Sip passthrough что это
Sip passthrough что это
SIP ALG
SIP ALG (SIP Application Level Gateway) – это шлюз прикладного уровня, который позволяет голосовому VOIP-трафику (RTP) беспрепятственно проходить через устройство с функцией NAT (Network Address Translation). Если в маршрутизаторе присутствует и активирован SIP ALG, то не нужно дополнительно настраивать проброс портов для этого типа трафика.
Но это только одна точка зрения создателей и производителей встраивающих это в свои устройства.
На деле SIP ALG может создавать серьезные проблемы для прохождения RTP трафика, при использовании IP АТС. Это касается всех устройств с SIP ALG.
Отключить SIP ALG на маршрутизаторе
TP-LINK
1. Откройте браузер и введите IP маршрутизатора в адресную строку. По умолчанию это 192.168.0.1
2. Перейдите в раздел «Безопасность/Настройки базовой защиты».
3. Отключите параметры «RTSP ALG» и «SIP ALG».
4. Нажмите «Сохранить».
5. Чтобы новые параметры начали действовать, перезагрузите маршрутизатор.
Mikrotik
1. Запустите утилиту «WinBox». Ее можно скачать с сайта производителя оборудования.
2. Перейдите в раздел «IP/Firewall»
3. Откройте вкладку «Service Ports», нажмите строку «sip» и кликните x
4. Изменения применяются автоматически, WinBox можно закрыть.
5. Чтобы новые параметры начали действовать, перезагрузите маршрутизатор.
Zyxel
1. Откройте браузер и введите IP маршрутизатора в адресную строку. По умолчанию это 192.168.1.1.
2. Откройте вкладку «Обновление»
3. В списке компонентов «Networking» снимите флаги в строках «Шлюз прикладного уровня (ALG) для SIP» и «Шлюз прикладного уровня (ALG) для RTSP».
4. Нажмите «Обновить» и дождитесь завершения процесса. Он может длиться до 5 минут.
5. Чтобы новые параметры начали действовать, перезагрузите маршрутизатор.
Cisco
1. Запустите утилиту «Cisco ASDM». Ее можно скачать с сайта производителя оборудования.
2. Перейдите в раздел «Firewall» и откройте пункт меню «Service Policy Rules».
3. Выберите правило «Inspection_default» и перейдите на вкладку «Rule Actions».
4. Снимите флаги «RTSP», «SIP» и нажмите «OK».
5. Чтобы новые параметры начали действовать, перезагрузите маршрутизатор.
ASUS
1. Откройте браузер и введите IP маршрутизатора в адресную строку. По умолчанию это 192.168.1.1.
2. Перейдите в раздел «Advanced Settings/WAN» и откройте вкладку «NAT Passthrough».
3. Для строк «SIP Passthrough» и «RTSP Passthrough» укажите значение «Disable».
5. Чтобы новые параметры начали действовать, перезагрузите маршрутизатор.
Huawei
1. Откройте браузер и введите IP маршрутизатора в адресную строку. По умолчанию это 192.168.8.1.
2. Перейдите в раздел «Настройки» и введите логин и пароль. По умолчанию это «admin».
3. Откройте пункт меню «Безопастность/Настройка SIP ALG», снимите флаг «Включить SIP ALG» и нажмите «Применить».
4. Перейдите в «Настройки NAT», выберите «Конический» режим и нажмите «Применить».
5. Чтобы новые параметры начали действовать, перезагрузите маршрутизатор.
Sip passthrough что это
Application-level gateway, или ALG (англ. «шлюз прикладного уровня» ) — компонент NAT-маршрутизатора, который понимает какой-либо прикладной протокол, и при прохождении через него пакетов этого протокола модифицирует их таким образом, что находящиеся за NAT пользователи могут пользоваться протоколом.
NAT-маршрутизатор ретранслирует пакеты, поступающие изнутри сети, с внешнего IP-адреса. Также может подменяться порт. Но некоторые сетевые протоколы передают IP-адрес или порт отправителя. Конечно же, после прохождения NAT эти параметры становятся неверными — а значит, удалённая сторона не может наладить соединение.
ALG, идентифицировав пакет как относящийся к данному протоколу, подставляет в качестве IP-адреса и порта свои адрес и порт. Если, по протоколу, соединение по этому порту налаживает удалённый компьютер, автоматически включается ретрансляция.
ALG похож на прокси-сервер; обычно понятием «прокси-сервер» называют сервер, который выполняет дополнительные операции наподобие кэширования, в то время как задача ALG — обеспечить, чтобы клиенты могли пользоваться протоколом.
Например в устройствах ZyXEL реализована поддержка IP-телефонии, которая обеспечивается механизмом трансляции сетевых адресов Full Cone NAT и встроенным шлюзом уровня приложения – SIP ALG. SIP ALG (SIP Application Level Gateway) – это шлюз прикладного уровня, который позволяет голосовому VoIP-трафику (RTP) беспрепятственно проходить через устройство с функцией NAT (Network Address Translation). Если в маршрутизаторе присутствует и активирован SIP ALG, то не нужно дополнительно настраивать проброс портов для этого типа трафика.
Как правило, IP-адреса клиентов SIP-телефонии назначаются из диапазона внутренних (локальных) адресов* и их IP-адреса могут пересекаться. В большинстве случаев подключение пользователей к сети осуществляется через устройство с функцией NAT. Если это устройство не будет иметь поддержки SIP ALG, то SIP-сервер не сможет различать клиентов.
Регистрация VoIP-устройства на SIP-сервере возможна при использовании одного из способов преодоления NAT: Outbound proxy, STUN, SIP ALG. При этом если на VoIP-телефоне или другом устройстве c SIP-клиентом, расположенном за NAT, настроен один из двух первых методов, то на устройстве обязательно нужно отключить SIP ALG.
Для беспрепятственного прохождения SIP-трафика через устройство с NAT необходимо транслировать адресацию в SIP-пакетах. SIP-пакет анализируется на уровне приложения, и в нем изменяются IP-адреса. Так SIP ALG позволяет реализовать услуги SIP-телефонии в сети с трансляцией адресов без использования вспомогательных внешних устройств.
На пути прохождения SIP-пакетов нет устройства с NAT
На пути прохождения SIP-пакетов находится устройство с NAT и поддержкой SIP ALG
В этом случае, устройство с NAT (маршрутизатор) подменяет в IP-пакетах IP-адрес источника 192.168.1.33 на свой WAN IP-адрес 210.243.66.215. Но существуют ограничения, без которых SIP-телефония не будет работать. Особенность реализации SIP ALG заключается в том, что он работает только на порту 5060. При использовании другого номера порта механизм SIP ALG не будет работать.
Все устройства с NAT должны поддерживать механизм SIP ALG. Если на пути прохождения SIP-пакетов будет находиться устройство с NAT, которое не поддерживает SIP ALG, то в этом случае SIP-телефония не будет работать.
10.0.0.0 — 10.255.255.255
172.16.0.0 — 172.31.255.255
192.168.0.0 — 192.168.255.255
SIP ALG and why it should be disabled on most routers
Search VoiceHost
What is SIP ALG?
SIP ALG stands for Application Layer Gateway and is common in all many commercial routers. Its purpose is to prevent some of the problems caused by router firewalls by inspecting VoIP traffic (packets) and if necessary modifying it.
Many routers have SIP ALG turned on by default.
There are various solutions for SIP clients behind NAT, some of them in the client side (STUN, TURN, ICE), others are in the server side (Proxy RTP as RtpProxy, MediaProxy).
Generally speaking, ALG works typically in the client side LAN router or gateway. In some scenarios, some client-side solutions are not valid, for example, STUN with symmetrical NAT router. If the SIP proxy doesn’t provide a server-side NAT solution, then an ALG solution could have a place.
An ALG understands the protocol used by the specific applications that it supports (in this case SIP) and does a protocol packet-inspection of traffic through it. A NAT router with a built-in SIP ALG can re-write information within the SIP messages (SIP headers and SDP body) making signalling and audio traffic between the client behind NAT and the SIP endpoint possible.
How can it affect VoIP?
Even though SIP ALG is intended to assist users who have phones on private IP addresses (Class C 192.168.X.X), in many cases it is implemented poorly and actually causes more problems than it solves. SIP ALG modifies SIP packets in unexpected ways, corrupting them and making them unreadable. This can give you unexpected behaviour, such as phones not registering and incoming calls failing.
Therefore if you are experiencing problems we recommend that you check your router settings and turn SIP ALG off if it is enabled.
I have disabled SIP ALG but I’m still experiencing problems.
If you are still having problems after disabling SIP ALG, please check your firewall configuration.
I can’t disable SIP-ALG? How to Circumnavigate any networking vendors broken implementation of SIP ALG
How do I turn off SIP ALG?
Most home/residential routers have a web interface. Typically this is 192.168.1.1 but you just check your default gateway by typing ipconfig in Windows command prompt or ifconfig on Linux systems from any connected device on the same LAN.
If your router does not have a web interface you will most likely need a Telnet client to login.
If you don’t have a telnet client installed we recommend Smartty (smartty.sysprogs.com)
Connect in telnet to the IPv4 address of your gateway and hit enter again.
Asus Routers
nvram get nf_sip
(It should return a «1»)
nvram set nf_sip=0
nvram commit
Reboot
AVM Fritz!Box
SIP ALG cannot be disabled. (See above on how to get around this)
Barracuda Firewalls
Click the «Disabled» check box next to any rules named LAN-2-INTERNET-SIP and INTERNET-2-LAN-SIP
This disables SIP ALG.
Billion
Navigate to the web interface
-> Select Configuration
-> Select NAT
-> Select ALG
-> Disable SIP ALG
BT (Homehubs)
Cisco RV Range
(RV082, RV016, RV042, RV042G, RV325)
-> f needed, update firmware by going to System Management > Firmware Upgrade.
-> Go to Firewall > General.
-> Ensure that Firewall and Remote Management are enabled (checked).
-> Ensure that the following are disabled (unchecked):
-> SPI (Stateful Packet Inspection)
-> DoS (Denial of Service)
-> Block WAN Request
-> SIP ALG
-> Click Save.
-> Browse to IPADDRESS/f_general_hidden.htm.
-> Set UDP Timeout to 300 seconds.
-> Go to Firewall > Access Rules.
-> Whitelist VoiceHost IP ranges
Save all changes.
D-Link
DD-WRT
DrayTek
If your device does not have a web interface then you’ll need a telnet client.
You will be prompted to provide a username and/or password. These are the same credentials used to access the router’s web interface.
Afterwards, type in these commands:
On Draytek Vigor2750 and Vigor2130 please use these commands instead:
kmodule_ctl nf_nat_sip disable
kmodule_ctl nf_conntrack_sip disable
Navigate to the web interface
Click Settings.
Enter the required username and password, then click Log In.
Note: The default username and password is admin.
Click the Security dropdown.
Click SIP ALG Settings.
Untick the Enable SIP ALG box.
Click Apply.
Fortinet
Disabling the SIP ALG in a VoIP profile
SIP is enabled by default in a VoIP profile. If you are just using the VoIP profile for SCCP you can use the following command to disable SIP in the VoIP profile.
config voip profile
edit VoIP_Pro_2
config sip
set status disable
end
Huawei
Juniper
Type the following into the CLI
To check if currently enabled or disabled run show security alg status | match sip
To disable run:
configure
set security alg sip disable
commit
Linksys:
Check for a SIP ALG option in the Administration tab under ‘Advanced’.
You should also disable the SPI Firewall option.
Mikrotik
Netgear
Look for a ‘SIP ALG’ checkbox in ‘WAN’ settings.
Under ‘NAT Filtering’ uncheck the option ‘SIP ALG’
Port Scan and DoS Protection should also be disabled.
Disable STUN in VoIP phone’s settings.
openwrt
PfSense
SonicWALL Firewall
Under the VoIP tab, the option ‘Enable Consistent NAT’ should be enabled and ‘Enable SIP Transformations’ unchecked.
Detailed instructions can be found here: https://www.voicehost.co.uk/help/sonicwall-configuration
Speedtouch
To disable SIP ALG you need to telnet into your Speedtouch router and type the following:
-> connection unbind application=SIP port=5060
-> saveall
TalkTalk
2017/18 See Huawei (HG633)
Technicolor / Thompson
TG588 TG589 TG582 DWA0120
In Command Prompt, type “telnet 192.168.1.254” and press enter. 192.168.1.254 is the default IP address of the router. If you are running on Windows 7/8/8.1/10, you might need to install the telnet client from “Control Panel” → “Programs and Features” → “Turn Windows features on and off”.
The default username is “Administrator”, and there is no default password, leave blank.
Type “connection unbind application=SIP port=5060” and press “Enter”.
Type “ saveall ” and press “Enter”.
Type “exit” and press “Enter” to exit the telnet session.
Tomato
TP-Link
The default username is admin and the default password is admin.
On the left, click on Advanced Setup and then click on NAT and then click on ALG.
Uncheck the box by SIP Enabled. (Some TP firmware shows this as SIP Transformations which is the same thing).
Click Save/Apply.
UBEE Gateways
Disable (uncheck) SIP.
Disable (uncheck) RTSP.
Click Apply.
Ubiquiti
Alternatively, you can SSH into the device and run the following commands:
configure
set system conntrack modules sip disable
commit
save
exit
Virgin SuperHub
Please see our workarounds at the top of the page.
Vodafone
Vyatta / Brocade:
Type the following into the CLI
configure
set system conntrack modules sip disable
commit
save
exit
Watchguard Firewall
ZyXEL
SIP ALG
SIP ALG (SIP Application Level Gateway) – это шлюз прикладного уровня, который позволяет голосовому VoIP-трафику (RTP) беспрепятственно проходить через устройство с функцией NAT (Network Address Translation). Если в маршрутизаторе присутствует и активирован SIP ALG, то не нужно дополнительно настраивать проброс портов для этого типа трафика.
Как правило, IP-адреса клиентов SIP-телефонии назначаются из диапазона внутренних (локальных) адресов* и их IP-адреса могут пересекаться. В большинстве случаев подключение пользователей к сети осуществляется через устройство с функцией NAT. Если это устройство не будет иметь поддержки SIP ALG, то SIP-сервер не сможет различать клиентов. Регистрация VoIP-устройства на SIP-сервере возможна при использовании одного из способов преодоления NAT: Outbound proxy, STUN, SIP ALG. При этом если на VoIP-телефоне или другом устройстве c SIP-клиентом, расположенном за NAT, настроен один из двух первых методов, то на устройстве обязательно нужно отключить SIP ALG.
Для беспрепятственного прохождения SIP-трафика через устройство с NAT необходимо транслировать адресацию в SIP-пакетах. SIP-пакет анализируется на уровне приложения, и в нем изменяются IP-адреса. Так SIP ALG позволяет реализовать услуги SIP-телефонии в сети с трансляцией адресов без использования вспомогательных внешних устройств.
Для включения SIP ALG на маршрутизаторе QBR-1241WUX необходимо зайти в настройки на вкладку Application и на вкладке Advance Nat выбрать пункт Enable напротив протокола SIP.
Подключение через маршрутизатор с NAT
SIP-телефон или SIP-адаптер часто приходится подключать к Интернет через маршрутизатор с функцией NAT. В качестве маршрутизатора может выступать либо DSL-модем либо отдельное устройство.
Также NAT может быть реализован и на стороне провайдера Интернет, что в итоге приводит к двойному NAT для SIP-клиента.
При таком подключении нет никакой необходимости делать «исправление» NAT на стороне абонента, т.е. подменять IP-адреса в SIP-сигнализации. Все необходимое для нормальной работы абонентов, подключенных через NAT, сделает сервер SIPNET, однако для этого необходимо, чтобы внутренний (приватный) адрес SIP-клиента был назначен из правильного диапазона адресов согласно RFC 1918. При использовании других адресов «исправления» NAT на стороне SIPNET не происходит и возникают различные проблемы, например, с односторонней слышимостью, входящими вызовами и проч.
Формально допустимые внутренние адреса:
Интернет-провайдер может делать NAT на своей стороне и выдавать своим абонентам приватные адреса согласно RFC6598:
Если маршрутизатор имеет встроенную поддержку протокола SIP (т.наз. SIP ALG), то в этом случае, как правило, включение STUN только мешает.
Входящие вызовы
Делать на DSL-модеме или маршрутизаторе «проброс портов», «port forwarding» или «virtual server» для сигнализации и RTP-трафика в подавляющем большинстве случаев не требуется. Согласно принципу своей работы, любое NAT-устройство не пропускает новые входящие соединения извне. Для того, чтобы это не мешало входящему трафику SIP-сигнализации, необходимо чтобы SIP-устройство или программа периодически генерировали трафик из внутренней сети наружу. Обычно это обеспечивается путем регулярной (примерно каждые 50-170 сек) отправки keepalive пакетов. «Проброс» порта сигнализации позволяет избежать отправки keepalive пакетов и может быть рекомендован только в том случае, если никаким другим способом не удалось добиться устойчивого прохождения входящих вызовов. При подключении через двойной NAT «проброс» портов лишь на одном из NAT-устройств не решает проблему.
По умолчанию, как правило, на клиентской стороне для сигнализации SIP используется порт 5060/UDP, однако программные и аппаратные устройства SIP-телефонии позволяют менять это значение или же выбирать этот порт динамически.