Elastix, NAT e reti routed

La rete locale su cui state operando è composta da più di un segmenti ed è attivato il supporto SIP NAT di Asterisk, potreste incorrere nella situazione in cui funzionino per i telefoni posti in un segmento diverso da quello del pbx le comunicazioni in entrata funzionino perfettamente, mentre se cercate di inoltrare una chiamata in uscita si interrompe dopo pochi secondi (Dando comunicazione dell'interruzione solo dall'altra parte della comunicazione, lasciando il telefono SIP chiamante senza nessuna notifica della chiusura avvenuta).

Va detto che il supporto per i canali SIP di Asterisk risulta un po' lacunoso, soprattutto nel momento in cui operi in ambito NAT, e che la documentazione spesso risulta moltodifficoltosa da reperire (ad esser generosi).

In una prima istanza avevo ipotizzato che il problema fosse con problema con le porte RTP (che vengono attivate dal centralino per veicolare la conversazione verso il telefono) e di conseguenza ho configurato il firewall in modo facesse passare tutti i pacchetti originati dal pbx verso il secondo segmento della rete (che ospita gli altri telefoni). A dir il vero la cosa che mi convinceva poco (visto che comunque le conversazioni nell'altra direzione funzionavano), ma in ogni caso può risultare utile se avete un segmento di rete bloccato come una DMZ (DeMilitarizated Zone). (Qui si può trovare una spiegazione nel dettaglio delle porte da configurare per un firewall bloccato).

Tuttavia poi ho riflettuto che il problema poteva essere nella gestione del NAT di Asterisk, che facendo comunque riferimento al firewall per accedere agli altri segmenti di rete forse doveva essere istruito, difatti questa è la soluzione.

Per configurare questi settaggi su Elastix dovete accedere al menu PBX => PBX Configuration => Unembedded freePBX che vi aprirà una nuova finestra richiedente a sua volta l'autenticazione (admin/admin) se non l'avete modificata in fase di installazione di ElastiX. In tale finestra dovrete selezionare il menù Tools => Asterisk SIP Settings.

La pagina che si aprirà vi permette di settare correttamente tutti gli aspetti della gestione SIP del vostro centralino, la parte che ci interessa in questo post è quella del NAT:

NAT Settings

NAT: yes | no | never | route 
IP Configuration: Public | IP Static | Dynamic IP
Dynamic Host: [ YOUR DYNAMIC HOST ]
Local Networks: [ SUBNET ]  / [ NETMASK ]

<Auto Configure> <Add Local Network Field>

Prima cosa, se utilizzate un centralino telefonico collegato a internet attraverso un ADSL dovrete sapere che tipo di connessione avete.
Ci sono tre scenari possibili:

• il vostro provider vi fornisce un pacchetto di IP pubblici e uno lo avete assegnato al pbx (questo significa che e` direttamente accessibile da ovunque via internet)
• il vostro provider vi fornisce un unico ip statico (che è sempre lo stesso ed è stabilito nella contrattualistica) che utilizzate per collegare tutte le attrezzature collegate a internet attraverso un router che supporta delle funzioni di NAT.
• il vostro provider vi fornisce un unico ip dinamico (che cambia ad ogni connessione) che utilizzate per collegare tutte le attrezzature collegate a internet attraverso un router che supporta delle funzioni di NAT.

Il terzo caso è il più comune, perlomeno in piccole realtà.

Teoricamente una volta settato il tipo di connettività che utilizzate Asterisk è in grado di comprendere il vostro IP pubblico (quello assegnato dal provider al vostro router) anche senza l'ausilio di un IP DynDns, ma utilizzando tale strumento sarete più reattivi in caso la connessione cada e il provider vi assegni un nuovo IP, inoltre quasi tutti i firewalls moderni permettono di configurare un ip dinamico con i servizi gratuiti offerti da DynDNS (http://www.dyndns.com) ed associando l'IP assegnato a un valore alfanumerico, che potrete utilizzare per istruire firewall o altre attrezzature di rete in modo concedano accesso solo al dyndns a voi associato.

La parte Local Networks invece è quella più importante, perchè permetterà di istruire il nostro PBX a gestire quelle reti come locali (o routed) invece che passare dal meccanismo di nat del router.

Difetti che vengono generati da un errata configurazione di questa pagina:

Il telefono collegato a un segmento di rete non impostato a local, se avvia una comunicazione perde la linea dopo pochi secondi, lo stesso telefono riceve correttamente le chiamate.

Chiavi di ricerca usate con scarso risultato nelle mie ricerche:

asterisk firewall multiple lan sip comunication drop down after seconds

asterisk firewall multiple lan

firewall multiple interfaces wlan pfsense asterisk

asterisk rtp firewall

asterisk nat firewall