Forwarder les ports SIP et RTP sur un routeur

Discussion in 'Elastix 2.x' started by paguira, Sep 19, 2008.

  1. paguira

    Joined:
    Jan 17, 2008
    Messages:
    127
    Likes Received:
    0
    Bonjour,
    Je souhaite avoir accès à mon serveur Elastix directement par Internet, pour cela je droit ouvrir le port 5060 pour l'authentification SIP et les ports 10000 à 20000 pour les ports RTP.
    Question, quels sont les risques d'une telle configuration ?
     
  2. danardf

    Joined:
    Dec 3, 2007
    Messages:
    8,069
    Likes Received:
    12
    Tiens... un matinal :blink:

    Mis à part qu'une personne puisse essayer de se connecter en SIP, aucun risque majeur.
    Perso ça fait pas mal de temps (années) que je suis en direct 24/24 sur internet et pas de problème majeur, si tant ai que tu sois bien protégé. :p

    5060 en UDP, n'est pas que pour authentification SIP c'est pour LE prototcole SIP en général.
    Pour le RTP (UDP) c'est que la voix, donc....

    5061, 62, 63...etc peuvent être SIP aussi. ;)
     
  3. paguira

    Joined:
    Jan 17, 2008
    Messages:
    127
    Likes Received:
    0
    Merci pour cette rapide réponse, néanmoins y a t'il une possibilité d'être écouter par un tierce personne ?

    Si je comprend bien il me faudra ouvrir les ports 5060 en UDP et les port 10000 à 20000 en UDP ?!

    Est t'il possible d'installer les protocoles SRTP et SSIP avec Elastix ?
     
  4. danardf

    Joined:
    Dec 3, 2007
    Messages:
    8,069
    Likes Received:
    12
    Oui, pour le SRTP.
    Par contre la mot de passe de l'extension peut être crypté MD5 pour le SIP.
    Ceci dit Xlite ne le fera pas, mais seulement la version pro payante.
     
  5. paguira

    Joined:
    Jan 17, 2008
    Messages:
    127
    Likes Received:
    0
    J'abuse peux être mais comment, crypter le mot de passe à travers Elastix (Freepbx)?
     
  6. danardf

    Joined:
    Dec 3, 2007
    Messages:
    8,069
    Likes Received:
    12
    ben, je ferais bien un truc comme.

    Mettre l'option auth=md5 dans le fichier sip.conf

    Générer chaque clef pour chaque extension:
    echo -n "<user>:<realm>:<secret>" | md5sum

    soit
    echo -n "1234:asterisk:abcd" | md5sum
    qui donne un résultat du type : 4a8e71480c5b1ef0a5d502a8eb98576a

    Mettre cette clef dans secret de l'extension.
     
  7. paguira

    Joined:
    Jan 17, 2008
    Messages:
    127
    Likes Received:
    0
    Cool ce forum, merci
     
  8. danardf

    Joined:
    Dec 3, 2007
    Messages:
    8,069
    Likes Received:
    12
    De rien. ;)

    Regarde le dernier post je l'ai modifié?
    -echo -n "<user>:<realm>:<secret>" | md5sum
     
  9. paguira

    Joined:
    Jan 17, 2008
    Messages:
    127
    Likes Received:
    0
    J'ai forwarder les ports 5060, 10000 à 20000 vers mon serveur Elastix malheureusement la communication dure exactement 20 secondes puis coupe.
    J'ai donc placer mon serveur Elastix dans une DMZ mais idem.

    Vous avez pas une solution a mon problème ?
     
  10. danardf

    Joined:
    Dec 3, 2007
    Messages:
    8,069
    Likes Received:
    12
    Salut paguira.

    Pas la peine de mettre le serveur en DMZ! :blink:

    Si tu utilises un routeur pense à valider sip_nat.conf.
    Dans ton trunk, mettre nat=yes.

    Mais que ça dure 20" ça ne doit pas venir de çà.

    Faire attention aussi au defaultexpirey=1800 ou 3600!.
    Si tant est que tu en ais besoin ;) .
     
  11. paguira

    Joined:
    Jan 17, 2008
    Messages:
    127
    Likes Received:
    0
    Rappel de ma config : sip_nat.conf

    nat=yes
    srvlookup=yes
    externhost=site.dyndns.org
    externrefresh=10
    localnet=192.168.1.0/255.255.255.0
    canreinvite=no
    qualify=yes


    Routeur testé : Neatgear DG834N et Livebox

    P.S: J'ai installé un PPTP sur mon serveur Elastix et avec le VPN tout marche avec x-lite, néanmoins ce n'est pas une solution pour utiliser des téléphones "hard"
     
  12. danardf

    Joined:
    Dec 3, 2007
    Messages:
    8,069
    Likes Received:
    12
    Le forward de port sur les nouvelles live box est assez chiant visiblement à programmer.
    Je n'est pas d'expérience sur ces produits.

    Linksys (wrt54g.Etc) et freebox oui. Et ça fonctionne nif.
     
  13. paguira

    Joined:
    Jan 17, 2008
    Messages:
    127
    Likes Received:
    0
    J'ai un WRT54G je vais le tester lundi. ;)
     
  14. bonandiaye

    Joined:
    Jun 12, 2017
    Messages:
    1
    Likes Received:
    0
    bonjour aidez moi je viens d'installé elastix pbx jai rien changé sur le config les fichier sip.conf et autres en locale ca marche bien j'appel la communication passe bien mais pour les périphériques a l'externe j'entend pas du tout si vous pouvé m'aidez merci d'avance.
     
  15. ja86

    Joined:
    Dec 29, 2010
    Messages:
    76
    Likes Received:
    0
    Bonjour,
    Je viens de voir votre conversation. Je suis un peux dans le même cas.
    Je dois ouvrir le port 5060 et 10000-- 20000 pour des sites externes au serveur.

    Effectivement, l'ouverture de port ne risque rien, mais je voudrais sécuriser et soulager mon serveur car il y a des "brutforce" qui tente des connexion a mon serveur utilisant des ressources. Peut on banir les adresses ip après un certain nombres de connexions ?

    Merci d'avance.

    Cordialement,
     

Share This Page