Forum
Bildirimler
Hepsini Temizle
Fortinet
13
Yazılar
4
Üyeler
0
Reactions
2,064
Görüntüleme
Konu başlatıcı
Firewalllar üzerinde layer5 de çalışan h323,sip vb. ses protokollerinin ip address, media port bilgilerini layer3deki NAT işlemine benzer şekilde
manipule eden bir özellik vardır. BU özellik ALG olarak geçer. Açılımı Application Layer Gatewaydir.
Alınan tracelere bakılır ise fortigate firewall da bu özelliği destekliyor.Yalnız problem Sip protokolünde SDP içindeki media port bilgisini default
rtp range olan 16000-32000 dışındaki portlara map ediyor. Bu da sinyalleşmede problem çıkarıyor.
Olması gereken durum media portunun 32000 üzerinde bir porta natlanmamasıdır.
Firewall üzerinde ALG özelliği disable edilebilir ise veya NAT işlemini firewall değil de ADSL modem yapabilir ise sistem çalışacaktır.
http://kc.forticare.com/default.asp?id=3667&Lang=1&SID=
SIP Invite fails when SIP session helper is enabled
http://kc.forticare.com/default.asp?id=3546&Lang=1&SID=
http://docs.forticare.com/fgt/techdocs/FortiGate_H.323_Support_01-30005-0178-20070822.pdf
To disable the SIP session helper use the following command:
config system settings
set sip-helper disable
end
In FortiOS v3.0 MR6 and later releases, rather than disabling the
SIP session helper, you can use the following CLI command to stop
adding the original IP address to the Session Information field:
config system settings
set sip-nat-trace disable
end
Gönderildi : 20/05/2008 13:56
Konu başlatıcı
eskiden beri fortinetin voip sıkıntısı mevcuttu
ama ben yukarıdakiler ile çözüm sunabildim
bilginize
Gönderildi : 20/05/2008 14:47
Teşekkürler Savaş hocam
Gönderildi : 23/05/2008 16:33
Konu başlatıcı
r.e.
Gönderildi : 23/05/2008 16:53
merhaba Savaş hocam
Bende bu sıkıntıdan dolayı canı bi hayli sıkılan vefortigate in ses paketlerini geçirmediğini öğrenenlerdenim .
Geçenlerde bi Gsm operatörü ile yapacağımız bir çalışma için adsl modemi bridge moda aldım dolayısıyla Voip gitti çünkü voip adsl de sonlanıyordu .Daha sonra santralcimiz ile birlikte fortigate te bütün ayarları yaptık voip ile ilgili fortigate tarafınıda ve telefon çalıyor fakat açtıgı zaman karsı taraf mesgule düşüyordu yani ses paketleri droplanıyor ve bu çalımayı erteledik kafamdaki IP-SEC vpn de bridge mod da çalıştığından sıkıntıya girdi .
Şimdi ben IP-Sec vpn yapmak istiyorum fakat voip im var bridge moda almadan nasıl yapacağım yada ses paketlerini nasıl geçireceğim bridge modda .. NAT işlemini firewall değil de ADSL modem yapabilir demişsin ki şuan öyle ama ben Ip-sec vpn istediğimden bridge moda almalıyım, birde
Firewall üzerinde ALG özelliği disable edilebilir demişsin bu özelliği disable edersem negibi tehditlerle karşılaşırım yukarıda bahsetmişsin tam anlamadım .Sonuç olarak şuan ki sistemde Fortigate adsl modemin arkasında Voip var ve voip fortigate e ugramıyor problem yok ben Ip sec yapmak istiyorum bridge moda almam gerekiyormuş voip ne olacak bridge moda almadan vpn yaplıabilirmiki sanmıyorm ozaman voip i nasıl çözeceğiz ..denemelerini en kısa sürede yapmalıyım
Fortigate Firmware Version: Fortigate-60B 3.00-b5101(MR5 Patch 2)
iyi çalışmalar ..
Gönderildi : 26/11/2008 00:31
merhabalar
tranparent mode ile ilgili fatih beyin makalesi var oradan sıkıntınızı halledebilirsiniz
kolay gelsin
Gönderildi : 26/11/2008 13:17
transparent mode yapılandırılması
Gönderildi : 26/11/2008 13:21
Transparent mod için yapılan dğişikliklerin ne doğurucagınbı tam kestiremiyorum denemeden .
Yapıyı bozmak istemiyorum aslında bu yapıda sadece bi kaç ayar değişikliği ile ses paketlerini geçirmek istiyorum mümkünse . .
ALG özelliğini nasıl disable edebilirim Savaş hocam edersem ses paketlerini attack olarak görmez ve iletirmi ?
Gönderildi : 27/11/2008 12:23
Konu başlatıcı
transparent yaparsanız zaten voip çalışır nat mode için geçerli söylediğimiz
ve onun içinde komutlar kullanıp policylerle çözülüyor
selamlar
Gönderildi : 27/11/2008 12:44
Ben NAT Modda voip i çalıştırmak istiyorum bozmak istemiyorum şuanki yapıyı.
Nat modda geçerli olan o komutlar ve policyle ihtiyacım var paylaşırmısınız komut ve policyleri ?
Gönderildi : 27/11/2008 12:52
Konu başlatıcı
komutları zaten vermiştim
config system settings
set sip-helper disable
end
In FortiOS v3.0 MR6 and later releases, rather than disabling the SIP session helper, you can use the following CLI command to stop adding the original IP address to the Session Information field:
config system settings
set sip-nat-trace disable
end
denedinizmi ?
Gönderildi : 27/11/2008 13:21
komutu girdim gelen cevap aşşağıdaki gibi
FGT60B390750 # config system settings
FGT60B390750 (settings) #
FGT60B390750 (settings) # set sip-helper disable
FGT60B390750(settings) #
FGT60B390750 (settings) # end
FGT60B390750 #
FGT60B390750#
FGT60B3907506399 #
FGT60B390750 # In FortiOS v3.0 MR6 and later releases, rather than disabling the SIP session helper, you can use the following CLI command to stop adding the original IP address to the Session Information field:
Unknown action 0
FGT60B390750 #
FGT60B390750 #
FGT60B390750 #
FGT60B390750 # config system settings
FGT60B390750(settings) #
FGT60B390750 (settings) # set sip-nat-trace disable
command parse error before 'sip-nat-trace'
Command fail. Return code -61
FGT60B390750(settings) #
FGT60B390750 (settings) # end
FGT60B390750 #
FGT60B390750 #
olmadı sanırım ne anlama geliyor ? acil bu komutlarla bi şekilde disable etmeliyim şuan
Gönderildi : 27/11/2008 14:27
Konu başlatıcı
merhaba;
acil çözüm için bizimle iletişime geçiniz bir yerde hata yapıyorsunuz yada eksik bilgi verdiniz
selamlar
Gönderildi : 04/12/2008 00:50
