061 — Guide pour configurer votre routeur et votre pare-feu

Afin de configurer votre routeur ou pare-feu pour l’utilisation de la solution Ubity, vous devez suivre les instructions suivantes.

1 Enregistrement du téléphone

Le téléphone s’enregistre sur nos serveurs en SIP (port UDP 5060) et utilise la voix en RTP (ports UDP).

2 Paramètres de VoIP

Désactiver tous les paramètres et/ou la section ayant trait à la VoIP.

Nul besoin que le routeur nous aide en substituant l’adresse IP locale des téléphones/PBX par votre adresse IP publique, ou fasse en sorte que les téléphones aient toujours le même port source public (Consistent NAT). La quasi-totalité de nos clients sont derrière du NAT et nous avons tous les mécanismes en place pour le gérer efficacement (ce point s’applique particulièrement aux pare-feux de marque SonicWall).

3 QoS

La QoS devrait se faire sur la plage d’adresses IP de destination et sur le protocole de transport. La priorisation des paquets de voix devrait se faire sur tout ce qui est ‘UDP’ et en destination de la plage d’adresses IP 64.254.249.0/24.

4 Durée des sessions UDP inactives

La durée maximale des sessions UDP inactives (UDP session timeout) devrait être plus élevée que 60 secondes. Nos équipements envoient des paquets de keep-alive à vos téléphones pour déterminer si ceux-ci répondent toujours, et si oui dans quel délai (latence). Ce mécanisme a l’avantage de rafraîchir les bindings NAT utilisés par les téléphones en y faisant passer du trafic, ce qui nous permet de garder le contact avec des téléphones derrière du NAT.

5 Prioriser les requêtes ICMP

Il serait intéressant de prioriser (au même titre que la voix) les requêtes ICMP provenant de notre serveur de surveillance, à l’adresse IP 64.254.249.200, pour être certain que les pertes ne viennent pas du fait que ce genre de requêtes sont ignorées en période de pointe car elles sont considérées comme non-prioritaires.

6 Empêcher le firewall de bloquer le trafic sortant

Dans le cas où votre pare-feu bloquerait le trafic sortant par défaut, voici les règles que vous devez ajouter en sortie vers nos adresses IP (64.254.249.0/24) et vers Internet.

SIP TCP/UDP 5060 et 5061 (signalisation) RTP UDP 10000 à 50000 (voix)
T.38 UDP 50001 à 55000 (fax)
HTTP 80 (configuration)
HTTPS 443 (configuration)
Syslog UDP 514 (debug)
XMPP TCP 5222 (clavardage)
NTP vers ca.pool.ntp.org (mise à jour de l’heure)
DHCP/DNS

7 Paramètres SIP ALG

Les paramètres «SIP ALG» devraient être désactivés.

Attention: Peut porter un nom différent, selon le manufacturier de votre routeur/firewall.

Note: Ces règles peuvent être modifiées en tout temps.