+1 De notre coté, on désactive l'ALG sur tous les matériels qui le gèrent. On laisse notre SBC gérer le NAT keepalive (opensips: nathelper.so).
Nous avons eu quelques surprises avec l'ALG sur les CPE Cisco 8XX par exemple. Cordialement Le 11 octobre 2015 20:43, Michel Py <mic...@arneill-py.sacramento.ca.us> a écrit : > > David Ponzone a écrit : > > La synthèse de nos réponses, c’était plutôt; désactive l’ALG sur le > Cisco, parce que ça a jamais rendu service à personne :) > > Même si c'est vrai dans la plupart des cas, il y a un élément dans la > réponse d'Antoine qui est important: > > > Antoine Durant a écrit : > > Bon je vais faire confiance à mon Asterisk puisque cela fonctionne bien > !! Je vais rien toucher sur le Cisco... > > Si c'est un réseau de prod, ne touche pas avant de l'avoir simulé en lab. > Si c'est pas en panne, pourquoi réparer ? Chaque fois que tu touches le > réseau de prod même pour un "petit détail", tu ouvres la boîte de Pandore à > un effet de bord, les pires étant ceux que tu ne détecte pas tout de suite. > > > L'ALG, c'était un mal nécessaire dans 2 cas : > > - Les protocoles conçus avant NAT et qui ne se sont pas (ou pas bien) > adaptés. Exemple : FTP. L'adresse IP est incluse dans le paquet, rendant > l'usage d'un ALG nécessaire. Même si certaines évolutions (comme PASV) ont > rendu la traversée de NAT et des pare-feu plus facile, il faut garder l'ALG. > > - Les protocoles conçus après NAT et mal conçus. Exemple : SIP. Alors que > la généralisation de NAT était déjà bien en cours, SIP a été conçu pour ne > pas traverser NAT facilement, ce qui a donné naissance aux ALGs SIP. Je > mets "aux" à la place de "à", car il y en a plusieurs différents et aucun > ne réagit pareil. > > Comme finalement les gens ont compris que NAT était là pour rester, les > applications utilisant SIP (par exemple, Asterisk) se sont adaptées et sont > maintenant capables de traverser NAT sans ALG. > > Michel. > > > > --------------------------- > Liste de diffusion du FRnOG > http://www.frnog.org/ > -- Cordialement HUBERT Mickaël Ingénieur VOIP - Hexanet -- --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/
