ElectroYou - la comunità dei professionisti del mondo elettrico

da **DonJ** » 4 mar 2025, 15:23

Un po' per diletto e un po' per necessità, mi sono trovato nelle ultime settimane a costruire una rete VoIP per un piccolo ufficio (5/6 telefoni). Ho quindi installato FreePBX come centralino e configurato i vari telefoni per funzionare all'interno della rete.
Il prossimo passo è creare un trunk per collegare FreePBX al carrier (che ancora non ho - mi sto documentando per fare una prova prima di decidere se l'impianto può andare bene.)

Vista la mia nulla esperienza in sistemi di telefonia mi sono confrontato con un amico che sostiene che i carrier necessitano di un indirizzo IP pubblico e il centralino esposto su quell'IP per potergli inviare il traffico voce. Questo non è un gran problema visto che nell'ufficio dove l'impianto andrebbe sistemato ho già un IP pubblico e potrei fare port forwarding verso il centralino dagli IP del carrier. Tuttavia siamo nel 2025 ed esporre il centralino su internet e scrivere delle regole in un firewall con degli IP pubblici fissi mi fa storcere un po' il naso.

Quindi arriviamo alla domanda: ci sono carrier che permettono di registrare il centralino senza specificare un IP pubblico per lo stesso?
Nelle mie ricerche quando il centralino invia un pacchetto SIP REGISTER il server risponde con SIP OPTIONS ogni qualche secondo, in una sorta di keep-alive, che dovrebbe essere sufficiente per mantenere la connessione UDP attiva sulla tabella di NAT del router, quindi dovrebbe essere fattibile tecnicamente.

Grazie.

da **alev** » 4 mar 2025, 16:07

Se non vuoi utilizzare un IP pubblico per il tuo centralino, puoi introdurre (se già non lo hai) un firewall con una DMZ in cui piazzare il centralino

Credo che un firewall, a prescindere dalla esistenza di un centralino, sia oggi indispensabile per proteggere una rete LAN

da **DonJ** » 4 mar 2025, 16:21

Forse non mi sono spiegato bene, il mio obiettivo è di non esporre il centralino ad internet. Vorrei poter registrare il centralino al carrier senza DMZ e senza port forwarding.

Riformulando la domanda del primo post: posso avere un centralino dietro a NAT e registrarlo al carrier senza esporre la porta 5060 pubblicamente?

edit: aggiornato il titolo del topic

da **alev** » 5 mar 2025, 8:22

Essendo SIP un protocollo UDP, forse potrebbe funzionare anche dietro NAT

Ma, a questo punto, bisognerebbe anche tenere conto del verso della connessione

Dal tuo centralino, via NAT, potrebbe funzionare verso un IP esterno
Al contrario, ossia da "fuori" verso il tuo centralino, non funzionerebbe

Se non vuoi esporre direttamente su internet l'IP del tuo centralino, non ci sono alternative:
firewall con/senza DMZ

Si potrebbe anche valutare l'uso di IPSEC ma non lo conosco a sufficienza per poterlo dire

da **alev** » 5 mar 2025, 8:35

Comunque, non capisco molto il senso della questione

Se hai un servizio via NAT su internet, devi per forza di cose avere anche un IP "pubblico" attraverso il quale tale servizio fa le sue richieste

Ebbene, mi aspetto che l'IP "pubblico" abbia comunque qualche forma di protezione, tipo firewall oppure altro

Se spieghi bene com'è composta la rete in cui devi realizzare questo progetto, penso che una soluzione pratica e sicura si possa trovare

da **DonJ** » 8 mar 2025, 12:16

Rieccomi, grazie per la pazienza.

alev ha scritto:Dal tuo centralino, via NAT, potrebbe funzionare verso un IP esterno
Al contrario, ossia da "fuori" verso il tuo centralino, non funzionerebbe

È proprio questa la parte che mi interessa, speravo che mantenendo una connessione attiva sulla tabella di NAT potesse funzionare, ma non è comunque una soluzione ottimale

alev ha scritto:Si potrebbe anche valutare l'uso di IPSEC ma non lo conosco a sufficienza per poterlo dire

Non sapevo che qualcuno offrisse IPSec, sarebbe ottimo e risolverei facilmente. Sai se è una cosa comune per i carrier di offrire un endpoint IPSec?

alev ha scritto:Se spieghi bene com'è composta la rete in cui devi realizzare questo progetto, penso che una soluzione pratica e sicura si possa trovare

Ah è molto semplice:

: Rete semplice; Untitled Diagram.png (20.73 KiB) Osservato 4908 volte

In questa situazione non ci sono problemi. Ho un firewall con un IPv4 pubblico e statico e posso gestirmelo come voglio. Il dubbio mi era venuto esaminando il secondo caso qui sotto.

alev ha scritto:Se hai un servizio via NAT su internet, devi per forza di cose avere anche un IP "pubblico" attraverso il quale tale servizio fa le sue richieste

Credo che non sia sempre vero, talvolta ci si trova con un indirizzo privato sulla WAN perché il provider internet fa a sua volta un secondo NAT.

: Doppio NAT

In questa soluzione quindi non sarebbe possibile utilizzare un servizio VoIP poiché non c'è modo di instradare il traffico in ingresso? Da quello che ho capito l'unica possibilità sarebbe chiedere al provider un indirizzo IP pubblico.

Grazie.

da **ThEnGi** » 8 mar 2025, 17:28

DonJ ha scritto:
double nat.png

In questa soluzione quindi non sarebbe possibile utilizzare un servizio VoIP poiché non c'è modo di instradare il traffico in ingresso? Da quello che ho capito l'unica possibilità sarebbe chiedere al provider un indirizzo IP pubblico.

O usare un "ponte" nella rete (Edit inteso come un server con IP pubblico dislocato in "internet") o usare un provider VPN che accetta traffico in ingresso.
Tutte le "App" di domotica usano il primo approccio, ma dato che è un server chissà dove e gestito da chissà chi... io lo scarto :mrgreen: