Re: [FRnOG] [TECH] SIP ALG sur routeur

2015-10-11 Par sujet Antoine Durant 
Salut,
Bon je vais faire confiance à mon Asterisk puisque cela fonctionne bien !! Je 
vais rien toucher sur le Cisco...



  De : David Ponzone 
 À : Duchet Rémy  
Cc : Antoine Durant ; "frnog-t...@frnog.org" 
 
 Envoyé le : Vendredi 9 octobre 2015 18h45
 Objet : Re: [FRnOG] [TECH] SIP ALG sur routeur
   
+1
Mais si ça fonctionne aussi en le désactivant, je le vire.

Le 9 oct. 2015 à 18:31, Duchet Rémy  a écrit :

> Salut, 
> 
> J'ai les 2 cas de figure. Sur un Asterisk aucun soucis derrière du ASA.
> ‎Sur le même type de FW, il m'a fallu désactiver le ALG parce que le provider 
> SIP ne le supporte pas.
> ‎Si ça fonctionne, pourquoi changer ? 
> 
> Rémy
>  Message d'origine  
> De: Antoine Durant
> Envoyé: vendredi 9 octobre 2015 18:22
> À: frnog-t...@frnog.org
> Répondre à: Antoine Durant
> Objet: [FRnOG] [TECH] SIP ALG sur routeur
> 
> Salut !
> Je viens de tomber sur l'article concernant la désactivation SIP ALG sur des 
> routeurs : 
> http://docs.keyyo.com/telephonie-fixe/expert/desactivation-optimisation-sip-routeur-wan/
> J'utilise et administre un serveur ASTERISK sur un serveur présent dans un 
> centre de données, j'ai quelque poste en centrex derrière un Cisco qui vont 
> chercher/connecter l'ASTERISK.
> Est-ce que je dois désactiver SIP ALG "no ip nat service sip udp port 5060" 
> ?Je ne rencontre aucun problème à ce jour pour que mes téléphones dialogues 
> avec mon ASTERISK...
> Quel est votre avis d'expert sur SIP ALG en mode centrex ?
> Bon WE :)
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/


> 


---
Liste de diffusion du FRnOG
http://www.frnog.org/

  
---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] SIP ALG sur routeur

2015-10-11 Par sujet David Ponzone 
La synthèse de nos réponses, c’était plutôt; désactive l’ALG sur le Cisco, 
parce que ça a jamais rendu service à personne :)


Le 11 oct. 2015 à 18:17, Antoine Durant  a écrit :

> Salut,
> 
> Bon je vais faire confiance à mon Asterisk puisque cela fonctionne bien !! Je 
> vais rien toucher sur le Cisco...
> 
> 
> 
> 
> De : David Ponzone 
> À : Duchet Rémy  
> Cc : Antoine Durant ; "frnog-t...@frnog.org" 
>  
> Envoyé le : Vendredi 9 octobre 2015 18h45
> Objet : Re: [FRnOG] [TECH] SIP ALG sur routeur
> 
> +1
> Mais si ça fonctionne aussi en le désactivant, je le vire.
> 
> Le 9 oct. 2015 à 18:31, Duchet Rémy  a écrit :
> 
> > Salut, 
> > 
> > J'ai les 2 cas de figure. Sur un Asterisk aucun soucis derrière du ASA.
> > ‎Sur le même type de FW, il m'a fallu désactiver le ALG parce que le 
> > provider SIP ne le supporte pas.
> > ‎Si ça fonctionne, pourquoi changer ? 
> > 
> > Rémy
> >  Message d'origine  
> > De: Antoine Durant
> > Envoyé: vendredi 9 octobre 2015 18:22
> > À: frnog-t...@frnog.org
> > Répondre à: Antoine Durant
> > Objet: [FRnOG] [TECH] SIP ALG sur routeur
> > 
> > Salut !
> > Je viens de tomber sur l'article concernant la désactivation SIP ALG sur 
> > des routeurs : 
> > http://docs.keyyo.com/telephonie-fixe/expert/desactivation-optimisation-sip-routeur-wan/
> > J'utilise et administre un serveur ASTERISK sur un serveur présent dans un 
> > centre de données, j'ai quelque poste en centrex derrière un Cisco qui vont 
> > chercher/connecter l'ASTERISK.
> > Est-ce que je dois désactiver SIP ALG "no ip nat service sip udp port 5060" 
> > ?Je ne rencontre aucun problème à ce jour pour que mes téléphones dialogues 
> > avec mon ASTERISK...
> > Quel est votre avis d'expert sur SIP ALG en mode centrex ?
> > Bon WE :)
> > ---
> > Liste de diffusion du FRnOG
> > http://www.frnog.org/
> 
> 
> 
> > 
> 
> 
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/
> 
> 


---
Liste de diffusion du FRnOG
http://www.frnog.org/

RE: [FRnOG] [TECH] SIP ALG sur routeur

2015-10-11 Par sujet Michel Py 
> David Ponzone a écrit :
> La synthèse de nos réponses, c’était plutôt; désactive l’ALG sur le Cisco, 
> parce que ça a jamais rendu service à personne :)

Même si c'est vrai dans la plupart des cas, il  y a un élément dans la réponse 
d'Antoine qui est important:

> Antoine Durant a écrit :
> Bon je vais faire confiance à mon Asterisk puisque cela fonctionne bien !! Je 
> vais rien toucher sur le Cisco...

Si c'est un réseau de prod, ne touche pas avant de l'avoir simulé en lab. Si 
c'est pas en panne, pourquoi réparer ? Chaque fois que tu touches le réseau de 
prod même pour un "petit détail", tu ouvres la boîte de Pandore à un effet de 
bord, les pires étant ceux que tu ne détecte pas tout de suite.


L'ALG, c'était un mal nécessaire dans 2 cas :

- Les protocoles conçus avant NAT et qui ne se sont pas (ou pas bien) adaptés. 
Exemple : FTP. L'adresse IP est incluse dans le paquet, rendant l'usage d'un 
ALG nécessaire. Même si certaines évolutions (comme PASV) ont rendu la 
traversée de NAT et des pare-feu plus facile, il faut garder l'ALG.

- Les protocoles conçus après NAT et mal conçus. Exemple : SIP. Alors que la 
généralisation de NAT était déjà bien en cours, SIP a été conçu pour ne pas 
traverser NAT facilement, ce qui a donné naissance aux ALGs SIP. Je mets "aux" 
à la place de "à", car il y en a plusieurs différents et aucun ne réagit pareil.

Comme finalement les gens ont compris que NAT était là pour rester, les 
applications utilisant SIP (par exemple, Asterisk) se sont adaptées et sont 
maintenant capables de traverser NAT sans ALG.

Michel.



---
Liste de diffusion du FRnOG
http://www.frnog.org/