FortiGate Firewall-da SIP/VoIP Trafikini Sərbəst Buraxmaq: SIP ALG Nədir və Necə İdarə Olunur?
FortiGate Firewall-da SIP/VoIP Trafikini Sərbəst Buraxmaq: SIP ALG Nədir və Necə İdarə Olunur?
Müasir şəbəkələrdə Səsli IP (VoIP) əsaslı rabitə (məsələn, IP telefonlar, softphone proqramları) getdikcə daha çox yayılır. Lakin firewall cihazları, o cümlədən FortiGate, təhlükəsizlik məqsədilə bəzən bu səs paketlərini təhdid kimi qəbul edib bloklaya bilər. Bu halda zənglərin kəsilməsi, bir tərəfli səs ötürülməsi və ya zəngin heç qurulmaması kimi problemlər yaranır.
Bu məqalədə, FortiGate firewall-da VoIP trafikini optimal şəkildə idarə etmək üçün SIP ALG (Application Layer Gateway) və Session Helper parametrlərini necə konfiqurasiya edəcəyinizi izah edəcəyik.
SIP ALG (SIP Session Helper) Nədir və Niyə Problem Yaradır?
SIP ALG, firewall-un SIP protokolu ilə əlaqəli paketləri avtomatik olaraq yoxlamasına, dəyişdirməsinə və yönləndirməsinə kömək edən xüsusi bir funksiyadır. Bu funksiya NAT (Network Address Translation) tətbiq olunan şəbəkələrdə VoIP trafikinin düzgün işləməsi üçün nəzərdə tutulmuşdur.
Lakin bəzən SIP ALG öz işini düzgün yerinə yetirmir və paketlərə yanlış müdaxilələr edir. Bu, səs paketlərinin səhv IP ünvanlarına yönləndirilməsinə və nəticədə VoIP rabitəsinin pozulmasına səbəb olur.
SIP ALG-nin yaratdığı problemlər:
- Zənglər bir müddət sonra kəsilir.
- Zəngin yalnız bir tərəfinin səsi eşidilir.
- Daxil olan zənglər heç vaxt işləmir.
- Qarşı tərəf zəngin statusunu (məsələn, zəngin bitdiyini) düzgün müəyyən edə bilmir.
FortiGate-də SIP ALG və Session Helper-i Söndürməyin Yolu
SIP ALG adətən bir çox halda problemlər yaratdığı üçün, onu söndürmək və VoIP trafikinin sərbəst axışını təmin etmək daha yaxşı bir həll yolu hesab olunur. Bu əməliyyat üçün CLI (Komanda Sətiri) interfeysindən istifadə edilməlidir.
Aşağıdakı komandaları ardıcıl icra etməklə SIP ALG və RTP (Real-time Transport Protocol) funksiyalarını söndürə bilərsiniz:
1. Sistem Ayarlarının Dəyişdirilməsi
Bu addım sistem səviyyəsində VoIP helper-lərini söndürmək üçündür.
config system settings
set sip-helper disable
set sip-nat-trace disable
set default-voip-alg-mode kernel-helper-based
end
set sip-helper disable: SIP protokolu üçün avtomatik helper funksiyasını söndürür.set sip-nat-trace disable: SIP NAT izləməsini söndürür.set default-voip-alg-mode kernel-helper-based: VoIP paketlərinin idarə edilməsi üçün kernel səviyyəsində helper-lərə əsaslanacağını göstərir.
2. Session Helper-lərin Təmizlənməsi
FortiGate bəzi protokollar üçün Session Helper-lərdən istifadə edir. SIP Session Helper-in silinməsi bu funksiyanın tamamən deaktiv olunmasını təmin edir.
config system session-helper
show
delete 13
end
show: Bütün mövcud Session Helper-lərin siyahısını göstərir. SIP-ə aid olan helper-in ID-sini tapmaq üçün bu komandadan istifadə edin. Standart olaraq, SIP helper-in ID-si 13-dür, lakin bu versiyadan asılı olaraq dəyişə bilər.delete 13: Tapdığınız SIP helper-ini silir.
3. VoIP Profilinin Dəyişdirilməsi
Bu addım RTP (Real-time Transport Protocol) paketlərinə firewall tərəfindən edilən müdaxiləni aradan qaldırır.
config voip profile
edit default
config sip
set rtp disable
end
end
config voip profile: VoIP profil konfiqurasiyasına daxil olur.edit default: Standart VoIP profilini redaktə edir.set rtp disable: RTP trafikinin idarə edilməsini (monitorinqini və ya müdaxiləsini) söndürür.
4. Yenidən Başlatma
Bütün bu dəyişikliklərin tam tətbiq olunması üçün FortiGate cihazının yenidən başladılması tövsiyə olunur.
execute reboot
Növbəti Addımlar
SIP ALG-ni söndürdükdən sonra, bəzi VoIP sistemlərində düzgün işləmə üçün firewall qaydalarında NAT funksiyasını fixed-port kimi təyin etmək lazım ola bilər. Bu, SIP serverin sabit bir port istifadə etməsinə kömək edir.
Other resources:
https://community.fortinet.com/t5/FortiGate/Technical-Tip-Parameters-to-be-checked-on-FortiGate-when-using/ta-p/267268https://www.3cx.com/community/threads/fortigate-sip-alg-removal-update.76234/
https://www.3cx.com/docs/fortigate-firewall-configuration/
Author
