Re: SIP proxy

On Tue, 22 Mar 2005 15:54:43 +0600
  "Victor Sudakov" <CGatePro@mx.ru> wrote:
> Еще вопрос про проксирование SIP.
>
> Имеется CGP (назовем его сервер C) с двумя интерфейсами, один с
> приватным адресом, другой с публичным. Соответственно настроены
> "WAN IP Address" и "LAN Address". UDP и TCP порты настроены как
> 60000-60099.

Это порты - *MEDIA* Proxy. Они не имеют никакого отношения к SIP протоколу. Media - это audio, video, T.120 (whiteboard, Remote Assistance, etc.)

> Мой WM (A) на приватном адресе, WM моего собеседника (B)
> на публичном, оба регистрируемся на сервере C и "чатимся". Как я
> понимаю, при этом обмен проксируется (B не может напрямую видеть A).
>
> В процессе рассматривания tcpdump данного разговора, снятого с
> внешнего интерфейса, выясняется, что когда идет передача запросов
> MESSAGE, tcp соединения между B и C могут идти, например, с порта
> 10488 на порт 64713.
>
> Откуда взялись эти порты и почему не в рамках 60000-60099?
> Собственно, откуда взялись, более или менее понятно, в сообщениях
> видны SIP URI с явным указанием этого порта. А вот кто виноват?
Никто не виноват.

MESSAGE - это вообще "левый" метод. Там есть invite (хотя быть не должно, это микрософтная придумка, которую мы поддерживаем), но "media" в ней липовый, он называется "sip". То есть никакого media для Instant Message сессий нет, а данные переносятся через сам SIP протокол - при помощи этих самых запросов MESSAGE. Ваш WM придумал себе SIP порт (TCP) с номером 10488. В какой-то момент CGatePro захотел туда отрелеить MESSAGE (или еще что-то), и открыл для этого соединение. Его "локальный" порт для этого выбрала Ваша ОС. Выбрала она 64713 - вот вы и увидели соединение от 64713 к 10488.

Еще раз - media тут нету.

> У нас CGP 4.2.5. Если виноват таки CGP и в более свежих версиях что-то
> чинили, то готов проапгрейдиться. packet dump тоже готов показать
> разработчикам.

Не нужно - тут всё нормально.   

> Заранее спасибо за разъяснения. Нехорошо, что B пришлось открыть все
> порты в своем firewall, без этого сообщения не ходили.

А это все равно придется делать. На микрософте - точно всегда, потому что у них RTC библиотека (через которую работают все SIP приложения - теперь там кроме Win Messenger еще другие появились) - эта библиотека открывает как минимум 2 порта. Причем ей вроде как нельзя сказать - какие. И если один порт еще туда-сюда, то все новые соединения она жаждет принимать на втором порту (он у Вас виден в Contact: запроса REGISTER). Вот этот порт обязан был открытым.
TCP порт для T.120 у Форточек фиксированный (1390?). А UDP порты для media - вроде как любые. Так что - форточный firewall надо выключать, или хотя бы не блокировать UDP.   
> --
> Victor Sudakov, VAS4-RIPE, VAS47-RIPN

Sincerely,
Vladimir Получено Tue Mar 22 10:05:53 2005