O que é o SIP ALG?
SIP ALG significa Application Layer Gateway e é comum em muitos roteadores comerciais. Seu objetivo é evitar alguns dos problemas causados pelos firewalls do roteador, inspecionando o tráfego de VoIP (pacotes) e, se necessário, modificando-o.
Muitos roteadores têm o SIP ALG ativado por padrão.
Existem várias soluções para clientes SIP por trás do NAT, algumas no lado do cliente (STUN, TURN, ICE), outras no lado do servidor (Proxy RTP como RtpProxy, MediaProxy). De um modo geral, o ALG funciona normalmente no roteador ou gateway da LAN do lado do cliente.
Em alguns cenários, outras soluções do lado do cliente não são válidas, por exemplo, STUN com roteador NAT simétrico. Se o proxy SIP não fornecer uma solução NAT do lado do servidor, uma solução ALG poderá ter um lugar.
Um ALG entende o protocolo usado pelos aplicativos específicos que ele suporta (neste caso, SIP) e faz uma inspeção de pacotes de protocolo do tráfego através dele.
Um roteador NAT com um SIP ALG embutido pode reescrever informações nas mensagens SIP (cabeçalhos SIP e corpo SDP), possibilitando o tráfego de sinalização e áudio entre o cliente atrás do NAT e o endpoint SIP.
Como isso pode afetar o VoIP?
Embora o SIP ALG tenha como objetivo ajudar os usuários que possuem telefones em endereços IP privados (Classe C 192.168.X.X), em muitos casos, ele é implementado de maneira inadequada e causa mais problemas do que resolve. SIP ALG modifica pacotes SIP de maneiras inesperadas, corrompendo-os e tornando-os ilegíveis.
Isso pode gerar um comportamento inesperado, como telefones não registrados e falha de chamadas recebidas. Portanto, se você estiver enfrentando problemas, recomendamos que verifique as configurações do roteador e desative o SIP ALG, caso esteja ativado.
- Falta de chamadas recebidas: quando um UA é ativado, ele envia uma solicitação de REGISTRO ao proxy para ser localizável e receber todas as chamadas recebidas. Este REGISTRO é modificado pelo recurso ALG (caso contrário, o usuário não seria acessível pelo proxy, pois indicava um IP privado no cabeçalho "Contato" do REGISTO). Os roteadores comuns apenas mantêm a "conexão" UDP aberta por um tempo (30 a 60 segundos); após esse período, o encaminhamento da porta termina e os pacotes recebidos são descartados pelo roteador. Muitos proxies SIP mantêm o UDP keepalive enviando mensagens OPTIONS ou NOTIFY para o UA, mas apenas o fazem quando o UA foi detectado como NAT durante o registro.
- Um roteador SIP ALG reescreve a solicitação REGISTER no proxy não detecta o NAT e não mantém o keepalive (portanto, as chamadas recebidas não serão possíveis). Interrompendo a sinalização SIP: Muitos dos roteadores comuns reais com SIP ALG embutido modificam os cabeçalhos SIP e o corpo do SDP incorretamente, interrompendo o SIP e impossibilitando a comunicação. Alguns deles fazem uma substituição completa pesquisando um endereço privado em todos os cabeçalhos e corpo do SIP e substituindo-os pelo endereço público mapeado do roteador (por exemplo, substituindo o endereço privado se ele aparecer no cabeçalho "Call-ID", o que não faz sentido em absoluto).
- Muitos roteadores SIP ALG corrompem a mensagem SIP ao gravá-la (ou seja, ponto e vírgula ausente ";" nos parâmetros do cabeçalho). Escrever valores de porta incorretos maiores que 65536 também é comum em muitos desses roteadores. Não permite soluções do lado do servidor: mesmo que você não precise de uma solução NAT do lado do cliente (seu proxy SIP fornece uma solução NAT do servidor), se o seu roteador tiver o SIP ALG ativado que interrompa a sinalização SIP, ele fará a comunicação com o seu proxy impossível.
Desativei o SIP ALG, mas ainda estou com problemas ...
Se você ainda estiver tendo problemas após desativar o SIP ALG, verifique sua configuração de firewall.
Não consigo desativar o SIP-ALG?
- Como circunavegar qualquer implementação quebrada de fornecedores de rede do SIP ALG Habilite o TLS nos terminais SIP, o VoiceHost suporta TLS, que mascara a sinalização SIP dos olhos curiosos da funcionalidade ALG.
- Habilite o IPv6 nos terminais SIP. Praticamente essa não é uma opção realista para usuários que precisam de mobilidade, mas para locais estáticos, isso remove o requisito (deve ser suportado pelo seu ISP). A maioria dos provedores de Internet não suporta totalmente IPv6 puro.
Troque seu roteador em um último recursos se tudo mais falhar.
