Tentang NAT dan VoIP

Tentang Nat dan VoIP

Apa itu NAT?

NAT (Network Address Translation) adalah teknologi yang paling umum digunakan oleh firewall dan router untuk memungkinkan banyak perangkat di LAN dengan alamat IP ‘pribadi’ untuk berbagi satu alamat IP publik. Alamat IP pribadi adalah alamat, yang hanya dapat dialamatkan dari dalam LAN, tetapi tidak dari Internet di luar LAN. Untuk memungkinkan perangkat dengan alamat IP pribadi berkomunikasi dengan perangkat lain di Internet, perlu ada terjemahan antara alamat IP pribadi dan publik pada titik di mana LAN terhubung ke Internet, yang ada di dalam firewall / router yang menghubungkan LAN ke Internet. Terjemahan semacam itu biasanya disebut sebagai NAT (untuk Terjemahan Alamat Jaringan) dan router yang melakukan terjemahan seperti itu sering disebut router NAT atau firewall . Terkadang NAT juga disebut IP Masquerading. Lewatnya lalu lintas melalui NAT disebut NAT Traversal.

Cara kerja NAT pada prinsipnya agak sederhana. Ketika perangkat di LAN memulai koneksi dengan perangkat di Internet, perangkat akan mengirim semua lalu lintas ke router NAT terlebih dahulu. Router NAT kemudian mengganti alamat sumber, yang merupakan alamat pribadi perangkat, dengan alamat publiknya sendiri sebelum meneruskan lalu lintas ke tujuannya di Internet. Ketika respons diterima, router NAT mencari tabel terjemahannya untuk menemukan alamat sumber asli paket dari mana perangkat pada LAN awalnya memulai koneksi dan dengan demikian meneruskan respons ke perangkat itu.

Sayangnya, ketika koneksi berasal dari perangkat di Internet di luar LAN, tidak jelas perangkat mana di LAN yang seharusnya dibuat koneksi. Dalam hal ini, perlu ada beberapa aturan yang memberi tahu router NAT apa yang harus dilakukan dengan lalu lintas masuk, jika tidak, itu hanya akan membuang lalu lintas dan tidak ada koneksi yang akan dibuat. Jika router NAT mendukung apa yang biasa disebut sebagai ‘perangkat lunak DMZ’, ia dapat menangani aturan sederhana, seperti “meneruskan semua permintaan koneksi masuk ke perangkat dengan alamat 192.168.0.2”. Teknik lain, yang disebut penerusan port memungkinkan router NAT untuk mengirimkan permintaan koneksi masuk ke perangkat yang berbeda pada LAN tergantung pada jenis koneksi (yaitu koneksi web atau email). Namun, jika ada beberapa perangkat pada LAN yang jenis koneksi tertentu dari luar mungkin perlu dibuat, maka DMZ perangkat lunak atau penerusan port tidak akan cukup.

Masalah dengan NAT dan VOIP

Selain itu, cara protokol VoIP konvensional dirancang juga menimbulkan masalah bagi lalu lintas VoIP yang melewati NAT. Protokol VoIP konvensional hanya berurusan dengan pensinyalan koneksi telepon. Lalu lintas audio ditangani oleh protokol lain dan untuk memperburuk keadaan, port tempat lalu lintas audio dikirim secara acak. Router NAT mungkin dapat menangani lalu lintas pensinyalan, tetapi tidak memiliki cara untuk mengetahui bahwa lalu lintas audio terkait dengan pensinyalan dan karenanya harus diteruskan ke perangkat yang sama dengan lalu lintas pensinyalan. Akibatnya, lalu lintas audio tidak diterjemahkan dengan baik di antara ruang alamat.

Pada awalnya, baik untuk panggilan dan pihak yang dipanggil semuanya akan tampak baik-baik saja. Pihak yang dipanggil akan melihat ID Pemanggil pihak yang menelepon dan telepon akan berdering sementara pihak yang menelepon akan mendengar nada umpan balik yang berdering di ujung yang lain. Ketika pihak yang dipanggil mengangkat telepon, nada dering dan nada umpan balik yang terkait di ujung lainnya akan berhenti seperti yang diharapkan. Namun, pihak yang menelepon tidak akan mendengar pihak yang dipanggil (audio satu arah) dan pihak yang dipanggil mungkin juga tidak mendengar pihak yang menelepon (tidak ada audio).

Masalah NAT Traversal adalah masalah utama bagi penyebaran VOIP secara luas. Namun, masalahnya tidak sepele dan tidak ada solusi sederhana. Secara umum ada dua cara untuk mengatasi masalah ini:

  • hindari masalah
  • mengatasi masalah

Penanganan masalah

Hindari NAT

Sejauh ini cara terbaik untuk menangani masalah VoIP NAT Traversal adalah dengan menghindari penyebab masalah sejak awal:

  • Jangan gunakan NAT dan dapatkan alamat IP publik untuk semua perangkat VoIP
  • ika Anda tidak dapat menghindari NAT, gunakan IP Tunneling antara perangkat VoIP pada LAN yang berbeda
  • Gunakan layanan publik. Misalnya, mendaftar kedua sisi ke FWD dan panggilan dari satu ke yang lain. Lihatlah halaman otentikasi pengguna untuk mengetahui cara mengontrol siapa yang memiliki akses ke saluran internal Anda
  • Gunakan server yang menerapkan Praktik Terkini Terbaik IETF untuk NAT Traversal untuk SIP Client-Server. Salah satunya adalah YATE.
  • Gunakan beberapa solusi yang bekerja di belakang NAT dan memotong segala jenis Firewall Internet misalnya SBO

Menggunakan Port forwarding

Namun, ada beberapa solusi sederhana yang tersedia.

Untuk mengatur telepon SIP tunggal di dalam NAT perumahan:

  • Atur telepon SIP dengan alamat IP statis
  • Atur dua entri penerusan bentuk konfigurasi “Port Forwarding” (atau serupa) pada antarmuka konfigurasi NAT, yang masing-masing menyebabkan perangkat NAT meneruskan semua lalu lintas yang ditujukan untuk kisaran nomor port yang ditentukan ke alamat IP tetap dari telepon SIP. :
  1. Pensinyalan SIP: Ports 5060 hingga 5070
  2. Audio RTP: Ports 8766 hingga 35000

Menggunakan SIP-ALG

Banyak firewall perusahaan secara langsung mendukung penerusan SIP dan H.323 ke perangkat Proxy / PBX / dari titik akhir telepon VoIP menggunakan SIP-ALG.

Menggunakan STUN

Dengan menggunakan STUN, seseorang menjaga port terbuka pada router / firewall sehingga pesan SIP dan RTP yang datang dari Internet mencapai telepon VoIP. Lihat:

  • NAT Traversal untuk VoIP dan Komunikasi Internet menggunakan STUN, TURN dan ICE – white paper
  • STUN: Traversal Sederhana UDP melalui NAT

Solusi lain

  • Asterisk Hindari SIP NAT Traversal untuk melintasi NAT pada port IP yang biasanya terbuka, seperti protokol IAX terbuka. (Perhatian: Para ahli protokol jaringan IP akan menunjukkan bahwa teknik seperti ini yang menggunakan HTTP untuk tujuan yang tidak dimaksudkannya sering membawa efek samping negatif yang tidak diinginkan.)
  • Utilitas tersedia yang memungkinkan Asterisk (win32) untuk bekerja pada kotak yang sama dengan ISA Server. Kunjungi www.telium.ca dan cari SIPPF di area unduhan. Ini skrip gratis.
  • IXC menemukan pendekatan untuk memungkinkan pelanggan NAT dapat dipanggil melalui h323. Mungkin untuk menguji ini ‘tahu caranya’ setelah mendaftar. Berita rilis versi baru juga tersedia.
  • Kernel Linux: Netfilter tampaknya telah mendapat patch contrack untuk sip / rtp nat / firewall traversal: Iptables sip contrack

 

‘Pendekatan berbeda untuk membuat perangkat sip bekerja di belakang router dd-wrt‘

 

  • dd-wrt v23sp1voip’ – tingkatkan router yang kompatibel dengan dd-wrt Anda ke dd-wrt v23sp1 (belum menguji sp2) Versi VOIP Rilis perangkat lunak ini termasuk versi khusus dari perangkat lunak ser (sip express router), yang dapat bertindak sebagai proxy keluar untuk perangkat sip (hampir seperti proxy http tidak untuk browser web). ser dan komponen kedua rtp proxy mengurus pendaftaran klien di jaringan pribadi dan meneruskan semua lalu lintas antara penyedia layanan sip dan klien internal (pesan sip dan stream media rtp). Solusi ini berfungsi dengan baik untuk semua perangkat yang memiliki dukungan “proxy keluar” seperti yang dilakukan oleh banyak ata (mis. Linksys-sipura spa 2001, grandstream budgetone, dll.). Cukup masukkan alamat IP dan teguk port (lihat antarmuka administrasi dd-wrt untuk ip / port) router dd-wrt Anda sebagai proxy keluar di layar konfigurasi ponsel Anda. Mulai ulang ponsel, dan voila, Anda dapat berbicara. Ini berfungsi untuk jumlah telepon yang tidak terbatas, selama setiap telepon menggunakan nama pengguna sip yang berbeda. Menggunakan nama pengguna sip yang sama, mis. pada dua port analog sipura ata untuk kedua port analog menyebabkan port kedua didaftarkan untuk tidak berfungsi untuk panggilan masuk (tidak 100% diverifikasi tolong beri tahu saya jika Anda mengujinya).
  • ‘Proxy transparan pada dd-wrt / openwrt rt

Saya sendiri mengalami kesulitan menggunakan perangkat sip tanpa dukungan “proxy keluar” di belakang router dd-wrt saya, saya sedang mencari solusi yang lebih sederhana. Motivasi saya adalah untuk menempatkan kotak asterisk saya di belakang router serta ponsel cerdas nokia e61 saya agar dapat mendaftar ke server server publik perusahaan. Ini tidak mungkin karena asterisk maupun klien nokia sip saat ini tidak mendukung proxy keluar atau setrum.

Setelah menggunakan proxy transparan untuk hhtp untuk sementara waktu, pertanyaannya adalah, mengapa tidak melakukan hal yang sama untuk pesan sip dan stream media rtp? Yah, itu mungkin. Saya tidak benar-benar mengetahuinya menggunakan paket ser / rtpproxy built-in voip dd-wrt (mungkin juga dengan mereka), tetapi mengandalkan instruksi yang saya temukan untuk perangkat lunak “sipproxd” yang untungnya tersedia untuk broadcom berbasis mips plattform (paket openwrt).

 

Yang Anda butuhkan pada dasarnya adalah:

– dd-wrt / openwrt (versi non voip firmeware – diuji dengan v23sp1) dengan jffs diaktifkan (dan memori cadangan yang cukup – solusi ini tidak bekerja untuk 8mb dan mungkin juga tidak untuk model router berbasis Broadcom 16 mb). Saya sendiri Linksys WRT54GS v1.1 32mb. Anda memerlukan JFFS sebagai sistem file untuk mengunduh, menginstal dan mengkonfigurasi paket perangkat lunak tambahan menggunakan ipkg.

– Akses ssh / telnet ke router Anda

– informasi tersedia di http://siproxd.sourceforge.net/siproxd_guide/siproxd_guide_c6s4.html

 

Pertama aktifkan jffs dan inisialisasi ipkg (lihat faqs dd-wrt / openwrt lainnya / howtos tentang cara melakukan ini secara detail). Setelah Anda selesai log ini ke router Anda menggunakan telnet atau ssh yang lebih baik (root / <yourwebadminpw>).

 

Kemudian unduh paket siproxd menggunakan perintah “ipkg install siproxd”. Kemudian ikuti instruksi pada halaman manual ini http://siproxd.sourceforge.net/siproxd_guide/siproxd_guide_c6s4.html

 

Anda harus membuat file konfigurasi menggunakan editor “vi” aktif ketika sedang di-loog ke router Anda. Menyalin Teks dari browser web ke konsol vi menggunakan dempul dapat cukup merepotkan karena untuk beberapa alasan karakter tampaknya pindah ke tempat lain sementara pada kenyataannya mereka masih di tempat lama mereka di textfile. Yang pasti, sering-seringlah menyimpan file, lalu buka lagi untuk mendapatkan tampilan yang bersih dan kemudian salin bagian selanjutnya dari file tersebut.

Kemudian mulai siproxd dengan memanggilnya dari baris perintah cd … lalu ./siproxd -c <lokasi file konfigurasi yang Anda buat mis. /jffs/etc/siproxd.conf>.

 

Terakhir salin perintah iptables satu demi satu ke konsol. Kemudian jalankan klien sip Anda dengan mengonfigurasi seolah-olah itu memiliki alamat ip publik (mis. Xxxxxx@sipgate.at dll.) Dan voila Anda dapat berbicara dan Anda dapat dihubungi jika seseorang memanggil Anda.

 

Saat ini solusinya tidak 100% stabil, karena nokia e61 saya mendaftar dengan server asterisk publik berhasil pertama kali, tetapi bukan yang kedua kalinya saya kehilangan konektivitas wlan. Saya belum menentukan apakah ini merupakan masalah pada router / siproxd atau apakah itu karena masalah perangkat lunak nokia e61 (saya kemudian memiliki versi perangkat lunak april / 2006 bermerek www.one.at di telepon. Saya belum mencoba dengan versi generik nokia 07/2006 namun ketika saya menemukan solusi yang lebih baik untuk nokia saya yang akan saya jelaskan di bawah ini.

  • Mobile IPv4 / Birdstep SmartRoaming ‘

Solusi sipproxd bekerja dengan baik untuk klien dalam jaringan wlan / lan tetap. Tapi bagaimana dengan saya yang miskin menggunakan nokia saya di luar jaringan rumah / kantor saya. Hampir tidak mungkin memiliki semua router yang dilengkapi dengan solusi proxy transparan siproxd.

Setelah mencari untuk waktu yang lama dan menghabiskan waktu berjam-jam dengan implementasi SIP / Grup Jaringan Nokias yang tidak lengkap, saya menemukan perangkat lunak yang mendukung Mobile IPv4 RFC pada sistem operasi symbian. Hebat, yang pada dasarnya dilakukannya adalah memasang klien di ponsel Anda, yang membuat koneksi baru tersedia untuk semua aplikasi. Ini bekerja seperti vpn / tunnel. Jadi, begitu koneksi jaringan tersedia, perangkat lunak mendaftar dan membuat terowongan ke Birdstel / Smartroaming dan telepon Anda mendapatkan IP publik dari mereka.

Sekarang ia juga menjaga Anda untuk selalu menggunakan koneksi terbaik, sehingga pemindaian untuk jaringan wlan yang telah Anda tentukan, dan begitu Anda memasuki kantor, itu secara otomatis mengirim semua lalu lintas melalui wlan, atau grps / umts sebaliknya ketika Anda pergi kantor. Aplikasi ini SELALU ONLINE dan jangan perhatikan perubahan koneksi yang terjadi di latar belakang.

Yang terbaik, tidak ada NAT, semua aplikasi menggunakan ip publik ponsel melalui terowongan. Dengan demikian klien SIP Anda bekerja dengan sempurna untuk dapat mendaftar dengan asterisk, sipgate, dan mungkin banyak penyedia sip lainnya tanpa masalah. Bekerja seperti pesona.

Satu-satunya kelemahan: setelah percobaan gratis 1 bulan, Anda harus membayar biaya tahunan sebesar ~ 30 eur jika Anda menggunakan layanan Mobile IPv4 mereka. Katakanlah Anda dapat menggunakan perangkat lunak (setelah Anda membeli lisensi) dengan penyedia lain juga. Sayang sekali semua perangkat lunak open source dalam hal Mobile IPv4 benar-benar ketinggalan jaman dan setahu saya tidak ada pilihan alternatif untuk menjadi Penyedia Mobile IPv4 Anda sendiri (selain perangkat lunak komersial dari hp / cisco, dll.).

 

Beberapa vendor menawarkan informasi tentang masalah tersebut, dan tentang bagaimana Anda dapat menggunakan produk mereka untuk mengatasi masalah:

  • Buku putih (NAT Traversal in SIP) menjelaskan beberapa masalah (setidaknya terkait dengan pensinyalan SIP) dan membahas solusi berbasis STUN & ICE secara lebih rinci.
  • Kertas putih: NAT Traversal untuk VoIP dan Komunikasi Internet menggunakan STUN, TURN, dan ICE

 

Solusi SIP NAT Gratis

Advertisements
  • Xtunnels Solusi NAT gratis dari Counterpath. Bekerja dengan semua softphones Xlite dan Eybeam.
  • http://sipsocial.net SIPsocial (pendaftar / server proxy keluar) memungkinkan layanan telepon SIP melalui Internet secara aman melalui perangkat NAT / firewall dan memberikan perlindungan privasi menggunakan Public Key Infrastructure (PKI).

diterjemahkan dari: https://www.voip-info.org/nat-and-voip/

Comments are closed, but trackbacks and pingbacks are open.