Discussion:
[TECH] Config SFR Voix en IP publiques ?
David Ponzone
2014-09-01 13:30:41 UTC
Permalink
Bonjour,

En jouant avec la configuration VoIP d’un client à nous qui était chez SFR pour Data et VoIP, j’ai découvert que les téléphones IP Polycom étaient adressés avec des IP publiques (93.20.94.6/XX gw 93.20.94.1).
Je n’ai pas eu le temps d’analyser plus, donc je ne sais pas si les postes sont quand même derrière du NAT (et donc ils utilisent un petit/moyen/grand range public comme du privé) ou s’ils sont juste routés/filtrés.
Dans le meilleur des cas, si le préfixe que SFR utilise pour cette numérotation est large, c’est encore un préfixe public qui est gâché.

Si quelqu’un connait la config précise (idéalement un collaborateur de SFR) pour nous éclairer sur ce choix technique et la raison technique qui est derrière, cela serait intéressant.

Merci


---------------------------
Liste de diffusion du FRnOG
http://www.frnog.org/
Aurélien
2014-09-01 13:35:36 UTC
Permalink
Post by David Ponzone
Bonjour,
En jouant avec la configuration VoIP d’un client à nous qui était chez SFR
pour Data et VoIP, j’ai découvert que les téléphones IP Polycom étaient
adressés avec des IP publiques (93.20.94.6/XX gw 93.20.94.1).
Je n’ai pas eu le temps d’analyser plus, donc je ne sais pas si les postes
sont quand même derrière du NAT (et donc ils utilisent un petit/moyen/grand
range public comme du privé) ou s’ils sont juste routés/filtrés.
Dans le meilleur des cas, si le préfixe que SFR utilise pour cette
numérotation est large, c’est encore un préfixe public qui est gâché.
Si quelqu’un connait la config précise (idéalement un collaborateur de
SFR) pour nous éclairer sur ce choix technique et la raison technique qui
est derrière, cela serait intéressant.
Bonjour,

Je ne connais pas du tout le contexte, mais peut-être sont-ce des IPs
publiques de SFR qui sont utilisées comme des RFC1918, mais locales à
chaque site, afin d'uniformiser la configuration entre les sites clients,
et de minimiser les collisions possibles avec le routage client ?

Cordialement,
--
Aurélien Guillaume

---------------------------
Liste de diffusion du FRnOG
http://www.frnog.org/
Régis M
2014-09-02 10:14:00 UTC
Permalink
Intéressant... :)

Personnellement, les polycoms que j'ai manipulé ne savait pas géré le NAT
(il y a 3 à 4 ans).... peut-être est-ce pour ne pas avoir à monter un
réseau privé pour faire marcher leur centrex :)
Après, vu le nombre de postes déployés, je penche plus pour l'idée
d'Aurélien effectivement..

J'ai justement des téléphones SFR business team à appeler et si je peux les
joindre "directement" en IP, ca serait sympa :)

Cordialement,
Post by David Ponzone
Post by David Ponzone
Bonjour,
En jouant avec la configuration VoIP d’un client à nous qui était chez
SFR
Post by David Ponzone
pour Data et VoIP, j’ai découvert que les téléphones IP Polycom étaient
adressés avec des IP publiques (93.20.94.6/XX gw 93.20.94.1).
Je n’ai pas eu le temps d’analyser plus, donc je ne sais pas si les
postes
Post by David Ponzone
sont quand même derrière du NAT (et donc ils utilisent un
petit/moyen/grand
Post by David Ponzone
range public comme du privé) ou s’ils sont juste routés/filtrés.
Dans le meilleur des cas, si le préfixe que SFR utilise pour cette
numérotation est large, c’est encore un préfixe public qui est gâché.
Si quelqu’un connait la config précise (idéalement un collaborateur de
SFR) pour nous éclairer sur ce choix technique et la raison technique qui
est derrière, cela serait intéressant.
Bonjour,
Je ne connais pas du tout le contexte, mais peut-être sont-ce des IPs
publiques de SFR qui sont utilisées comme des RFC1918, mais locales à
chaque site, afin d'uniformiser la configuration entre les sites clients,
et de minimiser les collisions possibles avec le routage client ?
Cordialement,
--
Aurélien Guillaume
---------------------------
Liste de diffusion du FRnOG
http://www.frnog.org/
---------------------------
Liste de diffusion du FRnOG
http://www.frnog.org/
Michel Py
2014-09-03 03:42:30 UTC
Permalink
Personnellement, les polycoms que j'ai manipulé ne savait pas géré le NAT (il y a 3 à 4 ans)....
Ce n'est pas que les Polycoms. SIP est un protocole qui a été conçu pour ne pas traverser NAT, toutes les marques sont dans le même bateau. Faut être fou pour faire du SIP à travers NAT, c'est des emmerdes à n'en plus finir. Donc tout le monde fait un VLAN pour les téléphones SIP qui ne traverse pas NAT.
peut-être est-ce pour ne pas avoir à monter un réseau privé pour faire marcher leur centrex :)
Après, vu le nombre de postes déployés, je penche plus pour l'idée d'Aurélien effectivement..
<troll>
Ils pourraient utiliser le 30.net, comme tout le monde.
</troll>

Michel.


---------------------------
Liste de diffusion du FRnOG
http://ww
Raphaël Jacquot
2014-09-03 06:21:53 UTC
Permalink
Post by Michel Py
Personnellement, les polycoms que j'ai manipulé ne savait pas géré le NAT (il y a 3 à 4 ans)....
Ce n'est pas que les Polycoms. SIP est un protocole qui a été conçu pour ne pas traverser NAT, toutes les marques sont dans le même bateau. Faut être fou pour faire du SIP à travers NAT, c'est des emmerdes à n'en plus finir. Donc tout le monde fait un VLAN pour les téléphones SIP qui ne traverse pas NAT.
d'ailleurs, ca serait pas plus simple de passer tout ca en ipv6 ?



---------------------------
Liste de diffusion du FRnOG
http://www.frnog.org/
David Ponzone
2014-09-03 06:49:45 UTC
Permalink
Va falloir trouver un téléphone SIP qui est IPv6. Ca limite "un peu" le choix.
Post by Raphaël Jacquot
Post by Michel Py
Personnellement, les polycoms que j'ai manipulé ne savait pas géré le NAT (il y a 3 à 4 ans)....
Ce n'est pas que les Polycoms. SIP est un protocole qui a été conçu pour ne pas traverser NAT, toutes les marques sont dans le même bateau. Faut être fou pour faire du SIP à travers NAT, c'est des emmerdes à n'en plus finir. Donc tout le monde fait un VLAN pour les téléphones SIP qui ne traverse pas NAT.
d'ailleurs, ca serait pas plus simple de passer tout ca en ipv6 ?
---------------------------
Liste de diffusion du FRnOG
http://www.frnog.org/
---------------------------
Liste de diffusion du FRnOG
http://www.frnog.org/
Michel Py
2014-09-04 02:20:45 UTC
Permalink
Est-ce que quelqu'un de l'autre coté de la mare voit venir récemment des DDoS utilisant SSDP uPNP sur le port 1900 ? Je viens d'en voir une passer, ni mieux ni pire que d'habitude mais çà semble être la dernière mode ici.

Michel.


---------------------------
Liste de diffusion du FRnOG
http://www.frnog.org/
David Ponzone
2014-09-04 06:38:33 UTC
Permalink
http://blog.sucuri.net/2014/09/quick-analysis-of-a-ddos-attack-using-ssdp.html

Mais je ne comprend pas l’angle d’attaque de ce DDoS. Est-ce qu’on parle de CPE mal configurés qui honorent des requêtes SSDP SEARCH qui viennent d’Internet ?
Post by Michel Py
Est-ce que quelqu'un de l'autre coté de la mare voit venir récemment des DDoS utilisant SSDP uPNP sur le port 1900 ? Je viens d'en voir une passer, ni mieux ni pire que d'habitude mais çà semble être la dernière mode ici.
Michel.
---------------------------
Liste de diffusion du FRnOG
http://www.frnog.org/
---------------------------
Liste de diffusion du FRnOG
http://www.frnog.org/
Michel Py
2014-09-04 16:31:09 UTC
Permalink
Donc pour résumer, ça veut quand même dire que la merde en plastique,
elle laisse rentrer du SSDP vers une IP unicast sur le port WAN?
https://community.rapid7.com/community/infosec/blog/2013/01/29/security-flaws-in-universal-plug-and-play-unplug-dont-play
Elle était pas trop sur mon radar celle là, d'une part parce que c'était pas encore la mode du jour, d'autre part parce qu'elle est assez facile à mitiger chez l'upstream.
qq pics entre 5 et 10Gb/s quasi-quotidiens, une pointe à 20Gb/s.
Je me demande pourquoi. Ils ont rien de mieux à se mettre sous la dent ces jours-ci ?
Tu fais quoi pour mitiger ? bloque le port 1900 ou plus subtil qui comprend que c'est du SSDP ?

Michel.


---------------------------
Liste de diffusion du FRnOG
http://www.frnog.org/

David Ponzone
2014-09-03 07:06:25 UTC
Permalink
Michel,
Post by Michel Py
Personnellement, les polycoms que j'ai manipulé ne savait pas géré le NAT (il y a 3 à 4 ans)....
Ce n'est pas que les Polycoms. SIP est un protocole qui a été conçu pour ne pas traverser NAT, toutes les marques sont dans le même bateau. Faut être fou pour faire du SIP à travers NAT, c'est des emmerdes à n'en plus finir. Donc tout le monde fait un VLAN pour les téléphones SIP qui ne traverse pas NAT.
Ca fait longtemps que les opérateurs qui ont besoin de faire du SIP à travers NAT utilisent des softswitch/Centrex/class 5/SBC sérieux qui font de l’autoNAT (également appelé RTP-autoadjust, NAT autolearn, etc…) et qui affranchissent totalement d’avoir à gérer le NAT du côté du téléphone SIP (ou MGCP d’ailleurs).
Après, quand l’opérateur gère le lien et le LAN du client, il va en effet préférer laisser la téléphonie en IP privées routées, c’est indéniable.
Pour ma part, c’est surtout pour des raisons de facilité de management distant des équipements.
Mais les emmerdes en faisant du NAT sont très relatives. Pour ma part, j’ai surtout rencontré des ennuis à cause d’équipements buggés (Draytek pour ne pas les citer).
Il y aussi le cas du routeur client qu’on ne contrôle pas, qui a un SIP ALG qui met le bordel et qu’on ne peut pas désactiver. Un bon SoftSwitch s’en sortira quand même (FreeSWITCH), un moins bon sera peut-être gêné.

Cela étant dit, je te rejoins sur le fait que SIP n’a pas été conçu pour ça et ce que je viens de décrire est un hack pour contourner le problème.


---------------------------
Liste de diffusion du FRnOG
http://www.frnog.org/
Pierre DOLIDON
2014-09-03 12:21:32 UTC
Permalink
l'inspection SIP ça existe quand même... et heureusement ! (de même que
l'inspection FTP pour ne pas avoir besoin de se faire chier à ouvrir
10000 ports pour le FTP passif...)
Post by David Ponzone
Michel,
Post by Michel Py
Personnellement, les polycoms que j'ai manipulé ne savait pas géré le NAT (il y a 3 à 4 ans)....
Ce n'est pas que les Polycoms. SIP est un protocole qui a été conçu pour ne pas traverser NAT, toutes les marques sont dans le même bateau. Faut être fou pour faire du SIP à travers NAT, c'est des emmerdes à n'en plus finir. Donc tout le monde fait un VLAN pour les téléphones SIP qui ne traverse pas NAT.
Ca fait longtemps que les opérateurs qui ont besoin de faire du SIP à travers NAT utilisent des softswitch/Centrex/class 5/SBC sérieux qui font de l’autoNAT (également appelé RTP-autoadjust, NAT autolearn, etc…) et qui affranchissent totalement d’avoir à gérer le NAT du côté du téléphone SIP (ou MGCP d’ailleurs).
Après, quand l’opérateur gère le lien et le LAN du client, il va en effet préférer laisser la téléphonie en IP privées routées, c’est indéniable.
Pour ma part, c’est surtout pour des raisons de facilité de management distant des équipements.
Mais les emmerdes en faisant du NAT sont très relatives. Pour ma part, j’ai surtout rencontré des ennuis à cause d’équipements buggés (Draytek pour ne pas les citer).
Il y aussi le cas du routeur client qu’on ne contrôle pas, qui a un SIP ALG qui met le bordel et qu’on ne peut pas désactiver. Un bon SoftSwitch s’en sortira quand même (FreeSWITCH), un moins bon sera peut-être gêné.
Cela étant dit, je te rejoins sur le fait que SIP n’a pas été conçu pour ça et ce que je viens de décrire est un hack pour contourner le problème.
---------------------------
Liste de diffusion du FRnOG
http://www.frnog.org/
---------------------------
Liste de diffusion du FRnOG
http://www.frnog.org/
Raphael Mazelier
2014-09-03 12:29:27 UTC
Permalink
Post by Pierre DOLIDON
l'inspection SIP ça existe quand même... et heureusement ! (de même que
l'inspection FTP pour ne pas avoir besoin de se faire chier à ouvrir
10000 ports pour le FTP passif...)
Alors honnêtement j'ai pas encore trouvé d'alg sip bien faite.
A chaque fois je l'ai plutot désactivé pour que ça ne foute pas la grouille.
Faire du SIP Natté ce n'est pas impossible, mais c'est quand même bien
quand tu maitrise toute la chaine (Poste, Cpe, BB, Proxy SIP).
--
Raphael Mazelier


---------------------------
Liste de diffusion du FRnOG
http://www.frnog.org/
Raphaël Jacquot
2014-09-03 15:23:59 UTC
Permalink
Post by Raphael Mazelier
Post by Pierre DOLIDON
l'inspection SIP ça existe quand même... et heureusement ! (de même que
l'inspection FTP pour ne pas avoir besoin de se faire chier à ouvrir
10000 ports pour le FTP passif...)
Alors honnêtement j'ai pas encore trouvé d'alg sip bien faite.
A chaque fois je l'ai plutot désactivé pour que ça ne foute pas la grouille.
Faire du SIP Natté ce n'est pas impossible, mais c'est quand même bien
quand tu maitrise toute la chaine (Poste, Cpe, BB, Proxy SIP).
Le SIP alg sur les équipements ubiquiti (notamment les airrouters que
nous utilisons comme CPE) nous semble fonctionner correctement au vu des
retours clients, meme avec plusieurs telephones actifs en meme temps.
On a eu des soucis sur certains telephones qui ne savaient pas
fragmenter par défaut, il s'agissait d'une variable par défaut a "off"
qui aurait du etre a "on"


---------------------------
Liste de diffusion du FRnOG
http://www.frnog.org/
Loading...