Forwarder les ports SIP et RTP sur un routeur

paguira

Joined
Jan 17, 2008
Messages
127
Likes
0
Points
0
#1
Bonjour,
Je souhaite avoir accès à mon serveur Elastix directement par Internet, pour cela je droit ouvrir le port 5060 pour l'authentification SIP et les ports 10000 à 20000 pour les ports RTP.
Question, quels sont les risques d'une telle configuration ?
 

danardf

Joined
Dec 3, 2007
Messages
8,069
Likes
10
Points
88
#2
Tiens... un matinal :blink:

Mis à part qu'une personne puisse essayer de se connecter en SIP, aucun risque majeur.
Perso ça fait pas mal de temps (années) que je suis en direct 24/24 sur internet et pas de problème majeur, si tant ai que tu sois bien protégé. :p

5060 en UDP, n'est pas que pour authentification SIP c'est pour LE prototcole SIP en général.
Pour le RTP (UDP) c'est que la voix, donc....

5061, 62, 63...etc peuvent être SIP aussi. ;)
 

paguira

Joined
Jan 17, 2008
Messages
127
Likes
0
Points
0
#3
Merci pour cette rapide réponse, néanmoins y a t'il une possibilité d'être écouter par un tierce personne ?

Si je comprend bien il me faudra ouvrir les ports 5060 en UDP et les port 10000 à 20000 en UDP ?!

Est t'il possible d'installer les protocoles SRTP et SSIP avec Elastix ?
 

danardf

Joined
Dec 3, 2007
Messages
8,069
Likes
10
Points
88
#4
Oui, pour le SRTP.
Par contre la mot de passe de l'extension peut être crypté MD5 pour le SIP.
Ceci dit Xlite ne le fera pas, mais seulement la version pro payante.
 

paguira

Joined
Jan 17, 2008
Messages
127
Likes
0
Points
0
#5
J'abuse peux être mais comment, crypter le mot de passe à travers Elastix (Freepbx)?
 

danardf

Joined
Dec 3, 2007
Messages
8,069
Likes
10
Points
88
#6
ben, je ferais bien un truc comme.

Mettre l'option auth=md5 dans le fichier sip.conf

Générer chaque clef pour chaque extension:
echo -n "<user>:<realm>:<secret>" | md5sum

soit
echo -n "1234:asterisk:abcd" | md5sum
qui donne un résultat du type : 4a8e71480c5b1ef0a5d502a8eb98576a

Mettre cette clef dans secret de l'extension.
 

paguira

Joined
Jan 17, 2008
Messages
127
Likes
0
Points
0
#7
Cool ce forum, merci
 

danardf

Joined
Dec 3, 2007
Messages
8,069
Likes
10
Points
88
#8
De rien. ;)

Regarde le dernier post je l'ai modifié?
-echo -n "<user>:<realm>:<secret>" | md5sum
 

paguira

Joined
Jan 17, 2008
Messages
127
Likes
0
Points
0
#9
J'ai forwarder les ports 5060, 10000 à 20000 vers mon serveur Elastix malheureusement la communication dure exactement 20 secondes puis coupe.
J'ai donc placer mon serveur Elastix dans une DMZ mais idem.

Vous avez pas une solution a mon problème ?
 

danardf

Joined
Dec 3, 2007
Messages
8,069
Likes
10
Points
88
#10
Salut paguira.

Pas la peine de mettre le serveur en DMZ! :blink:

Si tu utilises un routeur pense à valider sip_nat.conf.
Dans ton trunk, mettre nat=yes.

Mais que ça dure 20" ça ne doit pas venir de çà.

Faire attention aussi au defaultexpirey=1800 ou 3600!.
Si tant est que tu en ais besoin ;) .
 

paguira

Joined
Jan 17, 2008
Messages
127
Likes
0
Points
0
#11
Rappel de ma config : sip_nat.conf

nat=yes
srvlookup=yes
externhost=site.dyndns.org
externrefresh=10
localnet=192.168.1.0/255.255.255.0
canreinvite=no
qualify=yes


Routeur testé : Neatgear DG834N et Livebox

P.S: J'ai installé un PPTP sur mon serveur Elastix et avec le VPN tout marche avec x-lite, néanmoins ce n'est pas une solution pour utiliser des téléphones "hard"
 

danardf

Joined
Dec 3, 2007
Messages
8,069
Likes
10
Points
88
#12
Le forward de port sur les nouvelles live box est assez chiant visiblement à programmer.
Je n'est pas d'expérience sur ces produits.

Linksys (wrt54g.Etc) et freebox oui. Et ça fonctionne nif.
 

paguira

Joined
Jan 17, 2008
Messages
127
Likes
0
Points
0
#13
J'ai un WRT54G je vais le tester lundi. ;)
 

bonandiaye

Joined
Jun 12, 2017
Messages
1
Likes
0
Points
1
#14
bonjour aidez moi je viens d'installé elastix pbx jai rien changé sur le config les fichier sip.conf et autres en locale ca marche bien j'appel la communication passe bien mais pour les périphériques a l'externe j'entend pas du tout si vous pouvé m'aidez merci d'avance.
 

ja86

Free Customer
Joined
Dec 29, 2010
Messages
77
Likes
0
Points
6
#15
Bonjour,
Je viens de voir votre conversation. Je suis un peux dans le même cas.
Je dois ouvrir le port 5060 et 10000-- 20000 pour des sites externes au serveur.

Effectivement, l'ouverture de port ne risque rien, mais je voudrais sécuriser et soulager mon serveur car il y a des "brutforce" qui tente des connexion a mon serveur utilisant des ressources. Peut on banir les adresses ip après un certain nombres de connexions ?

Merci d'avance.

Cordialement,
 

Members online

No members online now.

Latest posts

Forum statistics

Threads
30,902
Messages
130,886
Members
17,563
Latest member
dineshr
Top