Centralino telefonico Asterisk dietro NAT: non si sentono le chiamate

[YesterdayChildren]

Buongiorno a tutti,

Per non farvi perdere molto tempo cercherò di essere il meno prolisso possibile.

Possiedo un server Asterisk (FreePBX by Sangoma Linux) che è usato anche da utenti esterni.

Il server si trova su una VM con Bridge. Il computer è collegato a Internet tramite uno switch di rete.

Il problema è uno, nonostante abbia fatto il port forwarding della porta per la registrazione (non ho messo la 5060 per sicurezza ma un altra) e le porte RTP se si chiamano due interni non appartenenti alla stessa lan l'audio non si sente. La chiamata però viene inoltrata correttamente, i codec sono corretti e si registrano.

Se può aiutare nelle funzioni come "conferenza" l'audio si sente, e si sentono anche tutti i messaggi del server (es. la chiamata non può essere completata così com'è composta ecc.)

SIP NAT sta su yes.


Sono disposto a fornire qualunque dettaglio e vi ringrazio anticipatamente.

Cordiali saluti.

Modificato: 6 maggio 2023 da YesterdayChildren
Aggiunta dettaglio importante

[Andrea Annoni]

è certamente un problema di NAT. Nel SIP conf cosa hai messo? Hai un IP pubblico statico? Hai dichiarato correttamente la porta SIP  usata anche nella conf (Binding) .......anche se è follia pubblicare la porta SIP seppur con NAT-T diversa dalla 5060.

Se la scheda della VM è in bridge prova a impostare il SIP conf con Pubblic. Dipende da come il roter gestisce la sessione SIP

[YesterdayChildren]

Rispondo:
Il mio IP pubblico (purtroppo o per fortuna) non è statico. Abbiamo un dominio dynamic dns che fornisce un dominio dove gli utenti si possono collegare.
Per SIP conf Lei intende "Asterisk SIP Settings"? In quella pagina sono state configurati sia gli indirizzi di rete (192.168.1.0/24, e l'IP pubblico), la porta è stata cambiata e Asterisk è stato riavviato. Per la porta 5060... perché dice che è follia? 
 

Dimenticavo, chiedo scusa: il router è un TIM HUB DGA4132

[Andrea Annoni]

Se è dinamico che IP pubblico è stato inserito? Come suggerito o provi a mettere PUBBLIC nelle impostazioni o metti il nome HOST specificando appunto che l'IP è dinamico.

 

Come ripeto non è questione di tentativi ma che bisogna capire come il router gestisce la sessione SIP.

 

Se la 5060 è stata cambiata solo a livello di NAT-T nel router è un conto. Ma se la 5060 è stata proprio modificata nel bind di Asterisk occorre appunto dichiararla.

 

 

Ad ogni modo "pubblicare" brutalmente la porta SIP (indipendentemente dal numero usato) è follia perchè si inibiscono solo gli attacchi che puntano la 5060; i sistemi di hacking oggi controllano invece proprio la sessione. Ergo se viene sniffata il sistema è comunque attaccabile.

 

Io eviterei di pubblicare una qualsiasi risorsa VoIP. Esistono i tunnel. La maggior parte dei telefoni consente proiprio di usare il tunneling per la sessione VoIP. Se invece si vuole a tutti i costi la "comodità" (che cozza con sicurezza) di avere un app sullo smartphone senza fare tunneling allora il minimo sindacabile è applicare una white-list contentente le subnet italiane (in rete si trovano già compilate per i firewall più blasonati)  in modo appunto da limitare l'accesso alle soli reti italiane. (oltre l'80% degli attacchi sono esteri) .

Che non è certo un sistema di sicurezza.,......ma appunto un "meglio di niente".

 

 

Il TIM-Hub non dispone di alcun sistema firewall che lavori nei layer 3-6. Senza offesa è il router della sciura maria che non ha un PBX in casa.

 

 

 

[YesterdayChildren]

Capisco, grazie mille