Birleşik iletişimin dijital çağında, geleneksel analog telefon sistemleri işletmeniz için ne sunabilir? Sıçrama ve VoIP'e geçme zamanı gelmedi mi? Son on…
VoIP telefon sisteminizi kurdunuz, ancak aramaların kesilmesiyle karşılaşıyorsunuz, gelen arama yok veya siz açtıktan sonra telefonunuz çalmaya devam ediyor. İyi haber şu ki, SIP ALG’yi devre dışı bıraktığınızda IP üzerinden Ses sorunlarınızı anında çözebileceksiniz. SIP Nedir bilmiyorsanız bkz: https://www.nolto.com/telekomunikasyon/sip-nedir/
Bu güncellenmiş kılavuzda, SIP ALG‘nin neden kapatılması gerektiğini ele alacağız ve ağınızı VoIP telefon hizmeti için optimize etmek için ipuçları ekleyeceğiz. Bu kılavuz, hem yeni başlayanlar hem de ileri düzey kullanıcılar için idealdir. Başlayalım!
SIP ALG nedir?
Uygulama düzeyinde ağ geçidi olarak da adlandırılan bu teknoloji, çoğu modem ve güvenlik duvarında bulunur. Kullanıcıların güvenli bir güvenlik duvarı yapılandırmasına sahip bir LAN’ın arkasındayken bile SIP çağrılarını daha güvenilir bir şekilde başlatmasına yardımcı olur. ALG, özel IP adreslerini ve bağlantı noktalarını genel IP adreslerine ve bağlantı noktalarına dönüştüren bir ağ adresi çeviri (NAT) aracıdır.
SIP ALG, yönlendiricideki güvenlik duvarı ile ilgili sorunları önlemek için bağımsız bir bellenim programı olarak hareket eder. Veri paketlerinin SDP bölümünü inceler ve doğru şekilde gönderilmeleri için değiştirir.
Ne yazık ki, teknoloji genellikle SIP’nin çok işlemli doğası ve veri paketlerinin hassaslığı nedeniyle SIP çağrılarının kalitesini engeller. Bu nedenle birçok üst düzey SIP sağlayıcısı, yönlendiricinizdeki özelliği devre dışı bırakmanızı söyler.
SIP ALG, ağa bağlı yönlendiricilerin çoğunda bulunan ve güvenlik duvarının bir işlevi olarak çalışan bir özelliktir. Aşağıda açıklanan iki farklı teknolojiden oluşur:
- Oturum Başlatma Protokolü (SIP) – Tüm İnternet Üzerinden Ses Protokolü (VoIP) telefonlarına, uygulamalarına ve cihazlarına güç sağlayan temel hizmet. SIP, cihazları kaydetmeyi, arama varlığını sürdürmeyi ve arama sesini denetlemeyi yönetir.
- Uygulama Katmanı Ağ Geçidi (ALG) – Yönlendiriciler, Ağ Adresi Çevirisi (NAT) olarak bilinen bir işlem aracılığıyla ISS’nizi ve dahili ağınızı bölümlere ayırır. ALG, gelişmiş bağlantı için veri paketlerindeki hedef adresleri yeniden yazmak için bir proxy görevi görür.
Biraz daha bilgi ihtiyacınız varsa, SIP ALG’yi ve neden devre dışı bırakmak isteyebileceğinizi açıklayan aşağıdaki 2 dakikalık videoyu izleyin.
SIP ALG ile ilgili sorun, paketin yeniden yazma yönüdür. SIP ALG, birden fazla NAT’ı azaltmak için faydalı olabilir, ancak büyük çoğunluğa yardımcı olmaz. Bu veri paketlerinde neler olduğuna daha derinlemesine bir göz atalım.
Yukarıdaki şema, Uygulama Katmanı Ağ Geçidinin SIP paketlerindeki hedef genel IP’leri değiştirdiğini göstermektedir. Bazı ticari yönlendiriciler, özel IP adreslerini olduğu gibi bırakmak için SIP mesajlarını kendileri denetleyecek kadar akıllıdır.
Günümüzün ofis santral sistemleri, konferans aramaları ve hatta sesli/görüntülü konferanslar SIP’e güveniyor. SDP, RTP ve RTSP gibi sinyal protokollerinin tümü, SIP paketlerinin bir alt kümesi oldukları için aynı sorunlarla karşı karşıyadır.
SIP ALG Sorunu Belirtileri
SIP ALG’nin VoIP telefonlarını etkileyebileceği birkaç semptom kategorisi vardır. Özellikle bu sorunlar genellikle kullanıcıların haberi olmadan sessizce gerçekleştiğinden, her zaman belirgin değildir.
- Tek yönlü ses (sadece bir kişi diğerini duyabilir)
- Telefonlar arandığında çalmaması
- Çağrı kurulduktan belli bir saniye sonra kesilmesi
- Bilinmeyen bir neden olmadan doğrudan sesli mesaja giden aramalar
Olan şu ki, telefon ve VoIP servis sağlayıcısı arasında bazı VoIP trafiği kayboluyor. Bu kesinti, yönlendirici güvenlik duvarları nedeniyle oluyor. Bu trafik, telefonun kullanılabilirliğini korumak ve uygun ses kodeklerini seçmek için gereklidir.
Birçok yönlendirici, cihazlarının belleniminde varsayılan olarak SIP ALG’yi açar. Kolay ve basit web arayüzleri sayesinde bir kutuyu işaretlemeniz veya işaretini kaldırmanız yeterlidir. Aşağıdaki resim bir örnektir:
SIP ve ALG Nasıl Etkileşime Girer?
SIP ALG’nin modern SIP telefon sistemleri için neden bu kadar sorunlu olduğunu anlamak için, bir SIP araması yapmaya çalışırken dahil olan beş adımlı sürece bir göz atın. SIP, veri bağlantılarının açılmasına ve sonlandırılmasına yardımcı olur, ancak bir SIP çağrısı ile arada birkaç adım vardır. İşte en önemli beş tanesi:
- Davet Etme Aşaması: Bu, bir arama başlatmak için başka bir arayana ulaştığınızda gerçekleşir. Davet senin tarafında başlar.
- Davet Yanıtı Aşaması: Bağlantı gerçekleştiğinde, ilk çeviriciye bir yanıt gönderilir.
- Cevaplama Aşaması: Cevaplama aşaması, aramanın kendisinin değil, gelen aramanın kabul edilmesidir. Sürecin bu kısmı da alıcı tarafta başlatılır.
- Onay Aşaması: Bu, arama bağlantısının son onayıdır. Bu, sizin tarafınızdan (yaratan) gönderilir.
- Çağrı Aşaması: Bu dört adım tamamlandıktan sonra asıl çağrı gerçekleşir. Bu iki yönlü bir bağlantıdır.
Bu, verileri her iki şekilde de gönderen uzun ve karmaşık bir süreç gibi görünse de, yalnızca birkaç saniye içinde tamamlanır. Bağlantı perspektifinden bununla ilgili sorun, beş parçalı bir bağlantı sürecine sahip olmanın, ALG verileri gönderilirken/gelirken değiştirirken paket kaybı için yüksek bir şans anlamına gelmesidir.
ALG Neden Devre Dışı Bırakılmalıdır?
Sistem bir bağlantı girişimini her onayladığında ve onayladığında, ALG gönderilen SIP paketlerini değiştirir. Bunun nedeni, özel IP adreslerinden ve bağlantı noktalarından genele geçişin komut dosyası oluşturma yoluyla yapılmasıdır. Komut dosyası yazmak çok risklidir – bazen çeviri işlemi sırasında mesajın önemli kısımları kaybolur. Bu, VoIP aramalarını farklı şekillerde etkiler:
- Başarısız SIP Registration– Bir arama sırasında birden fazla alındı bilgisi gerektiğinde, herhangi biri başarısız olursa, arama bağlanamaz. Bu, genellikle arka planda çalışan bir SIP ALG’nin doğrudan bir sonucu olan başarısız kayıt olarak adlandırılır.
- Tek Yönlü Ses – Karşı tarafı duyabiliyor musunuz, ancak onlar sizi duyamıyor mu? Bu tek yönlü sesli SIP aramaları, genellikle ya zayıf güvenlik duvarı ayarlarının veya ALG’nin paketleri, aramanın bir ucunda sesin kaybolması için değiştirmesinin sonucudur.
- Çağrı Kalitesinde Düşüş – İnternet tabanlı herhangi bir arama sırasında paketler kaybolduğunda, statik, ses iletiminde kesintiler veya yankılar duymaya başlayacaksınız. Çağrıyı değiştirmek, iletim veya alım sırasında verileri düşürür.
- Çağrı Kopması – Bu yönlendirici hizmetiyle aramayı tamamen kaybedebilirsiniz. Veriler kaybolduğunda ve kurtarılamaz olduğunda, bağlantının kesilmesi kolaydır.
Bir SIP aramasıyla, aramalarınızı olumsuz yönde etkileyen veri paketlerini beklenmedik şekillerde hatalı şekilde değiştirme olasılığı daha yüksektir. Neyse ki, yönlendirici hizmetini devre dışı bırakmak genellikle yönlendirici web arayüzünde kolayca yapılır. Bu özellik cihazınızda yoksa yeni bir modem satın almayı düşünmelisiniz.
SIP ALG Nasıl Kapatılır?
Modem/Firewall Markası | Yapılacak İşlem |
---|---|
Actiontec | Select Advanced, click Yes to accept the warning, then click ALG’s.Ensure SIP ALG is disabled by removing the check.Click Apply. Select Advanced, click Yes to accept the warning, then click Remote Administration. Click the checkbox to Allow Incoming WAN ICMP Echo Requests (for traceroute and ping), then click Apply. For more info, check out this support article. |
Adtran | Under Firewall, go to Firewall / ACLs.Click on ALG Settings.Uncheck the box labeled SIP ALGClick Apply.If you are using the terminal, issue the following command: no ip firewall alg sip |
Arris | Most Arris broadband gateways:Navigate to the gateway’s IP (192.168.0.1). Username: admin Password: motorolaNavigate to Advanced, then Options.Uncheck the SIP box.Click Apply. Arris BGW210Navigate to 192.168.1.254. Authenticate without a username, and use the password located on the unit’s sticker.Under the Firewall section, click on Advanced Firewall. Change the Set SIP ALG setting to off. Turn off the Authentication Header Forwarding. Turn off ESP Header Forwarding.Click Save. |
Asus | Under the Advanced Settings section, click WAN.Click the NAT Passthrough tab.Change the SIP Passthrough setting to “Disable.”Click Apply. |
AT&T | U-Verse Pace 5268AC Gateway This broadband gateway does not support disabling SIP ALG. We recommend configuring your gateway to function only as a modem, not a router (Bridge Mode). You will need to use another router that supports disabling SIP ALG. |
Cisco | Cisco General and Enterprise-Class routers: no ip nat service sip tcp port 5060 no ip nat service sip udp port 5060Cisco PIX routers: no fixup protocol sip 5060 no fixup protocol sip udp 5060Cisco ASA routers: Locate ‘Class inspection_default’ under ‘Policy-map global_policy’. Execute this command: no inspect sip |
D-Link | Click on Advanced Settings.Locate the Application Level Gateway (ALG) Configuration.Uncheck the SIP option.Click Save. DIR-655:Click Advanced, located along the top.Click Firewall Settings on the left side of the screen. Uncheck Enable SPISet both UDP and TCP Endpoint Filtering to Endpoint Independent.Uncheck SIP from Application Level Gateway Configuration.Click Save. |
Fortinet/Fortigate | Use the following commands from the CLI interface: config system session-helper show system session-helperFind the SIP session instance, typically indicated by #12Delete #12 or the appropriate numberConfirm its deletion by executing this command: show system session-helper. For more guidance, follow this article: https://kb.fortinet.com/kb/documentLink.do?externalID=FD36405 |
Linksys | Linksys Smart Wi-Fi (E-series):On the left side of the screen, click on Connectivity. Click the Administration tab. Under Application Layer Gateway, verify SIP is unchecked. Click Apply or Save. Older Linksys models:Go to the ‘Advanced’ section on the Admin pageDisable the SIP ALG feature. Linksys BEFSR41 routers: Click on Applications and Gaming on the Admin page.Click on Port Triggering. Type in ‘TCP’ as the application. Type in ‘5060’ into the Start Port and End Port for the ‘Triggering Range’ and ‘Forwarded Range’ fields.Check ‘Enable’.Click on Save and Reboot. |
Mikrotik | For Mikrotik routers, SIP ALG is known as SIP Helper.Use the company’s winbox software.Navigate to IP, then Firewall. Click on the Service Ports tab and disable it through the GUI. You may also run this command from the terminal: /ip firewall service-port disable sip |
Netgear | For Netgear routers with the Genie interface:Select the Advanced tab at the top. Expand the Setup menu on the left side of the screen. Click WAN Setup.Check the box labeled Disable SIP ALG. Other Netgear routers:Under the Security/Firewall, click on Advanced Settings. Disable SIP ALG.Locate Session Limit under Security/Firewall.Increase the UDP timeout to 300 sec. |
SonicWall | Under System Setup on the left side of the screen, click on VoIP. Check ‘Enable Consistent NAT’Uncheck ‘Enable SIP Transformations’. Click Accept.To increase UDP timeouts, navigate to the Firewall Settings, then Flood Protection. Click on the UDP tab and modify the default UDP connection timeout to 300 seconds. Click the Accept button to save the changes. For more information, consult this support article. |
TP-Link | Newer TP-Link routers (Archer series):Click on the Advanced Tab.Expand the NAT Forwarding menu on the left side of the screen.Uncheck SIP ALG, RTSP ALG, and H323 ALG checkboxes.Click Save. Older TP-Link routers:Use the Telnet client from the Command Prompt.Apply the following command: ip nat service sip sw off |
UBEE | Go to Advanced, then Options.Uncheck the SIP and the RTSP checkboxes.Click Apply. |
Ubiquiti | UniFi Security GatewaySign in to your UniFi security gateway.Click on Routing & Firewall along the left side. Click the Firewall tab at the top and click Settings from the sub-menu.Toggle H.323 and SIP to off.Click the Apply Changes button. EdgeRouters (ER-x)Access the router’s administrative interface, typically at 192.168.1.1.Use the Config Tree or a command-line interface to disable SIP ALG. Config Tree:Select config tree in the top right-hand corner.Expand system, conntrack, modules, and sip. Click the plus sign next to disable.Click the Preview option.Click Apply. Command Line Interface:From the administrative interface, choose CLI located at the top right corner of the screen.From here, we can also increase UDP timeouts as well.Enter these commands into the terminal: configure set system conntrack modules sip disable set system conntrack timeout udp stream 300 set system conntrack timeout udp other 300 commit save exit |
Verizon FiOS | G1100This broadband gateway does not support disabling SIP ALG. We recommend configuring your gateway to function only as a modem, not a router. You will need to use another router that supports disabling SIP ALG. |
ZyXEL | ZyXEL ZyWALL/USG60:Click on Configuration and expand the Network settings.Click ALG along the left side.Uncheck all the checkboxes on the right side: Uncheck Enable SIP ALG.Uncheck Enable SIP Transformations.Click Apply.For more information, consult this help article. ZyXEL C1000Z/C1100Z (CenturyLink):Click on Advanced Setup.Click on SIP ALG along the left side.Toggle the SIP ALG setting to Disable. Click Apply.ZyXEL P600:Telnet to the router (192.168.1.1) and enter the password.The default password is 1234. Type “24” and press enter.Then “8” and press enter.Provide this command: ip nat service sip active 0When done, press Enter. |
Kaynak:
https://forum.huawei.com/enterprise/en/what-is-sip-alg/thread/751947-867