オープンソースのアスタリスク対応ファイアウォールを選択するにはどうすればよいですか?
苦しんでいます。
SIPベースのVOIPシステムに移行していますが、何らかの理由で、ホストされているAsteriskソリューションをSonicwallで動作させることができませんでした。VOIPプロバイダーは諦め、オープンソースベンダーを推奨しています。 pfSense。
少し背景:
- 私たちのネットワークには約30人のユーザーがいます。
- リモートネットワークにはいくつかのIPSecVPN接続を使用します。
- アプリケーション層のフィルタリングが必要ですが、必須ではありません。
- 私たちはアクティブなインターネットユーザーであるため、適切なトラフィックシェーピングがおそらく懸念事項です。
オープンソースファイアウォールがホストされたAsteriskシステムでVOIPセットアップをスムーズに処理するかどうかをどのように判断できますか?
Sonicwallで現在試行されているセットアップ
- SonicOS Enhanced4.2を実行しているTZ190を使用しています
- 一貫性のあるNATが有効になっています
- SonicWallの自動SIP変換。画像リンク: http://cl.ly/1Q3A3K3C1M1Z322I1M2L
- ファイアウォールが開かれ、VOIPプロバイダーからのすべてを許可し、すべてSIP UDP&TCP:イメージリンク: http://cl.ly/310b07271R0c2s2c3L1g (@ Tom O'Connerは、これが問題になる可能性があることを示しています。)
- 詳細は後日...
PFsenseはそれを行うことができます。正直なところ、ファイアウォールはすべて、SIPおよびRTPをそのまま通過できる必要があります。
SIPは呼び出しを開始するためのメカニズムにすぎないため、これは問題の一部にすぎません。 RTPは、音声トラフィック自体のプロトコルです。一部のVoIP電話は、UPnPを使用してファイアウォールと通信し、通話時にポート転送を動的に構成できます。
PFsenseはQoSも実行できますが、それがどの程度適切に実装されているかはわかりません(最近、PFsenseを機能的に構成していて、まだQoSに到達していません!)
これは興味深い読み物かもしれません、 NAT + VoIP (From VoIP-info.org )。おそらくやりたいことは、SIPインバウンド接続をプロバイダーのSIPゲートウェイからのみ来るように制限することです。そうしないと、厄介な人々が接続する傾向があります。アカウントで高額な電話をかけます。HTTP(S)やTelnetなどの電話への他のポートもロックダウンするようにしてください。公共の場にTelnetで接続できることで、会社に興味深いセキュリティホールを見つけましたSIP電話、次にネットワークにsshアウトします。
また、音声トラフィック用に個別のVLANを用意することを検討する必要があります。これは、QoSに役立ち、ジッターを排除するのに役立ちます。