Работа PJSIP за NAT

Рассмотрим работу PJSIP за NAT на примере CentOS 8 и Asterisk 16.

PJSIP — мультимедийная коммуникационная библиотека, написанная на Си. Поддерживает такие протоколы как SIP, SDP, RTP, STUN, TURN, и ICE. Она сочетает лучшие возможности SIP сигнализации, хорошую проходимость NAT и высокий уровень взаимодействия с приложениями.

Network Address Translation (NAT)

При настройке с помощью chan_sip одноранговые узлы, которые относительно Asterisk расположены за NAT, настраиваются с использованием параметра nat . В Asterisk версии 1.8 и выше доступны следующие параметры nat:

no — Не выполняйте обработку NAT, отличную от RFC 3581.

force_rport — Если параметр rport отсутствует, все равно отправьте ответы на исходный IP-адрес и порт, как если бы присутствовал параметр rport.

comedia — Отправьте медиа на адрес и порт, с которого Asterisk получил его, независимо от того, где SDP указывает, что его следует отправить.

auto_force_rport — Автоматически разрешить отправку ответов на исходный IP-адрес и порт, как если бы присутствовал rport, если Asterisk обнаружит NAT. По умолчанию.

auto_comedia — Автоматически отправлять носитель на порт, с которого Asterisk получил его, независимо от того, где SDP указывает, что его следует отправить, если Asterisk обнаружит NAT.

Версии Asterisk до 1.8 имели меньшую степень детализации для параметра nat:

no — Не выполняйте обработку NAT кроме RFC 3581.

yes — Отправьте медиа на порт, с которого Asterisk получил его, независимо от того, где SDP указывает, что его следует отправить; отправлять ответы на исходный IP-адрес и порт, как если бы присутствовал rport; и переписать SIP-контакт на адрес источника и порт запроса, чтобы последующие запросы перешли на этот адрес и порт.

never — Не выполнять обработку NAT.

route — Отправьте носитель на порт, с которого Asterisk получил его, независимо от того, где SDP указывает, что он должен быть отправлен, и перезапишите SIP-контакт по адресу источника и порту запроса, чтобы последующие запросы перешли на этот адрес и порт.

В chan_pjsip параметры  конечной точки , которые управляют поведением NAT:

• rtp_symmetric — отправляет носитель на адрес и порт, с которого Asterisk получает его, независимо от того, где SDP указывает, что его следует отправить
• force_rport — отправлять ответы на исходный IP-адрес и порт, как если бы порт присутствовал, даже если это не так
• rewrite_contact — переписать SIP. Контакт с адресом источника и портом запроса, чтобы последующие запросы перешли на этот адрес и порт.

Asterisk и телефоны, соединяющиеся через NAT с провайдером.

Этот пример подходит для большинства простых сценариев NAT, которые соответствуют следующим критериям:

Asterisk и телефоны находятся в частной сети.

Существует маршрутизатор, взаимодействующий с частными и общедоступными сетями. Где общедоступная сеть интернет.

Маршрутизатор выполняет функции трансляции сетевых адресов и брандмауэра.

Маршрутизатор настроен для переадресации портов, где он отображает необходимые диапазоны трафика SIP и RTP на ваш внутренний сервер Asterisk.

В этом примере маршрутизатор перенаправляет порты WAN TCP / UDP 5060 и UDP 10000-20000 в LAN 192.168.32.47

Устройства, включенные в пример:

VOIP телефон (201)

192.168.32.21

PC / Asterisk 

192.168.32.47

маршрутизатор

LAN: 192.168.32.1

WAN: 176.214.40.2

ITSP SIP-шлюз        

203.0.103.1 (example.com)

203.0.103.2 (example.com)

Ради полного примера и ясности в этом примере мы используем следующие поддельные детали:

Конфигурация pjsip.conf

Мы предполагаем, что вы уже прочитали Описание параметров конфигурации PJSIP в Asterisk с примерами. Для этого примера c NAT важными параметрами конфигурации, являются local_net , external_media_address и external_signaling_address в разделе типа транспорта и direct_media в разделе конечной точки. Остальные параметры могут зависеть от вашей конкретной конфигурации, модели телефона, сетевых настроек, ITSP и т. д.

local_net — Это IP-сеть, которую мы хотим рассмотреть в нашей локальной сети. Для связи с адресами в этом диапазоне мы не будем применять какие-либо настройки, связанные с NAT.

external_media_address — Это внешний IP-адрес для использования при обработке RTP. Когда запрос или ответ отправляется из Asterisk, если пункт назначения сообщения находится за пределами IP-сети, определенной в опции «local_net», и медиа-адрес в SDP находится в локальной сети, тогда медиа-адрес в SDP будет переписан в значение, определенное для external_media_address.

external_signaling_address — Это очень похоже на настройку external_media_address, но для сигнализации SIP вместо RTP media. Упомянутые здесь две внешние опции должны быть установлены на один и тот же адрес, если вы не разделите сигнальный и медиа трафик и направите на разные IP адреса или сервера..

direct_media — Определяет, медиа поток и направляет RTP трафик непосредственно между конечными точками, или через Asterisk.

Вместе эти параметры гарантируют, что дальний конец знает, куда отправлять обратно пакеты SIP и RTP, а direct_media гарантирует, что Asterisk остается на пути передачи мультимедиа. Это важно, потому что наша система имеет частный IP-адрес, на который SIP провайдер не может направить трафик. Мы хотим убедиться, что трафик SIP и RTP возвращается на адрес WAN / Public Internet нашего маршрутизатора. Разделы с префиксом «sipus» — это все настройки, необходимые для входящих и исходящих соединений магистрали SIP, а разделы с именем 201 предназначены для телефона VOIP.

Пример настройки chan_pjsip(pjsip.conf):

[transport-udp-nat]
type=transport
protocol=udp
bind=0.0.0.0
local_net=192.168.32.0/24
local_net=127.0.0.1/32
external_media_address=176.214.40.2
external_signaling_address=176.214.40.2
 
[sipus_reg]
type=registration
transport=transport-udp-nat
outbound_auth=sipus_auth
server_uri=sip:example.com
client_uri=sip:[email protected]
contact_user=1999888777
retry_interval=60
 
[sipus_auth]
type=auth
auth_type=userpass
password=************
username=1112223333
realm=gw1.example.com
 
[sipus_endpoint]
type=endpoint
transport=transport-udp-nat
context=from-external
disallow=all
allow=ulaw
outbound_auth=sipus_auth
aors=sipus_aor
direct_media=no
from_domain=gw1.example.com
 
[sipus_aor]
type=aor
contact=sip:gw1.example.com
contact=sip:gw2.example.com
 
[sipus_identify]
type=identify
endpoint=sipus_endpoint
match=203.0.103.1
match=203.0.103.2
 
[201]
type=endpoint
context=from-internal
disallow=all
allow=ulaw
transport=transport-udp-nat
auth=201
aors=201
direct_media=no
 
[201]
type=auth
auth_type=userpass
password=*********
username=201
 
[201]
type=aor
max_contacts=2

Для удаленных телефонов за NAT

В приведенном выше примере мы предположили, что телефон находится в той же локальной сети, что и Asterisk. Теперь, возможно, Asterisk выставлен на публичный адрес, и вместо этого ваши телефоны являются удаленными и находятся за NAT, или, возможно, у вас есть сценарий двойной NAT?

В этих случаях вы можете рассмотреть следующие параметры для удаленных конечных точек.

media_address — IP-адрес, используемый в SDP для обработки медиа

Во время создания SDP IP-адрес, определенный здесь, будет использоваться в

качестве медиа-адреса для отдельных потоков в SDP.

rtp_symmetric — Обеспечить, чтобы RTP был симметричным. Отправьте RTP обратно на тот же адрес / порт, с которого мы его получили.

force_rport — Принудительное поведение, совместимое с RFC3581, даже если отсутствует параметр rport. По сути, всегда отправляйте ответы SIP обратно на тот же порт, с которого мы получили запросы SIP.

direct_media — Определяет, может ли носитель передаваться напрямую между конечными точками.

rewrite_contact — Определите, будут ли запросы SIP отправляться на исходный IP-адрес и порт вместо адреса, предоставленного конечной точкой.

Таким образом, следующее эквивалентно: