настройки alg в роутере что это
Настройки alg в роутере что это
Application-level gateway, или ALG (англ. «шлюз прикладного уровня» ) — компонент NAT-маршрутизатора, который понимает какой-либо прикладной протокол, и при прохождении через него пакетов этого протокола модифицирует их таким образом, что находящиеся за NAT пользователи могут пользоваться протоколом.
NAT-маршрутизатор ретранслирует пакеты, поступающие изнутри сети, с внешнего IP-адреса. Также может подменяться порт. Но некоторые сетевые протоколы передают IP-адрес или порт отправителя. Конечно же, после прохождения NAT эти параметры становятся неверными — а значит, удалённая сторона не может наладить соединение.
ALG, идентифицировав пакет как относящийся к данному протоколу, подставляет в качестве IP-адреса и порта свои адрес и порт. Если, по протоколу, соединение по этому порту налаживает удалённый компьютер, автоматически включается ретрансляция.
ALG похож на прокси-сервер; обычно понятием «прокси-сервер» называют сервер, который выполняет дополнительные операции наподобие кэширования, в то время как задача ALG — обеспечить, чтобы клиенты могли пользоваться протоколом.
Например в устройствах ZyXEL реализована поддержка IP-телефонии, которая обеспечивается механизмом трансляции сетевых адресов Full Cone NAT и встроенным шлюзом уровня приложения – SIP ALG. SIP ALG (SIP Application Level Gateway) – это шлюз прикладного уровня, который позволяет голосовому VoIP-трафику (RTP) беспрепятственно проходить через устройство с функцией NAT (Network Address Translation). Если в маршрутизаторе присутствует и активирован SIP ALG, то не нужно дополнительно настраивать проброс портов для этого типа трафика.
Как правило, IP-адреса клиентов SIP-телефонии назначаются из диапазона внутренних (локальных) адресов* и их IP-адреса могут пересекаться. В большинстве случаев подключение пользователей к сети осуществляется через устройство с функцией NAT. Если это устройство не будет иметь поддержки SIP ALG, то SIP-сервер не сможет различать клиентов.
Регистрация VoIP-устройства на SIP-сервере возможна при использовании одного из способов преодоления NAT: Outbound proxy, STUN, SIP ALG. При этом если на VoIP-телефоне или другом устройстве c SIP-клиентом, расположенном за NAT, настроен один из двух первых методов, то на устройстве обязательно нужно отключить SIP ALG.
Для беспрепятственного прохождения SIP-трафика через устройство с NAT необходимо транслировать адресацию в SIP-пакетах. SIP-пакет анализируется на уровне приложения, и в нем изменяются IP-адреса. Так SIP ALG позволяет реализовать услуги SIP-телефонии в сети с трансляцией адресов без использования вспомогательных внешних устройств.
На пути прохождения SIP-пакетов нет устройства с NAT
На пути прохождения SIP-пакетов находится устройство с NAT и поддержкой SIP ALG
В этом случае, устройство с NAT (маршрутизатор) подменяет в IP-пакетах IP-адрес источника 192.168.1.33 на свой WAN IP-адрес 210.243.66.215. Но существуют ограничения, без которых SIP-телефония не будет работать. Особенность реализации SIP ALG заключается в том, что он работает только на порту 5060. При использовании другого номера порта механизм SIP ALG не будет работать.
Все устройства с NAT должны поддерживать механизм SIP ALG. Если на пути прохождения SIP-пакетов будет находиться устройство с NAT, которое не поддерживает SIP ALG, то в этом случае SIP-телефония не будет работать.
10.0.0.0 — 10.255.255.255
172.16.0.0 — 172.31.255.255
192.168.0.0 — 192.168.255.255
Настройки alg в роутере что это
Обычно понятия брандмауэр в Windows и в роутере различаются. Брандмауэр на подобие того, что в Windows обычно называется Secured NAT (не часто сие опция встречается в роутерах) и во включенном режиме работает как «Усечёный конус» (Restricted cone), вот вам немного википедии, чтобы быть немного вкурсе по поводу типов NAT:
P.S.: Если признаться честно, то эти «типы» NAT реализуются как набор правил фильтрации входящих пакетов для брандмауэра.
Но под Firewall в роутерах чаще подразумевается SPI
Т.е. он вскрыает пакеты и смотрит что там, а также ведёт статистику защая от DDoS-атак, SYN-флуда и т.д.
Суть в том, что вся эта защита требует ресурсов процессора и может вносить из-за этого задержки, поэтому на бюджетных роутерах для обеспечения быстродействия ставим NAT в Open (если есть возможность), а SPI отключаем.
Если опцию «Secured NAT» не часто можно встретить, то DMZ уж точно есть почти в каждом роутере.
DMZ (англ. Demilitarized Zone — демилитаризованная зона, ДМЗ) — сегмент сети, содержащий общедоступные сервисы и отделяющий их от частных[1]. В качестве общедоступного может выступать, например, веб-сервис: обеспечивающий его сервер, который физически размещён в локальной сети (Интранет), должен отвечать на любые запросы из внешней сети (Интернет), при этом другие локальные ресурсы (например, файловые серверы, рабочие станции) необходимо изолировать от внешнего доступа.
В домашних роутерах он отличается только тем, что «общедоступный сервис» не отделёт от внутренней сети. С помощью DMZ как раз можно отключить фильтрацию (или блокировку) входящих пакетов, но для отдельно взятого компьютера.
Но если у вас какой-нибудь хардкорный роутер (например Mikrotik), то там не найдётся упоминания о DMZ и что в таком случае делать? Тут следует знать, что DMZ это тот же Port Forward (Проброс портов), но не на один порт, а на все, т.е. в таком случае следует сделать проброс портов от 1 до 65535.
Application-level gateway, или ALG (с англ. — «шлюз прикладного уровня») — компонент NAT-маршрутизатора, который понимает какой-либо прикладной протокол, и при прохождении через него пакетов этого протокола модифицирует их таким образом, что находящиеся за NAT пользователи могут пользоваться протоколом.
Alg в роутере что это
Application-level gateway, или ALG (с англ. — «шлюз прикладного уровня») — компонент NAT-маршрутизатора, который понимает какой-либо прикладной протокол, и при прохождении через него пакетов этого протокола модифицирует их таким образом, что находящиеся за NAT пользователи могут пользоваться протоколом.
Содержание
Описание [ править | править код ]
NAT-маршрутизатор ретранслирует пакеты, поступающие изнутри локальной сети и отправляет их во внешнюю сеть, используя свой внешний IP-адрес как адрес отправителя. Также может подменяться порт. Но некоторые сетевые протоколы в содержании своих пакетов передают и пытаются использовать локальный IP-адрес или порт отправителя. Конечно же, после прохождения NAT и подмены локального IP на внешний эти параметры становятся неверными — а значит, удалённая сторона не может наладить соединение.
ALG, идентифицировав пакет как относящийся к данному протоколу, подставляет в качестве IP-адреса и порта свои адрес и порт. Если, по протоколу, соединение по этому порту налаживает удалённый компьютер, автоматически включается ретрансляция.
ALG похож на прокси-сервер; обычно понятием «прокси-сервер» называют сервер, который выполняет дополнительные операции наподобие кэширования, в то время как задача ALG — обеспечить, чтобы клиенты могли пользоваться протоколом.
Протоколы, требующие ALG [ править | править код ]
Реализации в ОС [ править | править код ]
Реализация в маршрутизаторах [ править | править код ]
Практически все маршрутизаторы, имеющие NAT, умеют работать с PPTP, IPsec, RTSP, SIP, H.323, SMTP, DNS, TFTP.
Что такое ALG / Принцип работы ALG
Что такое ALG / Принцип работы ALG
Application-level gateway, или ALG (англ. «шлюз прикладного уровня» ) — компонент NAT-маршрутизатора, который понимает какой-либо прикладной протокол, и при прохождении через него пакетов этого протокола модифицирует их таким образом, что находящиеся за NAT пользователи могут пользоваться протоколом.
NAT-маршрутизатор ретранслирует пакеты, поступающие изнутри сети, с внешнего IP-адреса. Также может подменяться порт. Но некоторые сетевые протоколы передают IP-адрес или порт отправителя. Конечно же, после прохождения NAT эти параметры становятся неверными — а значит, удалённая сторона не может наладить соединение.
ALG, идентифицировав пакет как относящийся к данному протоколу, подставляет в качестве IP-адреса и порта свои адрес и порт. Если, по протоколу, соединение по этому порту налаживает удалённый компьютер, автоматически включается ретрансляция.
ALG похож на прокси-сервер; обычно понятием «прокси-сервер» называют сервер, который выполняет дополнительные операции наподобие кэширования, в то время как задача ALG — обеспечить, чтобы клиенты могли пользоваться протоколом.
Например в устройствах ZyXEL реализована поддержка IP-телефонии, которая обеспечивается механизмом трансляции сетевых адресов Full Cone NAT и встроенным шлюзом уровня приложения – SIP ALG. SIP ALG (SIP Application Level Gateway) – это шлюз прикладного уровня, который позволяет голосовому VoIP-трафику (RTP) беспрепятственно проходить через устройство с функцией NAT (Network Address Translation). Если в маршрутизаторе присутствует и активирован SIP ALG, то не нужно дополнительно настраивать проброс портов для этого типа трафика.
Как правило, IP-адреса клиентов SIP-телефонии назначаются из диапазона внутренних (локальных) адресов* и их IP-адреса могут пересекаться. В большинстве случаев подключение пользователей к сети осуществляется через устройство с функцией NAT. Если это устройство не будет иметь поддержки SIP ALG, то SIP-сервер не сможет различать клиентов.
Регистрация VoIP-устройства на SIP-сервере возможна при использовании одного из способов преодоления NAT: Outbound proxy, STUN, SIP ALG. При этом если на VoIP-телефоне или другом устройстве c SIP-клиентом, расположенном за NAT, настроен один из двух первых методов, то на устройстве обязательно нужно отключить SIP ALG.
Для беспрепятственного прохождения SIP-трафика через устройство с NAT необходимо транслировать адресацию в SIP-пакетах. SIP-пакет анализируется на уровне приложения, и в нем изменяются IP-адреса. Так SIP ALG позволяет реализовать услуги SIP-телефонии в сети с трансляцией адресов без использования вспомогательных внешних устройств.
На пути прохождения SIP-пакетов нет устройства с NAT
На пути прохождения SIP-пакетов находится устройство с NAT и поддержкой SIP ALG
В этом случае, устройство с NAT (маршрутизатор) подменяет в IP-пакетах IP-адрес источника 192.168.1.33 на свой WAN IP-адрес 210.243.66.215. Но существуют ограничения, без которых SIP-телефония не будет работать. Особенность реализации SIP ALG заключается в том, что он работает только на порту 5060. При использовании другого номера порта механизм SIP ALG не будет работать.
Все устройства с NAT должны поддерживать механизм SIP ALG. Если на пути прохождения SIP-пакетов будет находиться устройство с NAT, которое не поддерживает SIP ALG, то в этом случае SIP-телефония не будет работать.
* – диапазоны внутренних IP-адресов:
10.0.0.0 — 10.255.255.255
172.16.0.0 — 172.31.255.255
192.168.0.0 — 192.168.255.255
Для решения проблем с односторонней слышимостью на роутерах TP-LINK нужно отключить такой параметр как SIP ALG и RTSP ALG.
Находятся этим параметнры в разделе «Безопасность», в базовых настройках.
Если параметр SIP ALG отсутствует, обновите версию прошивки до последней, либо попробуйте отключить этот параметр через командную строку:
Шаг 2 Введите cmd в командной строке и нажмите ОК
ПРИМЕЧАНИЕ: В Windows 7 вы можете просто набрать cmd в строке поиска и нажать Enter вместо указанных выше шагов.
Шаг 6 Введите по очереди следующие команды:
rmmod nf_nat_sip.ko
rmmod nf_conntrack_sip.ko
Нажмите Enter.
ПРИМЕЧАНИЕ :
1. Все указанные выше настройки временные. Как только вы заново запустите или перезагрузите модем, SIP ALG опять будет включен.
nf_nat_sip
nf_conntrack_sip
3. Если вы хотите включить SIP ALG с помощью команды telnet, наберите по очереди следующие команды:
Решаем проблемы с удаленными подключениями в 3CX
К нам периодически поступают обращения о некорректной работе удаленных пользователей, подключенных к 3CX через корпоративный NAT маршрутизатор или сетевой экран. В этой статье предлагаем пошаговое руководство по решению проблем с удаленными подключениями.
К сожалению, 3CX не может гарантировать корректную работу “прямых” удаленных подключений, особенно без использования технологии 3CX Tunnel.
Корректная работа не гарантируется по следующим причинам:
На что следует обратить внимание, если вы столкнулись с проблемами при удаленном подключении?
Разрешение удаленного подключения для пользователя
В интерфейсе управления 3CX перейдите в свойства Пользователя на вкладку Параметры
Публикация сервисов 3CX (проброс портов) на роутере
Прежде всего заметим, что чем проще топология вашей сети, чем меньше промежуточных устройств между сервером 3CX и WAN интерфейсом роутера, на который подключаются внешние пользователи, тем больше шансов на успех. Вы можете даже не подозревать, что Интернет провайдер выдал вам не “белый” IP адрес на WAN интерфейс, а “серый” IP из своей внутренней сети. Особенно часто это наблюдается в бизнес центрах, где Интернет раздают по внутренней локальной сети.
Для корректного подключения внешних пользователей, а также для прохождения аудио и видеопотока он них, на маршрутизаторе должны быть опубликованы (проброшены на IP адрес сервера 3CX) следующие порты:
Рекомендуем ознакомиться с полным списком портов, используемым 3CX.
Удаленные SIP устройства с поддержкой работы через NAT
Если вы планируете использовать прямое SIP подключение (т.е. без технологии 3CX Tunnel), рекомендуется использовать только поддерживаемые 3CX телефоны. Они, в частности, корректно поддерживают следующие функции:
Подключите один из рекомендованных телефонов удаленно и убедитесь, что он зарегистрировался на 3CX. Сделайте звонок на 3CX эхо-тест *777. Если вы выполнили корректную настройку маршрутизатора со стороны сервера 3CX (как было описано выше), но вызов не проходит, либо слышимость односторонняя – скорее всего, проблема в маршрутизаторе, который соединяет удаленный IP телефон с Интернет (т.е. на вашей стороне).
Попробуйте подключиться еще раз, но с использованием 3CX Tunnel (3CX SBC). Если слышимость будет нормальная, вам следует вернуться к настройке маршрутизатора — обновить прошивку, убедиться в правильности настройки проброса портов, связаться с техподдержкой производителя и т.п.
Использование 3CX Tunnel и 3CX Session Border Controller
Если вы затрудняетесь определить причину некорректной регистрации удаленного абонента, либо не можете добиться двухсторонней слышимости, рекомендуем отказаться от “прямого” SIP подключения и использовать технологию 3CX Tunnel. 3CX Tunnel встроен в 3CX Client для всех платформ. Если вам нужно подключить аппаратный телефон или группу телефонов, рекомендуем использовать 3CX Session Border Controller.
Использование 3CX Firewall Checker Client
Если вам все же необходимо добиться корректной работы “прямого” подключения, рекомендуем запустить 3CX Firewall Checker Client. Основная задача этой утилиты – определить, правильно ли настроен статический проброс портов на сервер 3CX. Использование 3CX Firewall Checker Client может “дать подсказку” в следующих ситуациях:
Лог ошибок 3CX Firewall Checker Client позволят вам примерно понять, где искать источник проблем.
Роутеры с SIP ALG и SIP Helper
Многие маршрутизаторы имеют функцию, называемую SIP ALG или SIP Helper. SIP ALG модифицирует заголовок SIP пакета для корректной NAT / PAT трансляции. Однако с развитием стандарта SIP появились более надежные механизмы прохождения NAT, например, SIP поле Rport в заголовке VIA. Все телефоны, рекомендованные 3CX, поддерживают поле Rport. Функция роутера SIP ALG может нежелательно модифицировать заголовок SIP VIA, исказив данные, установленные расширением Rport. Поэтому, мы настоятельно рекомендуем отключить опцию SIP ALG или SIP Helper, если она присутствует в вашем роутере. Ознакомьтесь с особенностями прохождения VoIP трафика через NAT / PAT трансляцию.
Системный параметр “ALLOWSOURCEASOUTBOUND”
Системный параметр ALLOWSOURCEASOUTBOUND устанавливается в консоли управления 3CX в разделе Параметры.
По умолчанию он равен 0 (выключен). Если его установить в 1 (включен), 3CX будет использовать для регистрации удаленного телефона IP адрес и порт из IP заголовка пакета (сетевой уровень), а не из поля Contact заголовка пакета SIP (уровень приложений). 3CX Media Server также будет использовать данные IP заголовка RTP (входящий медиапоток) пакета для выяснения адреса, на который следует отсылать исходящий медиапоток.
Указанный параметр рекомендуется установить, если имеются следующие проблемы:
Разнесение SIP портов в удаленных устройствах
Если несколько удаленных устройств подключаются из одной сети (LAN), и все вышеописанные методы не приводят к решению проблемы, можно попробовать на каждом таком устройстве назначить свой, неповторяющийся SIP порт. Например, на первом устройстве (телефоне, шлюзе и т.п.) установите SIP порт 5060, на втором 5062, на третьем 5064 и т.д. В некоторых случаях после этого устройства начинают успешно работать.
Заключение
Теперь вы видите, насколько грамотное планирование и корректная работа сетевой инфраструктуры важны для подключения удаленных пользователей, да и VoIP системы в целом. Подводя итог, еще раз обратим внимание на особенности работы 3CX с удаленными подключениями:
Повторим: 3CX поддерживает удаленные прямые SIP подключения. Тем не менее, 3CX гарантирует корректную работу удаленных абонентов только при условии использования технологии 3CX Tunnel. Во всех остальных случаях, в связи со множеством независящих от нас факторов, гарантировать корректное удаленное подключение невозможно!
SIP ALG
SIP ALG (SIP Application Level Gateway) – это шлюз прикладного уровня, который позволяет голосовому VoIP-трафику (RTP) беспрепятственно проходить через устройство с функцией NAT (Network Address Translation). Если в маршрутизаторе присутствует и активирован SIP ALG, то не нужно дополнительно настраивать проброс портов для этого типа трафика.
Как правило, IP-адреса клиентов SIP-телефонии назначаются из диапазона внутренних (локальных) адресов* и их IP-адреса могут пересекаться. В большинстве случаев подключение пользователей к сети осуществляется через устройство с функцией NAT. Если это устройство не будет иметь поддержки SIP ALG, то SIP-сервер не сможет различать клиентов. Регистрация VoIP-устройства на SIP-сервере возможна при использовании одного из способов преодоления NAT: Outbound proxy, STUN, SIP ALG. При этом если на VoIP-телефоне или другом устройстве c SIP-клиентом, расположенном за NAT, настроен один из двух первых методов, то на устройстве обязательно нужно отключить SIP ALG.
Для беспрепятственного прохождения SIP-трафика через устройство с NAT необходимо транслировать адресацию в SIP-пакетах. SIP-пакет анализируется на уровне приложения, и в нем изменяются IP-адреса. Так SIP ALG позволяет реализовать услуги SIP-телефонии в сети с трансляцией адресов без использования вспомогательных внешних устройств.
Для включения SIP ALG на маршрутизаторе QBR-1241WUX необходимо зайти в настройки на вкладку Application и на вкладке Advance Nat выбрать пункт Enable напротив протокола SIP.