FortiGate SIP ALG ve NAT Sorunları

Bu makale, FortiGate firewall kullanılan ağlarda SIP Trunk kurulumunda sıkça karşılaşılan sorunları ve bu sorunların çözümüne yönelik teknik adımları açıklamaktadır. Özellikle, FortiGate’in varsayılan SIP ALG (Application Layer Gateway) ayarlarının açık olması, SIP Session Helper tanımları ve NAT (Network Address Translation) yapılandırmasındaki hatalar, SIP Trunk kurulumlarında yaygın sorunlara yol açmaktadır. Aşağıda, bu sorunların nedenleri ve çözüm adımları detaylı bir şekilde ele alınmıştır.

Sorunun Kaynağı

1. FortiGate SIP ALG ve Session Helper Tanımları

FortiGate firewall cihazlarında, SIP ALG özelliği ve SIP Session Helper varsayılan olarak açıktır. SIP ALG, SIP (Session Initiation Protocol) trafiğini izler ve genellikle NAT traversali kolaylaştırmak için SIP başlıklarını değiştirir. Ancak, bu özellik, IP santral veya SIP Trunk hizmet sağlayıcısı tarafından zaten NAT yapılandırması yapılmışsa çakışmalara neden olabilir. Benzer şekilde, SIP Session Helper, ses paketlerini bir tehdit olarak algılayarak engelleyebilir. Bu durum, çağrıların kesilmesi, tek taraflı ses, kayıt sorunları veya bağlantı kopmaları gibi problemlere yol açar.

2. NAT Yapılandırması

SIP Trunk hizmet sağlayıcısına yönelik firewall kuralında NAT’ın açık olması, IP santral tarafında zaten uygulanan NAT ile çakışabilir. Bu, SIP paketlerinin yanlış yönlendirilmesine veya bozulmasına neden olur. Çoğu durumda, IP santral zaten NAT işlemini gerçekleştirdiğinden, firewall üzerinde ek bir NAT uygulanmamalıdır. Ayrıca, NAT yapılırken portların korunması için “fixed” seçeneği işaretlenmelidir.

3. IT Yöneticilerinin Bilgi Eksikliği

Birçok IT yöneticisi, FortiGate’in varsayılan SIP ALG ayarlarının, Session Helper’ların veya yanlış NAT yapılandırmalarının SIP Trunk performansını etkileyebileceğinin farkında değildir. Bu durum, sorunların tespitini ve çözümünü zorlaştırır.

Çözüm Adımları

Aşağıdaki adımlar, FortiGate firewall üzerinde SIP Trunk kurulumunu optimize etmek ve yaygın sorunları çözmek için uygulanmalıdır.

1. SIP ALG ve Session Helper’ı Devre Dışı Bırakma

FortiGate üzerinde SIP ALG ve SIP Session Helper’ı devre dışı bırakmak, çakışmaları önlemek için kritik bir adımdır. Bu işlem, FortiGate’in CLI (Command Line Interface) üzerinden yapılmalıdır.

CLI ile SIP ALG ve Session Helper’ı Devre Dışı Bırakma

FortiGate CLI’ya erişin ve aşağıdaki komutları çalıştırın:

config system settings
set sip-helper disable
set sip-nat-trace disable
set default-voip-alg-mode kernel-helper-based
end

config system session-helper
delete 13
end

config voip profile
edit default
config sip
set rtp disable
end
end

execute reboot

Not: Yukarıdaki komutlar, SIP Session Helper’ı (genellikle ID 13) siler ve RTP ile ilgili ayarları devre dışı bırakır. Cihazın yeniden başlatılması, değişikliklerin uygulanması için gereklidir.

2. NAT Ayarlarını Doğrulama ve Düzeltme

SIP Trunk hizmet sağlayıcısına yönelik firewall kuralında NAT’ın doğru yapılandırıldığından emin olun. IP santral tarafında NAT zaten yapılandırılmışsa, firewall üzerinde ek bir NAT işlemi uygulanmamalıdır. Ayrıca, NAT yapılırken portların korunması için “fixed” seçeneği etkinleştirilmelidir.

NAT’ı Yapılandırma ve Fixed Port Ayarını Etkinleştirme

  1. Policy & Objects > IPv4 Policy bölümüne gidin.
  2. SIP Trunk için oluşturulan kuralı bulun (örneğin, IP santralden hizmet sağlayıcı IP’sine giden kural).
  3. Kuralı düzenleyin ve NAT seçeneğini Disable olarak ayarlayın.
  4. Eğer NAT kullanımı gerekiyorsa, Use Outgoing Interface Address seçeneğini seçin ve Fixed Port kutusunu işaretleyin.
  5. Değişiklikleri kaydedin ve kuralı uygulayın.

Örnek Kural Yapılandırması:

  • Kaynak: IP Santral’in iç IP adresi (örn. 192.168.1.100)
  • Hedef: SIP Trunk hizmet sağlayıcısının IP adresi (örn 203.0.113.10)
  • Servis: SIP (genellikle UDP 5060 ve RTP portları: UDP 10000-20000)
  • NAT: Kapalı (Disable) veya Fixed Port ile etkin
  • Fixed Port: Etkin (NAT kullanılırken portların korunması için)

3. Gerekli Portların Açılması

SIP Trunk için gerekli portların firewall üzerinde açık olduğundan emin olun:

  • SIP Sinyalizasyon: UDP 5060 (veya hizmet sağlayıcısının belirttiği port)
  • RTP (Real-time Transport Protocol): Genellikle UDP 10000-20000 (hizmet sağlayıcısına bağlı olarak değişebilir)

Bu portlar için bir firewall kuralı oluşturun ve NAT’ın kapalı olduğundan veya Fixed Port seçeneğinin etkin olduğundan emin olun.

Gösterim: 10

Benzer Yazılar

Dect ve IP-Dect Nedir?

DECT, kablosuz (Telsiz) telefon sistemleri oluşturmak için kullanılan bir standarttır. Digital enhanced cordless telecommunications veya Digital European cordless telecommunications kısaltmasıdır…

Çağrı Merkezi Nedir?

Çağrı merkezi, telefonla çok sayıda sorguyu almak veya iletmek için kullanılan, merkezi veya uzak olabilen yönetilen bir yetenektir. İngilizce "Call…