Как выбрать открытый исходный код, дружественный Asterisk брандмауэр?

Question

Как выбрать открытый исходный код, дружественный Asterisk брандмауэр?

Мне больно.

Мы переходим к VOIP-системе на основе SIP и по какой-то причине не можем заставить наше размещенное решение Asterisk работать с нашим Sonicwall. Наш VOIP-провайдер сдался и рекомендует поставщика с открытым исходным кодом, pfSense.

Немного предыстории:

В нашей сети около 30 пользователей.
Мы используем несколько VPN-соединений IPSec для удаленных сетей.
Мне бы хотелось, но не нужно, фильтрация на уровне приложений.
Мы активные интернет-пользователи, поэтому правильное распределение трафика, вероятно, является проблемой.

Как я могу определить, будет ли брандмауэр с открытым исходным кодом беспрепятственно обрабатывать настройку VOIP в размещенной системе Asterisk?

Текущая попытка установки с Sonicwall

Мы используем TZ 190 под управлением SonicOS Enhanced 4.2
Согласованный NAT включен
Мы не используем автоматические SIP-преобразования SonicWall. ссылка на изображение: http://cl.ly/1Q3A3K3C1M1Z322I1M2L
Был открыт брандмауэр, чтобы разрешить все, что есть у нашего провайдера VOIP, и все SIP UDP и TCP: ссылка на изображение: http://cl.ly/310b07271R0c2s2c3L1g (@Tom O'Conner подчеркивает, что это может быть проблемой).
Подробности будут позже...

3

firewall pfsense asterisk traffic-shaping open-source

Источник

Lucas 30 мар '12 в 10:04

1 ответ

Другие вопросы по тегам firewall pfsense asterisk traffic-shaping open-source

Tom O'Connor 30 мар '12 в 14:57 2012-03-30 14:57 · Answer 1 · 2012-03-30 14:57

PFsense может сделать это. Честно говоря, любой брандмауэр должен иметь возможность передавать SIP и RTP без изменений.

SIP - это всего лишь механизм инициирования звонков, так что это только часть проблемы. RTP - это протокол для самого голосового трафика. Некоторые VoIP-телефоны могут использовать UPnP для связи с брандмауэром и динамически настраивать переадресацию портов при выполнении вызовов.

PFsense также может выполнять QoS, но я не уверен, насколько хорошо он это реализует (в последнее время я настраивал PFsense на работе и пока не добирался до QoS!)

Это может быть интересное чтение, NAT + VoIP (от VoIP-info.org). То, что вы, вероятно, действительно хотите сделать, - это ограничить входящие SIP-соединения, чтобы они исходили только от SIP-шлюза вашего провайдера, в противном случае неприятные люди, как правило, подключаются и делают дорогие телефонные звонки на вашей учетной записи. Убедитесь, что вы также заблокировали другие порты для телефонов, такие как HTTP(S) и Telnet. Однажды я обнаружил в компании интересную дыру в безопасности, поскольку смог подключиться к общему SIP-телефону, а затем подключиться к сети через ssh.

Вам также следует рассмотреть возможность использования отдельной VLAN для голосового трафика. Это может помочь с QoS и устранением дрожания.

Это может быть интересно посмотреть на несколько регистраций SIP и PFSense