Inicio > Manuales y tutoriales > Desactivando SIP ALG en Fortinet

Desactivando SIP ALG en Fortinet

SIPALGMencionar que el protocolos de Voz son los mas delicados que existen en el mundo de los servicios de infraestructura no es una novedad, debido primordial mente a que no pueden tener ningún tipo de retardo o falla durante su transmisión y en este caso protocolo SIP en este caso no es la excepción.

Bajo este contexto, algunos equipos perimetrales tipo Router, Firewall, UTM durante estos últimos años vienen implementando lo que llaman “Application Layer Gateway” o ALG evidentemente en favor de la protección ante fallas de seguridad,  ya que lo que hace es interceptar el trafico para administrarlo/gestionarlo antes de dejarlo pasar a su destino final.

SIPALG

Sin embargo este tipo de features no necesariamente surten en favor de uno cuando está desplegando una implementación de VoIP ya que ello va producir problemas durante las llamadas, causando entrecortes o caídas de llamada inesperados inclusive.

En este caso vamos a ver como desactivar SIP ALG de un equipo Fortinet 60D sin embargo puede ser aplicable para cualquier modelo.

1.-Desactivar sip-helper y sip-nat-trace

Ingresamos al CLI console mediante la interfase de administración y desactivamos las opciones de sip-helper y sip-nat-trace de la siguiente forma:

SIPALG

Una vez realizado esto es necesario reiniciar el equipo.

2.-Eliminar SIP dentro de session-helper

Luego ingresamos nuevamente, ahora es necesario identificar el ID del protocolo SIP dentro de la opción session-helper para luego eliminarla, esto se consigue de la siguiente forma:

SIPALGSIPALGComo vemos hemos identificado que el protocolo SIP se encuentra en el ID 13 , ahora procedemos a eliminarlo de la siguiente forma:

SIPALGUna vez que hemos eliminado el ID simplemente cerramos la sesion en la consola.

Espero les sirva.
Saludos
Juan Oliva

 

 

 

  1. max
    julio 7, 2016 de 5:14 pm

    Buen día, quisiera que me puedas ayudar con una duda. Ayer vi un reportaje donde policías hacían una requisa de teléfonos monederos modificados para usar VoIp, indicaban que esto era un delito pues ellos no podían identificar al dueño de la línea pues al no estar conectado a una línea telefónica común sino a un gateway de voz que hacia la conversión de la línea ethernet que venia desde un router con internet hasta el teléfono, pues decían que hacer esto conlleva a una pena y sanción económica. Quisiera saber si es que efectivamente este tipo de acciones incurre en delito o solo es por el hecho de que las personas que usan estos servicios (que son ofrecidos de forma aparentemente legal en muchas paginas web) se ayudan usando teléfonos públicos con el logotipo de empresas como Telefónica. Gracias por la atención.

    • julio 11, 2016 de 1:02 pm

      Hola
      Si ello está sucediendo el Lima-Perú, evidentemente hay un tema legal de por medio que no es mi área, sin embargo en realidad el problema es que como lo indicas están usando “teléfonos monederos modificados” con logos de empresas que no brindan ese tipo servicio, yo veo que el problema es ese y por tanto la infracción.

      Saludos
      Juan Oliva

  2. Osvaldo Baahubali
    junio 29, 2018 de 12:16 am

    Nunca mueras hermanos, saludos desde mexico…

  3. Luis Cordero
    agosto 2, 2018 de 12:18 am

    Hola quisiera saber de fortinet fortiguard etc

  4. Luis Cordero
    agosto 2, 2018 de 12:22 am

    Alguien esta usando esta metodología (o tecnología de fortinet o fortiguard) de firewall para bloquear mi página web por señal WiFi. Por eso quisiera saber al respecto y si hay un representante de esta marca en Perú.

  5. enero 31, 2019 de 4:07 pm

    Solo queria comentar que me paso dos veces esto del SIP ALG sobre distintas Vpns. En una oportunidad en una L2TP que simplemente las llamdas no salian y los telefonos no se registraban. para ello desactivamos SIP ALG y funciono. Por otro lado sobre una vpn IPSEc que cada cierto tiempo las llamdas se cortaban o caian. Tambien se aplico la misma solucion. Lo que aprendimos fue que el fortigate esta configurado por defecto para que el trafico SIP sea manejado por el protocolo SIP-ALG. Este parámetro se encuentra en “config system settings” en el CLI y por defecto esta como muestro debajo.

    config sys settings
    set default-voip-alg-mode proxy-based

    Lo que hicimos en la sesión fue cambiarlo a utilizar SIP helper, para lo cual corri el comando debajo

    config sys settings
    set default-voip-alg-mode kernel-helper-based
    end

    De esta forma, el equipo manejara todo trafico SIP a través de los SIP helpers de forma predeterminada y solo usara SIP-ALG si se agrega un perfil de VOIP a una política de firewall relacionada con trafico telefónico.

    NOTA esto también fue sobre un 60D pero con un firmware 5.6.7 mucho mas actualizado seguramente…Espero sea de ayuda…lo que comento…

  1. No trackbacks yet.

Responder a max Cancelar respuesta

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión /  Cambiar )

Google photo

Estás comentando usando tu cuenta de Google. Cerrar sesión /  Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión /  Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión /  Cambiar )

Conectando a %s

A %d blogueros les gusta esto: