DuvalHerve (Auteur du topic), Posté le: Mar 25 Avr 2023, 20:55 Sujet du message: (Delta) Trunk SIP (Coriolis): souci de SIP-ALG
(Delta) Trunk SIP (Coriolis): souci de SIP-ALG9296686519
Bonsoir à Tous,
Nous venons de passer de SFR à une Freebox Delta. Je rencontre un souci avec notre Trunk SIP (Coriolis) depuis. Il semble que la Freebox Delta soit limitative par rapport aux autres box. Free me demande d'attendre 72h (soit ce vendredi 28/04), redémarrer la Delta et tout devrait être rentrée dans l'ordre (sic). Je ne peux accéder au support Free tant que la ligne n'est pas reconnu comme finalisée par Free, d'ici 72h (snif).
Après avoir surfé sur les forums, il semble que la Delta pose quelques souci avec les pré-requis détaillés ci-dessous (notamment le protocole SIP-ALG). Est-ce que quelqu'un sait si je dois faire des redirections...
J'ai une IP fixe V4 full-stack. Je croise tous mes doigts (sourire).
[i]PRE-REQUIS Trunk SIP Coriolis. Afin d’assurer le bon fonctionnement du trunk, votre routeur d’accès Internet doit respecter les préconisations suivantes :
Il convient donc de demander à votre mainteneur Firewall/Internet d’autoriser les deux blocs d’adresse (tout port TCP/UDP) :
• 94.143.87.64/27
• 185.48.48.64/27
Les ports 5060 et 10000 à 60000 en UDP doivent être ouverts et redirigé de l’Internet vers l’adresse IP de l’IPBX ;
Le protocole SIP-ALG doit être désactivé sur le routeur ou switch (présent de base sur les BOX Internet grand public).
*** Modération *** Titre édité *** Modération ***
FreeWave, Posté le: Mar 25 Avr 2023, 21:06 Sujet du message:
232387209725
"SIP-ALG" je fais le perroquet en répétant ce que j'ai cru avoir lu avant... mais je crois qu'en effet ça peut se désactiver au niveau de l'interface de gestion Free (ou de la box). Il faut je vérifie, les utlisateurs réguliers n'ont pas intérêt à décocher cette case car je crois que ça squeeze la ligne téléphonique Free.
Pour l'ouverture de port... c'est du basique, toutes les box Free savent le faire, mais elles ne vont pas le faire automatiquement pour vous. Rendez vous dans l'interface de gestion locale Freebox OS dans la section gestion des ports.
CONFIRMATION :
La possibilité de désactiver le SIP-ALG a été implémentée à partir du firmware 4.30.
Sur la console de gestion locale Freebox OS, cliquer sur l'icône "configuration" et aller sur la ligne SIP-ALG
Pour le reste, rien de compliqué, pensez simplement à assigner une adresse IP locale fixe à votre IPBX Coriolis, ça peut se faire via le DHCP de la Freebox autrement vous risqueriez d'avoir du mal à pousser les paquets.
FreeWave, Posté le: Mer 26 Avr 2023, 12:48 Sujet du message:
232387209725
1) Par définition on n'ouvre que ce qui est nécessaire, car toute ouverture de port présente un risque d'attaque. Si le protocole TCP n'est pas mentionné par Coriolis il n'y a aucune raison de pousser ce protocole vous ne feriez que favoriser des attaques.
2) Je viens de me rendre compte que vous avez un gros problème.
Si les informations que vous fournissez sont exactes Coriolis vous demande de "forwarder" une plage d'adresses et pas une ou deux adresses, or la possibilité de forwader une plage d'adresse n'a pas encore été implémentée dans la Freebox.
Je sais que dans le bug tracker des personnes ont déjà remonté ce problème, mais sans réaction des devs jusqu'à présent, sachant que cette fonctionnalité est régulèrement réclamée depuis la naissance de Freebox OS.
94.143.87.64/27 est équivalent au masque sous réseau 94.143.87.64/255.255.255.224 = toutes les adresses de 94.143.87.64 à 94.143.87.94 (30 adresses)
185.48.48.64/27 est équivalent au masque sous réseau 185.48.48.64/255.255.255.224 = toutes les adresses de 185.48.48.64 à 185.48.48.94 (30 adresses)
il faudrait
- un jeu de règles pour forwarder vers 5060 = 60 règles à entrer
- un jeu de règles pour forwarder vers 10 000 à 60 000 = 60 règles à entrer
Donc 120 règles à se cogner manuellement... (et si vous deviez rajouter du TCP ça ferait donc 240 règles....)
On peut simplifier toutefois sans trop augmenter le risque de sécurité. On considère que les deux réseaux en questions sont des réseaux sûrs, donc on peut faire 60 règles qui forwardent les ports de 5060 à 60 000, ça divise par deux la tâches
60 règles c'est beaucoup... mais c'est encore faisable avec un peu de patience. 120 ça craint un peu.
La solution de contournement qui n'est pas recommandable serait alors dans IP Source sélectionner "toutes les adresses" ce qui RAMènerait à deux règles.
MAIS, cette solution de facilité ne doit pas vous faire oublier que vous exposez clairement l'IPBX Coriolis à des attaques massives, d'autant plus avec une plage de port très étendue de 10 000 à 60 000 qui rend d'autant plus probable une détection automatique de ports ouverts, donc ne soyez pas surpris si vous aviez des soucis d'IPBX indisponible.
Je vais essayer de relancer les développeurs qui jusque là ont refusé les demandes en ce sens. Cette exemple sera parfait pour leur faire comprendre que ça devient URGENT, mais dans tous les cas même s'ils priorisent enfin cette demande le temps de développer et tester ce sera pas avant 1 ou 2 mois.
60 règles c'est beaucoup mais c'est encore faisable si vous êtes une personne qui a de la patience.
Une fois fait, n'oubliez pas de sauvegarder la config de la Freebox sur une clé USB (icone en bas à droit "export de configuration" , car si vous deviez échanger votre Freebox il faudrait tout recommencer).
Normalement avec un "backup" vous allez retrouver toutes vos règles sur toute nouvelle Freebox.
Vous ne pouvez pas poster de nouveaux sujets dans ce forum Vous ne pouvez pas répondre aux sujets dans ce forum Vous ne pouvez pas éditer vos messages dans ce forum Vous ne pouvez pas supprimer vos messages dans ce forum Vous ne pouvez pas voter dans les sondages de ce forum