web-dev-qa-db-ja.com

オープンソースのアスタリスク対応ファイアウォールを選択するにはどうすればよいですか?

苦しんでいます。

SIPベースのVOIPシステムに移行していますが、何らかの理由で、ホストされているAsteriskソリューションをSonicwallで動作させることができませんでした。VOIPプロバイダーは諦め、オープンソースベンダーを推奨しています。 pfSense。

少し背景:

  • 私たちのネットワークには約30人のユーザーがいます。
  • リモートネットワークにはいくつかのIPSecVPN接続を使用します。
  • アプリケーション層のフィルタリングが必要ですが、必須ではありません。
  • 私たちはアクティブなインターネットユーザーであるため、適切なトラフィックシェーピングがおそらく懸念事項です。

オープンソースファイアウォールがホストされたAsteriskシステムでVOIPセットアップをスムーズに処理するかどうかをどのように判断できますか?

Sonicwallで現在試行されているセットアップ

  • SonicOS Enhanced4.2を実行しているTZ190を使用しています
  • 一貫性のあるNATが有効になっています
  • SonicWallの自動SIP変換。画像リンク: http://cl.ly/1Q3A3K3C1M1Z322I1M2L
  • ファイアウォールが開かれ、VOIPプロバイダーからのすべてを許可し、すべてSIP UDP&TCP:イメージリンク: http://cl.ly/310b07271R0c2s2c3L1g (@ Tom O'Connerは、これが問題になる可能性があることを示しています。)
  • 詳細は後日...
3
Lucas

PFsenseはそれを行うことができます。正直なところ、ファイアウォールはすべて、SIPおよびRTPをそのまま通過できる必要があります。

SIPは呼び出しを開始するためのメカニズムにすぎないため、これは問題の一部にすぎません。 RTPは、音声トラフィック自体のプロトコルです。一部のVoIP電話は、UPnPを使用してファイアウォールと通信し、通話時にポート転送を動的に構成できます。

PFsenseはQoSも実行できますが、それがどの程度適切に実装されているかはわかりません(最近、PFsenseを機能的に構成していて、まだQoSに到達していません!)

これは興味深い読み物かもしれません、 NAT + VoIP (From VoIP-info.org )。おそらくやりたいことは、SIPインバウンド接続をプロバイダーのSIPゲートウェイからのみ来るように制限することです。そうしないと、厄介な人々が接続する傾向があります。アカウントで高額な電話をかけます。HTTP(S)やTelnetなどの電話への他のポートもロックダウンするようにしてください。公共の場にTelnetで接続できることで、会社に興味深いセキュリティホールを見つけましたSIP電話、次にネットワークにsshアウトします。

また、音声トラフィック用に個別のVLANを用意することを検討する必要があります。これは、QoSに役立ち、ジッターを排除するのに役立ちます。

これら可能性があります be 興味深い から 持っている 複数のSIP登録およびPFSense

2
Tom O'Connor