Re: _outboundsip._udp

От: Vladimir A. Butenko <CGatePro_at_mx_ru>
Дата: Wed 22 Feb 2006 - 08:46:08 MSK

On Wed, 22 Feb 2006 11:16:37 +0600
  "Victor Sudakov" <CGatePro@mx.ru> wrote:

>> Outbound -- это тот SIP Proxy, который может выполнить траверс NAT для 
>> данной сети. Наиболее логичное расположение outbound proxy -- на границе 
>> публичной и внутренней сети (не ваш случай). 

>
> Это как раз мой случай. У нас есть CGP с двумя интерфейсами - в
> локальной сети и в публичной.

Это Ваш случай, но не для Вашего случая. То есть когда Ваши внутренние люди общаются внутри или звонят наружу, то CgatePro делает для них near-end NAT traversal. А Вы говорите о -   

>> Но CGatePro подходит в 
>> качестве outbound proxy всегда (в т.ч. и для вас).

>
> А проблема, ради которой (в том числе) начался тред, в том, что есть
> пользователь, который зарегистрирован на нашем CGP, а сам сидит в
> своей корпоративной сети за пиксом. И вот зарегистрироваться-то он
> может (приходит регистрироваться на публичный IP нашего CGP), а
> голосом мы друг друга не слышим. Вот и спрашиваю, что может сыграть
> роль outbound для этого пользователя. Ему в своей сети outbound proxy
> ставить?

так CGatePro пусть и ставит. То есть было бы клёво, если бы этот PIX умел бы чего-нибудь полезное, например делать для своей сети near-end NAT traversal - как CGatePro. Но он не умеет. Поэтому надо использовать CGatePro функции far-end NAT. Но для этого этот самый far-end NAT должен хоть как-то пропускать UDP траффик:
а) с внутренних портов 5060 (и использовать эти порты как SIP порты на всех SIP клиентов там.
б) с внутренних портов RTP. Например, утвердить, что для RTP используются порты 60000-60100 (как в CgatePro по дефолту) или еще какой диапазон. И траффик с этих портов разрешать NAT'ить на внешние порты. А не только на порт 53 (DNS), как может стоять в этом PIX. Если всё так и стоит и так и сконфигурено, то надо просто поставить SIP Transport Log LEvel в ALL INFO, позвонить и прислать нам logs.   

>> Поэтому для понимающих SIP UA выгодно давать STUN сервер на всякий 
>> случай и Outbound proxy на все остальные.

>
> Это ведь должен делать провайдер/админ той сети, где сидит тот
> пользователь, желающий регистрироваться на нашем CGP.
Не обязательно. Это можете быть и Вы - если этот самый far-end NAT (потому он и называется far-end, что у Вас к нему нету доступа) не режет всё, что увидит.

>> Одно ограничение: CGatePro выполняет все функции outbound только для 
>> собственных клиентов. Регистрация на третьем сервере транзитом через 
>> [триальный] CGatePro счастья не принесет. Хотя звонить -- можно.

Как я уже указал, такого ограничения нету. И можно в качестве outbound Proxy использовать другой CGatePro. У нас самих так и устроено часто. Но там начинаются проблемы с ограничениями релеинга, проверками прав, и так далее - так что если нет проблем с производительностью, то лучше всё делать на одном CGatePro.

> --
> Victor Sudakov, VAS4-RIPE, VAS47-RIPN
> sip:sudakov@sibptus.tomsk.ru

Sincerely,
Vladimir Получено Wed Feb 22 05:45:45 2006