USG5120内网做nat地址转换后不能使用外网某页面上软电话功能(sip)

发布时间:  2012-07-23 浏览次数:  162 下载次数:  0
问题描述
usg5120配置nat转换,内网用户能打开远端的web页面并能够通过账号密码成功登录web页面,该页面上显示有一个软电话功能项,正常情况当登录进入该页面后软电话功能自动注册成功,通过页面提供的软电话功能进行电话业务。但是当usg5120启用nat后,软电话功能项始终停留在正在注册阶段,不能成功注册,业务无法使用,但是不做nat转换,走路由访问该web服务器业务,软电话功能能够成功注册并使用。
登录web注册不成功页面:
告警信息
处理过程
1、检查usg5120配置,未做任何包过滤限制。
2、查看防火墙会话,只看到访问页面的http会话
HTTP VPN: public -> public
10.9.0.14:49317[10.243.0.12:30224]-->10.10.1.11:80
SIP VPN: public -> public
10.9.0.14:5065[10.243.0.12:23993]-->10.10.1.21:5060
可以确定用户的软电话功能使用协议为sip,sip协议属于多通道,协议且涉及到nat穿越。所以需要对进过防火墙的sip报文开启检测功能,同时由于发起方经过nat转换后,sip服务器检测到发起端的注册报文中IP地址和sip ip地址不同,也需要sip服务器支持nat穿越,对sip ip地址修改。
3、处理方法为在域间开启detect sip,同时要求sip服务器端支持nat穿越
根因
1、防火墙将端口过滤
2、软电话使用的协议防火墙不支持
3、其他
建议与总结

END