Esto de que los firewalls hagan cosas porque les de la gana empieza a hartarme, ya tuvimos un problema similar hace unos meses, despues de una actualización (no habia nada en las release notes sobre eso (ni sobre casi nada). En fin … lo de siempre. Resulta que (a veces) entran llamadas y solo se oye audio en una dirección.
«SIP ALG translates SIP and SDP parameters when the packet is sent to the SIP provider. »
«The SIP session helper is a high-performance solution that provides basic support for SIP calls passing through the FortiGate by opening SIP and RTP pinholes, and by performing NAT of the addresses in SIP messages.
SIP Application Layer Gateway (ALG) provides the same basic SIP support as the SIP session helper. In addition, SIP ALG provides a wide range of features that protect your network from SIP attacks, apply rate limiting to SIP sessions, check the syntax of SIP and SDP content of SIP messages, and provide detailed logging and reporting of SIP activity.
By default, all SIP traffic is processed by the SIP ALG. If the policy that accepts the SIP traffic includes a VoIP profile, the SIP traffic is processed by that profile. If the policy does not include a VoIP profile, the SIP traffic is processed by the SIP ALG using the default VoIP profile. »
Vamos, que por defecto usa el SIP ALG. Todo muy bonito sobre todo ese «wide range of features» que no dicen cuales son, y que … por supuesto hay que configurar (o deshabilitar) desde la linea de comandos. Para que te gastas una pasta en comprar la licencia de Fortimanager, si la mitad de las cosas hay que hacerlas a mano (año 2023).
Mas cosas curiosas, por defecto el SIP ALG viene activado, pero los logs no (wtf?).
Para activarlo.
Ahora bien … el problema (el mio) es que el trafico atraviesa dos firewalls … y la opción de activar los logs ademas dice esto.
¿Si lo activo me cargo algo?, teniendo en cuenta que esta en producción … pues ni idea.
Sigo leyendo, «SIP calls passing through the FortiGate by opening SIP and RTP pinholes» (os juro que no habia leido eso de los pinholes en mi vida) … pero vamos lo que hace es abrir puertos de forma dinamica para que las llamadas puedan conectarse y aqui es donde entra el NAT (creo).
«When SIP ALG processes a SIP call, it usually opens pinholes for SIP signaling and RTP/RTCP packets. NAT usually takes place during the process at both the network and SIP application layers. SIP ALG ensures that, with NAT happening, corresponding SIP and RTP/RTCP pinholes are created during the process when it is necessary for call sessions to be established through FortiOS devices.»
Lo que no tengo claro es como cojones lo ven si los logs estan desactivados, pero bueno. Muy bonito eso de poder restringir los puertos, pero dado que esta configurado por defecto no creo que nos este afectando.
El caso es que hay una regla de NAT (de salida) desde el Gateway de Voz hacia el Gateway de voz del proveedor (ip publica) (lo del ipvpn es algo que tampoco acabo de entender, que se haga nat de una ip privada (nuestra) hacia otra ip privada (del proveedor) para alcanzar una ip publica (que no esta en internet). Vaya puto jaleo.
Y otra mas … resulta que la regla de nat tiene activado un Voip profile.
Con el logging activado … pero si la feature Voip esta desactivada … ¿Eso tendra efecto?. Yo diria que si, porque hay logs de Voip.
Y yo no consigo ver ese cambio de puertos que dicen que esta haciendo, todo usa los mismos puertos (5060). Nada de puertos dinamicos.
Sigo estando muy perdido, a ver si el de soporte se digna a hacernos caso y me saca de dudas … porque me estoy poniendo de mala ostia ya. Me jode mucho quedarme atascado y no saber por donde tirar.