Teléfonos VoIP

[zx81]

Tengo una duda, las terminales VoIP, ¿hacen por si mismas conexiones VPN contra la red remota o ambas redes ya deben esar unidas previamente? No me refiero a teléfonos Skype y similares, sino a teléfonos específicos conectados a una centralita con voz IP, y que esa centralita se encuentre en un sitio remoto.

 

Saludos

[Wok]

Tengo una duda, las terminales VoIP, ¿hacen por si mismas conexiones VPN contra la red remota o ambas redes ya deben esar unidas previamente? No me refiero a teléfonos Skype y similares, sino a teléfonos específicos conectados a una centralita con voz IP, y que esa centralita se encuentre en un sitio remoto.

 

Saludos

Bonito tema...

Los teléfonos IP actuales ( no todos ) usan un protocolo llamado SIP que permite conectarte a la centralita remota sin necesidad de establecer túneles. El único requerimiento es que la la centralita sea accesible desde internet ( una serie de puertos abiertos ).

Esto se aplica también a los telefonos como el N80 y el N95

Pero precisamente esa facilidad es también su punto flaco. La única seguridad añadida es la de un password "en claro" para autentificarse.

 

Dependiendo de lo que pretendas hacer, se puede securizar el tema un poco más.

 

Ejemplo... dos oficinas interconectadas a través de internet mediante ADSL. A conectar ambas oficnas ya habrás establecido una VPN entre ellas, de manera que no tendrás que abrir ningún puerto adicional. Todo el trafico entre ambas oficinas ( incluida la VoIP ) va tunelizado.

Pero si quieres poder llamas desde un N80, por ejemplo... debes abrir puertos. Y como no sabes la IP pública del N80, deberás permitir el acceso a todas las IP públicas...

 

Ya digo... expón los requerimientos y veremos.

 

Otro tema es el ancho de banda necesario para poder dar servicio a todos tus teléfonos VoIP. Tanto los locales, como los remotos.

 

Y luego... tema muy importante: de qué centralita VoIP estamos hablando?. Porque algunas centralitas no usan SIP, sino un protocolo propietario, por lo que los teléfonos deben ser compatibles con ese protocolo. Y eso descarta los móviles.

 

Lo que decía al cominezo... bonito tema.

 

P.D.: Al final voy a poner una consultora online...

[zx81]

No tengo tanta información, el tema es que me ha caído un marrón, tengo un cliente con dos redes separadas, en una de ellas han montado un módulo IP a la centralita y en la otra van a poner dos extensiones IP, el de telefonía me dijo que uniera las redes ya que necesita que desde la remota se vea la red de la centralita, el tema es que es una instalación enana y el router donde está la centralita es un ST580i, que no soporta vpn pass-through, no enruta bien el GRE, etc, de modo que lo de la VPN me está tocando las narices. Mañana tenía pensado montar el ST como bridge, poner un router neutro y listo, ahora me queda la otra parte, en la oficina remota han montado una ADSL con un Xavi inalámbrico, que por supuesto no soporta nada de nada, y estoy en lo mismo, monto un túnel o no será necesario? Por eso preguntaba, si los teléfonos actúan como clientes VPN no toco nada, o si fuera por SIP me quito de líos, paso de seguridades y demás, es una instalación temporal y tan tan pequeña que no me merece la pena darle muchas vueltas, sobre todo porque abro el TCP 5060 y me quito de líos. Temas de ancho de banda y demás no me preocupan, porque lo normal es que no se usen siquiera esas dos extensiones a la vez.

 

Saludos

[Wok]

No tengo tanta información, el tema es que me ha caído un marrón, tengo un cliente con dos redes separadas, en una de ellas han montado un módulo IP a la centralita y en la otra van a poner dos extensiones IP, el de telefonía me dijo que uniera las redes ya que necesita que desde la remota se vea la red de la centralita, el tema es que es una instalación enana y el router donde está la centralita es un ST580i, que no soporta vpn pass-through, no enruta bien el GRE, etc, de modo que lo de la VPN me está tocando las narices. Mañana tenía pensado montar el ST como bridge, poner un router neutro y listo, ahora me queda la otra parte, en la oficina remota han montado una ADSL con un Xavi inalámbrico, que por supuesto no soporta nada de nada, y estoy en lo mismo, monto un túnel o no será necesario? Por eso preguntaba, si los teléfonos actúan como clientes VPN no toco nada, o si fuera por SIP me quito de líos, paso de seguridades y demás, es una instalación temporal y tan tan pequeña que no me merece la pena darle muchas vueltas, sobre todo porque abro el TCP 5060 y me quito de líos. Temas de ancho de banda y demás no me preocupan, porque lo normal es que no se usen siquiera esas dos extensiones a la vez.

 

Saludos

Si usa SIP, además de abrir el UDP/5060, debes abrir también el rango UDP/10000-20000

Hasta donde yo sé, no usa TCP.

Más que nada porque en casa me funciona, y no he abierto nada TCP

 

Esta es la parte de mi configuración relacionada con el SIP en el router ( un Cisco ) de casa:

 

[code]ip nat inside source list 110 interface ATM0.1 overload

access-list 110 remark Llista de acces per Asterisk
access-list 110 permit udp any host 10.3.19.251 range 5060 5061
access-list 110 permit udp any host 10.3.19.251 range 10000 20000[/code]

 

Si te fijas, también está abierto el puerto UDP/5061 por si consigo habilitar el SSL. Por desgracia, no hay muchos teléfonos ( hardware/software ) que soporten SSL SIP

 

Pero hasta que no tengas los teléfonos a mano y los manuales de la centralita y de los teléfonos... sólo podemos especular.

[zx81]

Por lo que he leído de SIP, usa TCP y UDP 5060, eso solo sirve para establecer/finalizar la llamada, luego para la llamada en sí usa RTP, que supongo requerirá la apertura que comentas. Mañana resuelvo el misterio, aunque el de la telefonía seguro que se emperra en VPN.

 

Saludos

[Wok]

Por lo que he leído de SIP, usa TCP y UDP 5060, eso solo sirve para establecer/finalizar la llamada, luego para la llamada en sí usa RTP, que supongo requerirá la apertura que comentas. Mañana resuelvo el misterio, aunque el de la telefonía seguro que se emperra en VPN.

 

Saludos

Cierto... SIP puede usar TCP/5060 para la señalización ( que es algo más que establecer/finalizar la llamada, ya que sirve también para indicar que esa extensíón está en linea. ), pero se prefiere usar UDP.

El motivo? Pues para no poner mis palabras, una rápida búqueda en Google explica ( en inglés, eso si... ) el motivo:

 

SIP can run over both TCP and UDP. Clearly UDP is an unreliable protocol, and so in this case SIP must provide its own reliability, which it does by retransmission. So why run SIP over UDP when TCP provides reliability for free?

 

In truth, this reliability is not ``for free''. When you use TCP, you use a general purpose reliable transport protocol, and you get TCP's concept of what reasonable retransmission timeouts are. TCP is also totally reliable - once data is put into a TCP connection, it will eventually come out the other end unless the connection is terminated. Sometimes this isn't what we want, because old data has been superseded by new data, and if the old data hasn't got there yet, we no longer want it to be delivered. In short, UDP allows the SIP applications to control the timing and reliability, or so it gives improved performance to this kind of signalling protocol.

 

In addition, when SIP uses UDP, a proxy server may be stateless - a SIP request can be relayed without leaving behind state in the proxy because any response the request later generates contains (in its Via fields) all the information needed for the proxy to get these responses back to the caller's client application. This allows very large proxy servers to be built - if these servers used TCP, they would have to maintain TCP connection state for all calls, and this would make very large proxy servers a difficult proposition.

 

Why then support TCP at all? The primary reason is that many firewalls do not allow UDP traffic to pass whereas it is relatively simple to configure them to pass SIP traffic to an internal server which may then open a hole in the firewall for the relevant RTP traffic. Eventually though we expect firewalls to be SIP proxies, and we envisage that SIP over TCP will not be widely used.

 

Esto está sacado de AQUÍ. Está muy bien explicado.

[Neeeeeen]

Hola Zx81, yo instalo centralitas con VoIP, y ya te digo que yo al menos te pido VPN, y gestion de QoS en los routers para priorizar los paquetes de voz.Y si los routers pueden ser como los del amigo Wok, mejor... Cisco.

 

En cuanto si la telefonia a usar es SIP, ya te has informado si estos terminales, funcionan bien con la centralita?, es decir, pueden retener llamadas, si tienen marcacion por tonos para operadoras automaticas, hacer desvios, mensajeria, interoperar con los codigos de funciones de la centralita?.

Te lo comento, pq sino probablemente solo podras llamar y recibir...

 

Por si te puedo ayudar en algo....

Salu2s

[zx81]

Hola Zx81, yo instalo centralitas con VoIP, y ya te digo que yo al menos te pido VPN, y gestion de QoS en los routers para priorizar los paquetes de voz.Y si los routers pueden ser como los del amigo Wok, mejor... Cisco.

 

En cuanto si la telefonia a usar es SIP, ya te has informado si estos terminales, funcionan bien con la centralita?, es decir, pueden retener llamadas, si tienen marcacion por tonos para operadoras automaticas, hacer desvios, mensajeria, interoperar con los codigos de funciones de la centralita?.

Te lo comento, pq sino probablemente solo podras llamar y recibir...

 

Por si te puedo ayudar en algo....

Salu2s

Aquí solo piden VPN, el tema es que yo habitualmente no me pringo con estas cosas, el tema informático que es lo que me ocupa está solucioando por otra vía, el de telefonía, si necesitaba VPNs, o QoS, o lo que sea, que lo hubiera presupuestado él, ahora me encuentro con que no hay presupuesto para gastar en nada y que tengo que montar eso como sea "porque es un tema de informática". Con los medios con los que cuento la VPN la veo inviable, entre que el ST580i no la admite y el Xavi tampoco hace túneles, de donde no hay no se puede sacar, había pensado lo del router neutro para el ST, uno viejo que tengo por aquí, y en el otro punto también cambiarlo por un 3COM 812, sin $$$$ no se me ocurre nada más, pero si el tema VPN es requisito único por temas de seguridad, que les zurzan, si quieren seguridad que se gasten pasta.

 

Los terminales los han puesto los de los teléfonos, entiendo que hacer harán de todo yo no he intervenido ni ganas que tengo en todo este lío que solo me está dando dolor de cabeza.

 

Saludos

[zx81]

Por cierto, aparte de la seguridad adicional, ¿alguna justificación técnica para la VPN? He leído que VoIP a veces va mejor tunelizada por VPN SSL, pero tampoco nada claro al respecto.

 

Saludos

[zx81]

Me voy respondiendo sobre la marcha, parece que el problema es que el protocolo RTP al pasar por NAT puede cambiar de puertos (si no es un NAT simétrico) y entonces fallará, de ahí el "requisito" de VPN, para atacar directamente a la IP de la centralita (esto ya me lo supongo yo solo). Vosotros que tenéis experiencia, ¿me aventuro al NAT? Teniendo en cuenta el hardware con el que cuento, será un NAT cutrero.

 

Saludos

[Wok]

Me voy respondiendo sobre la marcha, parece que el problema es que el protocolo RTP al pasar por NAT puede cambiar de puertos (si no es un NAT simétrico) y entonces fallará, de ahí el "requisito" de VPN, para atacar directamente a la IP de la centralita (esto ya me lo supongo yo solo). Vosotros que tenéis experiencia, ¿me aventuro al NAT? Teniendo en cuenta el hardware con el que cuento, será un NAT cutrero.

 

Saludos

Si tienes opción de montar una VPN LAN to LAN, será lo más rápido. Te olvidas de los problemas del NAT y todos contentos.

Como decías antes, configuras el ST580i como bridge y añades el router neutro. De lo contrario, volvemos al NAT 1:1 y los problemas de antes.

Y lo del 3Com... una manera de salir del paso.

 

Lo suyo sería que ambos routers fueran iguales ( para evitarse incompatibilidades ), pero si no se quieren gastar los dineros, no hay más remedio que hacer chapucillas. Que no van a evitar que luego se quejen de lo fea que es la solución.

[zx81]

Al final he conseguido que el ST580i acepte conexiones VPN, y funciona todo ok, ahora resulta que desde el otro lado el 3Com 812 no le sale de sus santos huevos establecer la conexión del túnel, puedo hacer una conexión con los PCs, pero no a nivel de router. Por otro lado, los teléfonos son unos Alcatel, los enciendes y uno se queda colgado en el paso 3, el otro parece que llega un poco más, en fin, estoy harto, harto, harto, harto, harto y harto de este tema estúpido.

 

Si alguien ha hecho alguna vez un túnel con el 3Com 812 y tiene alguna sugerencia, se acepta.

 

Saludos