Fortigate SIP ALG / RTP / SIP VOIP Session Helper çalışmama sebebi ve sorunun giderilmesi.
Fortigate firewall cihazları sip ile ilgili reaksiyonu paketleri durdurmasıdır.Bu sorunu aşabilmeniz için sip için kullanılan paketlere izin verilmesi gerekmektedir.
Bu makalede, SIP veya SCCP proxy/ALG veya oturum yardımcısının (eski ALG) kullanımını nasıl devre dışı dışı bıraktığı açıklanmaktadır. Bu modda, FortiGate temel bir güvenlik duvarı olarak hareket edecek. Çoğu durumda Fortinet, SIP/SCCP proxy/ALG’nin kullanılmasını önerir.
2) Ses trafiğine izin vermek için gerekli olan veri bağlantı noktalarının (“iğne delikleri”) dinamik olarak açılması. Aksi takdirde, güvenlik duvarı ilkelerinin çok çeşitli bağlantı noktalarını statik olarak açması gerekir.
3) Denetim ve VoIP trafik günlüğü (ALG / Proxy yerine oturum-helper kullanarak).FortiOS’taki SIP ALG’nin avantajları ve SIP sorunlarının nasıl giderilenhakkında daha fazla bilgi için lütfen FortiOS el kitabının VoIP Çözümleri’ne başvurun.
1) Sorun giderme (sorunu çözmek için).
2) Bir geçici çözüm olarak, ya yanlış FortiGate SIP ALG davranışı adresi veya genel VoIP dağıtım standart olmayan SIP işleme izin vermek.
FortiOS 5.2’den bu yana FortiOS varsayılanı, FortiOS proxy/ALG tarafından ele alınacak tüm SIP trafiği içindir. (İlgili makaleye bakın ” SIP ve SCCP Trafiği FortiOS 5.2’de varsayılan olarak VoIP ALG/Proxy tarafından işlenir “) FortiOS 5.0’da,VoIP profili uygulanmazsa, SIP oturum yardımcısı uygulanacaktır.
Hazırlık:SIP proxy ve oturum yardımcı işlevini kaldırmak için hazırlık, iki adım gereklidir.
1) SIP sunucusunu değiştirin (NAT kullanılıyorsa) FortiGate’ten geçerken SIP trafiği NAT’lı ise, SIP sunucusu uygulama başlığındaki genel IP adresini kullanacak şekilde yapılandırılmalıdır.Dışarıdan içeri olan kuralınızdan NAT mutlaka kapalı olmalıdır.Diğer tüm VoIP donanımları IP tarafından SIP sunucusuna başvurmak gerekir.
2)FortiGate Güvenlik Duvarı ilkelerinde güvenlik duvarı ilkelerini açın artık tüm UDP bağlantı noktalarının ses trafiği için açılmasına açıkça izin vermelidir (ve sadece SIP veya SCCP kontrol bağlantı noktaları değil).Aşağıda SIP oturumu yardımcı devre dışı bırakılması ile ilgili adımlar şunlardır:
1) SIP Oturum yardımcısını kaldırma.Program komutunu sistem oturum yardımcısı (command line interface CLI) altında çalıştırın:
#config system session-helper
show
Dediğinizde aşağıdaki gibi bir çıktı alırsınız.
#edit 13
set name sip
set protocol 17
set port 5060
next
sip tanımı olan 13. satır silinmeli veya devre dışı bırakılmalıdır.Yukarıdaki komutlarla silmiş bulunmaktayız.
Not: SIP girişinin 13. satır olmayabilir, bu nedenle hangi girişin sip yardımcı ayarlarına sahip olduğunu config system session-helper komutu ve show komutu ile kontrol edin.Aşağıdaki komutları çalıştırın
Silmek için
#delete 13
end
2) Varsayılan -voip –alg-modunu değiştirin.
#config system settings
set default-voip-alg-mode kernel-helper-based
set sip-helper disable
set sip-nat-trace disable
endÖnemli : varsayılan voip-alg-modu proxy tabanlı olarak ayarlanır.
6.2. ile komutlar değişmiştir.aşağıdaki komutları kullanınız.
#config system settings
set default-voip-alg-mode kernel-helper-based
set sip-expectation disable
set sip-nat-trace disable
end
şimdi cihazınızdaki sessionları sonlandırmalısınız veya fortigate cihazı reboot etmelisiniz.
#diagnose system session clear
#execute rebootÖnemli: ek olarak sip server-santral cihazı ve kullandığınız switchleri reboot etmeli veya tüm sessionları clear etmelisiniz.
Savaş Demir