Re: Re: SIP proxy

Vladimir A. Butenko wrote:
> >Еще вопрос про проксирование SIP.
> >
> >Имеется CGP (назовем его сервер C) с двумя интерфейсами, один с
> >приватным адресом, другой с публичным. Соответственно настроены
> >"WAN IP Address" и "LAN Address". UDP и TCP порты настроены как
> >60000-60099.
>
> Это порты - *MEDIA* Proxy. Они не имеют никакого отношения к SIP протоколу.
> Media - это audio, video, T.120 (whiteboard, Remote Assistance, etc.)

Кстати, передача файлов - это Media или нет? В описанной конфигурации передача файлов тоже не работает. whiteboard и общий доступ к приложению работает нормально в обе стороны.

>
> >Мой WM (A) на приватном адресе, WM моего собеседника (B)
> >на публичном, оба регистрируемся на сервере C и "чатимся". Как я
> >понимаю, при этом обмен проксируется (B не может напрямую видеть A).
> >
> >В процессе рассматривания tcpdump данного разговора, снятого с
> >внешнего интерфейса, выясняется, что когда идет передача запросов
> >MESSAGE, tcp соединения между B и C могут идти, например, с порта
> >10488 на порт 64713.
> >
> >Откуда взялись эти порты и почему не в рамках 60000-60099?
> >Собственно, откуда взялись, более или менее понятно, в сообщениях
> >видны SIP URI с явным указанием этого порта. А вот кто виноват?
>
> Никто не виноват.
>
> MESSAGE - это вообще "левый" метод. Там есть invite (хотя быть не должно,
> это микрософтная придумка, которую мы поддерживаем), но "media" в ней
> липовый, он называется "sip". То есть никакого media для Instant Message
> сессий нет, а данные переносятся через сам SIP протокол - при помощи этих
> самых запросов MESSAGE.
Ну и кто в этом случае мешал WM использовать для этого тот же 5060 порт, по которому идет сигнализация?

>
>
> Ваш WM придумал себе SIP порт (TCP) с номером 10488. В какой-то момент
> CGatePro захотел туда отрелеить MESSAGE (или еще что-то), и открыл для
> этого соединение. Его "локальный" порт для этого выбрала Ваша ОС. Выбрала
> она 64713 - вот вы и увидели соединение от 64713 к 10488.
>
> Еще раз - media тут нету.
>

Да, теперь понятно, спасибо.

>
> >У нас CGP 4.2.5. Если виноват таки CGP и в более свежих версиях что-то
> >чинили, то готов проапгрейдиться. packet dump тоже готов показать
> >разработчикам.
>
> Не нужно - тут всё нормально.
>
> >Заранее спасибо за разъяснения. Нехорошо, что B пришлось открыть все
> >порты в своем firewall, без этого сообщения не ходили.
>
> А это все равно придется делать. На микрософте - точно всегда, потому что у
> них RTC библиотека (через которую работают все SIP приложения - теперь там
> кроме Win Messenger еще другие появились) - эта библиотека открывает как
> минимум 2 порта. Причем ей вроде как нельзя сказать - какие. И если один
> порт еще туда-сюда, то все новые соединения она жаждет принимать на втором
> порту (он у Вас виден в Contact: запроса REGISTER). Вот этот порт обязан
> был открытым.
> TCP порт для T.120 у Форточек фиксированный (1390?). А UDP порты для media
> - вроде как любые. Так что - форточный firewall надо выключать, или хотя бы
> не блокировать UDP.
Спасибо, с клиентом ясно (хоть и ясно, что всё плохо).

А что открыть дополнительно на сервере, чтобы заработала передача файлов через него, если это вообще возможно? Сейчас открыты входящие соединения на CGP сервер, помимо прочего, на порты 5060 и 60000-60099 (both udp and tcp). Исходящие с сервера разрешены любые.

Я так надеялся, что у SIP дела с прохождением firewall лучше, чем у H.323. Похоже, напрасно надеялся.

-- 
Victor Sudakov,  VAS4-RIPE, VAS47-RIPN