IP) ! (car TCP et UDP sont les 2 protocoles IP les plus connus).
Autre lien : https://fr.wikipedia.org/wiki/Session_Initiation_Protocol
Lire le paragraphe 'Proxy SIP' : rien que la ligne montre la difficulté …Comme indiqué par Ccnet : quid des écrans des règles du tunnel IPsec ?
Si les règles ne sont pas avec 'any' au niveau où on précise TCP ou UDP, cela ne risque pas de fonctionner !La description n'est pas claire, parce que la compréhension des 'éléments' n'est pas là : il est plus que probable qu'il faille un proxy SIP !
Enfin la plupart des install peuvent le prévoir, et certainement la totalité dans le cas multi-sites ! -
@jdh:
Une description de SIP par un étudiant : http://www-igm.univ-mlv.fr/~dr/XPOSE2002/DEBOURDEAU/
SIP n'utilise pas que TCP et UDP : il utilise d'autres protocoles (IP) ! (car TCP et UDP sont les 2 protocoles IP les plus connus).
C'est un problème de couche. ;)
TCP et UDP sont utilisés au niveau réseau, juste au dessus de IP. Dans ma compréhension, SIP peut être configuré pour utiliser soit TCP soit UDP (voire les deux ;))Si on se réfère à l'OSI:
- La couche réseau est IP (couche 3)
- La couche transport est TCP ou UDP (couche 4) (*)
- SIP est défini dans les couches 5 et au dessus (application) tel que défini dans la RFC3261.
(*) SCTP est également possible. il est intéressant de lire la RFC4168 (draft) et en particulier cette phrase:
As SIP is transport-independent, support of SCTP is a relatively straightforward process, nearly identical to support for TCP.
-
SIP est un protocole essentiellement de signalisation entre n° mais ne s'occupent pas vraiment de la partie transport 'voix'.
Il faut donc aussi le transport de la voix, lequel peut utiliser des protocoles IP et non des sous-protocoles TCP ou UDP.
De nombreux exemples de protocoles IP connus : ICMP(1), IGMP(2), TCP(6), UDP(17), ESP(50), AH(51), OSPF(89) et SCTP (132) (cf http://www.iana.org/assignments/protocol-numbers/protocol-numbers.xhtml)Il est donc ESSENTIEL que les règles du tunnel comportent bien 'any' et non 'tcp et udp' (insuffisants).
Par ailleurs, le proxy est nécessaire du fait de "Un Proxy SIP sert d'intermédiaire entre deux User Agents qui ne connaissent pas leurs emplacements respectifs (adresse IP). En effet, l'association URI / Adresse IP a été stockée préalablement dans une base de données par un Registrar. Le Proxy peut donc interroger cette base de données pour diriger les messages vers le destinataire." (cf https://fr.wikipedia.org/wiki/Session_Initiation_Protocol)
Il serait peut-être temps d'avoir des infos …
-
@jdh:
SIP est un protocole essentiellement de signalisation entre n° mais ne s'occupent pas vraiment de la partie transport 'voix'.
Il faut donc aussi le transport de la voix, lequel peut utiliser des protocoles IP et non des sous-protocoles TCP ou UDP.je suis d'accord, SIP ne s'occupe pas de la partie voix ;)
Comme je l'ai écrit, c'est un problème de couche. Je ne comprends pas cette histoire de "sous-protocole". Dans ma compréhension, c'est une problématique de couche.
Au dessus d'IP les protocoles utilisés, même si je suis d'accord qu'il en existe d'autres, tu as raison, sont TCP et UDP, potentiellement SCTP mais c'est au choix du UABien sûr, pour sortir des généralités, si tu as des exemples concrets, dans le cadre de VoIP, de protocoles différents des 3 décrits ci-dessus, n'hésite pas à l'expliquer. Je ne mets pas en doute ton propos mais je ne connais rien qui sorte de ce cadre (dans le domaine VoIP)
même RTP et RTCP qui sont largement utilisés dans le transport des média s'appuient sur UDP.Il est donc ESSENTIEL que les règles du tunnel comportent bien 'any' et non 'tcp et udp' (insuffisants).
Afin que nous progressions vraiment dans ce domaine, peux-tu, stp, fournir des informations concrètes plus détaillées ?
Par ailleurs, le proxy est nécessaire du fait de "Un Proxy SIP sert d'intermédiaire entre deux User Agents qui ne connaissent pas leurs emplacements respectifs (adresse IP). En effet, l'association URI / Adresse IP a été stockée préalablement dans une base de données par un Registrar. Le Proxy peut donc interroger cette base de données pour diriger les messages vers le destinataire." (cf https://fr.wikipedia.org/wiki/Session_Initiation_Protocol)
Le proxy est effectivement une bonne solution à défaut de serveur SIP
Il serait peut-être temps d'avoir des infos …
N'hésite pas à nous fournir des liens qui détaillent tes propos car ceux que tu montres jusqu'ici ne documentent que TCP et UDP, sauf bien sûr si j'ai mal lu :-[
-
Dans une Rule, il faut indiquer le choix 'Protocole' avec une liste comprenant TCP, UDP, TCP/UDP, ICMP, ESP, … et any. (Ce sont des protocoles IP).
En général, j'évite 'any' et préfère indiquer le bon protocole (le plus souvent TCP).
Les protocoles autour de SIP utilisent soit des protocoles TCP ou UDP soit le protocole SCTP : il faut donc 'any' et non 'TCP/UDP' dans les règles du tunnel !
On ne peut se contenter de "Le trafic LAN A / LAN B est en * donc tous fonction ^L^." (8/7/15 16h25) d'où "Il serait peut-être temps d'avoir des infos ...".Par ailleurs, mettre en place une solution VoIP avec SIP et ne pas savoir qu'il y a besoin de proxy SIP en cas de multi-sites (et c'est à conseiller en mono-site), me gêne quelque peu.
L'informatique, et particulièrement le réseau, ce n'est pas juste brancher le câble (et faire un ping) : il y a à comprendre les protocoles et leurs spécificités (à minima, routage et NAT).(C'est curieux : j'écris des choses simples et très générales, et je ne suis pas un grand spécialiste de VoIP, mais il y a toujours un lecteur qui lit de travers !)