> Hugues Voiturier a écrit :
> Soyez rassurés, avec IPv6, il n’y aura plus de NAT et le SIP passera comme
> une lettre à la poste ! ;-)
Oh, attends un peu; 6RD | 464XLAT | NAT-PT | MAP-E | MAP-T | NAT64 | NAT464
c'est quoi tout çà ?
Et, depuis 20 ans, c'est l'année prochaine que çà arrive ;-)
> Fabien H a écrit :
> Tu poses juste un téléphone sur le LAN du client qui va s'enregistrer sur
> l'Asterisk quelque part sur Internet, et ça marche.
C'est un cas simplissime, et/ou simpliste.
J'ai des sites avec 1 FAI, j'ai des sites avec 2 FAI, j'ai des sites qui ont
leur propre Asterisk, avec IAX d'Asterisk à Asterisk, d'autres sites ou les
téléphones SIP se connectent sur l'Asterisk du site central, j'ai des clients
SIP sur les portables, j'ai des clients SIP sur le WiFi interne, j'ai des
clients SIP qui se connectent de chez Starbucks, j'ai des extensions sans
numéro public qui sont limitées à certaines parties. Et tout çà, il faut que çà
puisse parler de l'un à l'autre, avec un annuaire commun.
> Oui ! Enfin mettre un serveur SIP derrière du NAT quand on a la main sur
> l'hébergement, c'est quand même chercher un peu les problèmes dès le début :-)
NAT ou pas c'est presque le même problème, en entreprise : il faut forcément
que l'Asterisk ait une patte à l'intérieur du réseau; avec plusieurs centaines
de téléphones IP tu mets forcément çà à l'intérieur, vu que en plus de la
téléphonie il y a aussi d'autres choses comme la synchronisation de l'annuaire.
Ce qui te laisse le choix :
- Soit tu mets une deuxième carte réseau (ou VLAN) sur ton Asterisk avec une IP
publique (faut bien qu'il parle SIP avec tes fournisseurs); dans ce cas là tu
évites NAT mais çà ne t'enlève pas le problème de la configuration du pare-feu
qui n'est pas vraiment mieux que NAT; et ce n'est pas simple, car quand tu as
plusieurs VLANs en interne if faut maintenant que tu installes les routes vers
ces VLANs dans ton Asterisk, car la passerelle par défaut pointe vers
l'Internet. Ne pas oublier la partie routage et pare-feu pour les
télé-travailleurs avec un client SIP, avec et sans VPN.
- Soi tu gardes ton Asterisk avec une adresse privée, ce qui simplifie le
routage, et tu te tapes NAT.
> David Ponzone a écrit :
> Et si serveur et client sont derrière du NAT, c’est quand même une sacré
> merde, et ça fait du support.
Et tu n'as pas le choix : quel que soit le système, il y aura toujours une
partie derrière NAT et une autre pas.
NAT c'est crade, mais c'est indispensable. Petit cas d'école : j'ai plein de
sites qui ont 2 FAI (pour la redondance); {FTTO | xDLS | Cable | WISP }.
Comment je fais, sans NAT ?
Je prends un /24 PI et BGP full-feed vers les 2 FAI (si disponible), et les
adresses PI sur les postes de travail ?
Faut être réaliste : NAT et les adresses privées RFC1918, c'est impossible à
enlever. D'ailleurs, dans la téléphonie, c'est la même chose : j'ai des
centaines d'extensions qui n'ont pas de DID, certaines n'ont pas la possibilité
de placer des appels vers l'extérieur, La partie privée de la téléphonie en
entreprise existe depuis plus longtemps que l'Internet.
Ce qu'il aurait fallu faire, il y a 20 ans, c'est concevoir SIP en comprenant
que NAT et les pare-feu avec état çà aller rester, au lieu de pondre ce
protocole de merde qui nécessite des bidouilles incessantes pour le faire
marcher.
Michel.
---------------------------
Liste de diffusion du FRnOG
http://www.frnog.org/
