Ingate SIParator 4.9.2

Transkript

1 Ingate SIParator Steg för steg-guide Lisa Hallingström Paul Donald Bogdan Musat Adnan Khalid Per Johnsson

2

3 Ingate SIParator 4.9.2: Steg för steg-guide by Lisa Hallingström by Paul Donald by Bogdan Musat by Adnan Khalid by Per Johnsson Mångfaldigande av innehållet i denna dokumentation, helt eller delvis, är enligt lagen om upphovsrätt förbjudet utan medgivande från Ingate Systems AB. Förbudet gäller varje form av mångfaldigande genom tryckning, kopiering, stencilering, bandinspelning etc. Copyright 2010/2011 Ingate Systems AB Vårt företag är anslutet till REPA.

4

5 Table of Contents Del I. Inledning till Ingate SIParator...i 1. Inledning till Ingate SIParator Installation av Ingate SIParator Inställningar i Ingate SIParator...11 Del II. Steg för steg SIP-grundkonfiguration steg för steg Avancerad SIP-konfiguration steg för steg How To SIP Trunking Using the SIP Trunk Page VPN-uppkopplingar steg för steg Lösenordsbyte steg för steg Konfigurera nätverkstopologi steg för steg Index i

6 ii

7 Del I. Inledning till Ingate SIParator

8

9 Chapter 1. Inledning till Ingate SIParator Ingate SIParator klarar bland annat av följande saker: SIP-proxy: vidareskickning av SIP-begäran till andra nätverk. SIP-registrator: registrering av SIP-användare. Skydd mot attacker som t ex adressförfalskning. Loggning/larm lokalt på SIParatorn, via e-post och/eller via syslog. Hantering av flera logiska/direktkopplade nät och flera nätverksanslutningar/fysiska nät. Administrering av din Ingate SIParator via WWW med http eller https. Språkval (svenska eller engelska) för administrationsgränssnittet. QoS - bandbreddsbegränsning och trafikprioritering (med QoS-modulen). Failover - möjlighet att parallellkoppla två SIParatorer där den första sköter trafiken och den andra tar över om den första skulle gå sönder. STUN-server och Remote SIP Connectivity för SIP-klienter som sitter bakom NAT:ande maskiner (med Remote SIP Connectivity-modulen). Vad är en SIParator? En SIParator är en maskin som klarar av att behandla trafik som följer SIP-protokollet (se RFC 3261). SIParatorn tar emot SIP-begäran, behandlar dem enligt de regler man satt upp och skickar dem vidare till rätt mottagare. En SIParator kopplas till företagets brandvägg via en DMZ-port. Därmed kan den SIP-baserade kommunikationen passera genom SIParatorn utan att säkerheten påverkas. SIP-trafiken routas sedan genom brandväggen till privata IP-adresser på det säkra lokala nätet. SIParatorn kan också användas som en extra nätsluss till det lokala nätverket, utan att kopplas till brandväggen. SIParatorn hanterar fortfarande endast SIP-trafiken. Konfigurationsmöjligheter Ingate SIParator kan kopplas till ditt nätverk på fyra olika sätt. Vilket du väljer beror på dina behov. Obs! Om man använder en SIParator av typen Standalone, måste det gränssnitt som ska ta emot trafik utifrån ha en publik IP-adress (ej NATad). Om man har en DMZ- eller DMZ/LAN-typ med privat IP-adress på det gränssnitt som kopplas till brandväggens DMZ, måste dess motsvarande publika IP-adress anges på sidan avsnittet Interop i kapitel 7 i Referenshandboken. 1

10 Chapter 1. Inledning till Ingate SIParator DMZ-konfigurationen Med denna konfiguration placeras SIParatorn på din brandväggs DMZ och kopplas till denna med endast ett gränssnitt. SIP-trafiken hittar fram med hjälp av DNS eller genom att sätta SIParatorn som outbound proxy på klienterna. Detta är den säkraste konfigurationen, eftersom all trafik går genom såväl din brandvägg som SIParatorn. Det är också den mest flexibla, eftersom alla nätverk som är kopplade till något av din brandväggs gränssnitt kan använda SIP. Nackdelen är att SIP-trafiken kommer att passera brandväggen två gånger, vilket inverkar på prestandan. Fig. 1. SIParator i DMZ-konfiguration. DMZ/LAN-konfigurationen Med denna konfiguration är SIParatorn kopplad till din brandväggs DMZ med ett gränssnitt. Övriga gränssnitt kan kopplas till ett eller flera interna nätverk. SIParatorn kan hantera flera nätverk på det interna gränssnittet, även bakom nätslussar. Denna konfiguration används för att öka genomströmningshastigheten, eftersom trafiken bara behöver passera en gång genom brandväggen. Internet Firewall SIParator Fig. 2. SIParator i DMZ/LAN-konfiguration. Standalone-konfigurationen Med denna konfiguration är SIParatorn kopplad till omvärlden med ett gränssnitt och till dina interna nätverk med övriga. 2

11 Chapter 1. Inledning till Ingate SIParator Använd bara den här konfigurationen om din brandvägg saknar DMZ-gränssnitt, eller av någon annan anledning inte kan konfigureras för DMZ eller DMZ/LAN-alternativen. SIParator Fig. 3. SIParator i Standalone-konfiguration. WAN-konfigurationen Med denna konfiguration är SIParatorn kopplad till omvärlden med ett gränssnitt och till din brandvägg med ett annat. Mellan dessa två gränssnitt (markerade som Datagränssnitt på sidan Topologi) skickas endast data. Övriga gränssnitt kan kopplas direkt till ditt LAN, DMZ eller andra nätverk och hanterar endast SIP-trafik. Internet data/voip SIParator data Firewall VoIP Fig. 4. SIParator i WAN-konfiguration. Om inställningar i Ingate SIParator Ingate SIParator använder två inställningsuppsättningar för de inställningar du gör i SIParatorn: driftsinställningar och preliminära inställningar. Driftsinställningarna är de som används av den aktiva SIParatorn. De preliminära inställningarna är de där du gör dina ändringar och inställningar. Se kapitel 3, Inställningar i Ingate SIParator, för mer information om hur det fungerar. De ändringar du gör i de preliminära inställningarna sparas till driftsinställningarna först då du på sidan Spara/Läsa inställningar under Administration har tryckt på Ta i drift. Du måste också ta inställningarna i permanent drift för att de ska ligga kvar i driftsinställningarna. 3

12 Chapter 1. Inledning till Ingate SIParator Inställningar för lösenord samt datum och tid är undantagna och sparas direkt. Administratörslösenordet ändras på sidan Användaradministration under Administration. I Ingate SIParator visas allvarliga fel med röd färg. Ett exempel kan vara att en obligatorisk uppgift saknas. Fält som tidigare har varit tomma eller felaktiga visas med rött tills dess att du väljer Spara, Ny rad eller något liknande som uppdaterar sidan. Om du har en webbuppkoppling mot din Ingate SIParator som inte är rörd på 10 minuter frågar SIParatorn på nytt efter lösenord. Tag för vana att alltid logga ut från SIParatorns administrationsgränssnitt när du är färdig med att göra inställningar. Tryck på Logga ut-knappen uppe till höger för att logga ut. Förklaringar av begrepp hittar du i appendix E i Referenshandboken. En översiktlig beskrivning av hur inställningar och hantering av Ingate SIParator går till finns i kapitel 3, Inställningar i Ingate SIParator. 4

13 Chapter 2. Installation av Ingate SIParator Installation Det finns tre sätt att installera Ingate SIParator; med seriekabel, med Ingates startverktyg eller med magisk ping. Installation med startverktyget går att göra på distans (men bara från en maskin på samma logiska nätverk som SIParatorn) och ger dig hjälp med nätverks- och SIP-konfiguration. Installation med magisk ping går att göra på distans (men bara från en maskin på samma logiska nätverk som SIParatorn), men ger begränsad möjlighet för grundkonfigurationen. Installation med seriekabel kräver att man sitter på samma ställe som SIParatorn, men ger större möjlighet att sätta grundkonfigurationen. Installation med startverktyg På den CD som finns med SIParatorn finns startverktyget. Det går också att hämta den senaste versionen från Startverktyget hjälper dig att sätta en IP-adress samt med grundläggande nätverks- och SIP-konfiguration inklusive SIP Trunking. Installation med magisk ping Man kan använda magisk ping för att sätta en IP-adress på SIParatorn. Magisk ping går till så här: Anslut SIParatorns elsladd till ett uttag och slå på SIParatorn. Vänta medan SIParatorn startar. Anslut nätverkskablarna till nätverksgränssnitten. Notera SIParatorns MAC-adress som står på baksidan av maskinen. Lägg till en statisk post i din ARP-tabell med SIParatorns MAC-adress och den IP-adress som SIParatorns eth0 ska få. På en Windows-maskin gör du så här för att lägga till en statisk post i ARP-tabellen: Starta en kommandotolk (DOS-fönster). Skriv kommandot arp -s ipadress macadress där ipadress är den IP-adress du vill att eth0 ska få, och macadress är den MAC-adress som står på maskinen, men med alla kolon (:) utbytta mot bindestreck (-). Pinga denna IP-adress, så sätts den nya IP-adressen på eth0. Om detta lyckas kommer du att få svar på ping därifrån. Konfigurera resten via webbgränssnittet. 5

14 Chapter 2. Installation av Ingate SIParator Om du använder en dator med Windows 2000 eller XP kan du istället göra så här: Anslut SIParatorns elsladd till ett uttag och slå på SIParatorn. Vänta medan SIParatorn startar. Anslut nätverkskablarna till nätverksgränssnitten. Notera SIParatorns MAC-adress som står på baksidan av maskinen. Kör igång programmet Ingate.exe som finns på den medföljande CD:n i mappen MagicPing. Skriv in SIParatorns MAC-adress i den övre raden med rutor. Skriv in SIParatorns IP-adress i den nedre raden med rutor. Tryck på Configure för att ge SIParatorn denna IP-adress. Tryck på Login för att koppla upp dig till SIParatorn och göra resten av konfigurationen via webbgränssnittet. Magisk ping sätter inget lösenord. Ange ett lösenord så fort som möjligt via webbgränssnittet. Innan man gjort några inställningar är det bara datorn som gjorde den magiska pingen som kan konfigurera SIParatorn. Installation med seriekabel Installation med seriekabel innehåller dessa moment: Anslut SIParatorn till din arbetsstation med den medskickade seriekabeln. Anslut SIParatorns elsladd till ett uttag och slå på SIParatorn. Vänta medan SIParatorn startar. Kör installationsprogrammet enligt anvisningarna nedan. Anslut nätverkskablarna till nätverksgränssnitten. Konfigurera resten via administrationsgränssnittet. Anslut SIParatorn till din arbetsstation (eller annan dator) med den medskickade seriekabeln. Anslut SIParatorns elsladd till ett uttag, slå på SIParatorn och vänta ett par minuter. Om du använder en dator med Windows kopplar du upp dig genom att starta Hyperterminal. En dialogruta kommer upp där namn och ikon för anslutningen ska anges. Skriv i dessa uppgifter och tryck OK. Dialogrutan Anslut till visas då. Välj under Anslut med: att ansluta Direkt till COM1 och tryck OK. Dialogrutan Portinställningar visas härnäst. Välj hastigheten bitar per sekund och tryck OK. Vänta på en inloggningsprompt. Du kan behöva trycka return för att den ska visas. Om du använder en dator med Linux måste du se till att det finns en symbolisk länk med namnet /dev/modem som pekar på den serieport som är kopplad till SIParatorn. Koppla 6

15 Chapter 2. Installation av Ingate SIParator upp dig med hjälp av minicom med hastigheten bitar per sekund och vänta på en inloggningsprompt. Logga in som användaren admin. Första gången du loggar in kommer det inte att krävas något lösenord, men det sätter du under installationen. Textgränssnittet går automatiskt igång när du har loggat in. Nätverksgränssnitten är märkta med eth0, eth1 osv. Detta är gränssnittens fysiska namn och används vid vissa inställningar. När programmet frågar efter nätinställningar för insidan skriver du in namnet på det gränssnitt som är kopplat till det nät där den/de datorer finns som det ska gå att göra inställningar i SIParatorn från, t.ex. eth0. Du måste använda gränssnittets fysiska namn. Skriv in den IP-adress som SIParatorn ska ha på detta gränssnitt samt nätmasken för det nätet. Nätmasken kan i Ingate SIParator skrivas på två sätt: Första sättet ser ut på samma sätt som en IP-adress, exempelvis eller Se kapitel 3, Inställningar i Ingate SIParator, för mer information om nätmask. Andra sättet är som ett tal mellan 0 och 32. En IP-adress är på 32 bitar där talet för nätmasken anger hur många bitar som används för nätets adressering. Resterande bitar identifierar datorn på nätet. Nu kan du välja om några nätverksgränssnitt ska deaktiveras. Väljer du "y" är det bara det gränssnitt som du redan har angivit som aktiveras. De andra gränssnitten kan du aktivera senare när du gör återstående inställningar via administrationsgränssnittet från din arbetsstation. Denna inställning påverkar bara gränssnitt som tidigare varit aktiva; det går inte att aktivera gränssnitt med detta val. Sedan ska du ange från vilken eller vilka datorer som det ska gå att göra ändringar i SIParatorns inställningar (konfigurationsdatorer). Skriv därefter ett lösenord för SIParatorn. Detta är det lösenord som du använder i din webbläsare för att som användaren admin titta på och ändra i SIParatorns inställningar. Slutligen kan du välja att nollställa SIParatorns övriga inställningar. Nedan ser du ett exempel på hur det kan se ut: Ingate SIParator Administration 1. Basic configuration 2. Save/Load configuration 3. Become a failover team member 4. Leave failover team and become standalone 5. Wipe logs 6. Set password 7. Command line interface a. About q. Exit admin ==> 7

16 Chapter 2. Installation av Ingate SIParator Välj 1. Basic configuration för att installera din Ingate SIParator. Basic unit installation program version Press return to keep the default value Network configuration inside: Physical device name[eth0]: IP address [ ]: Netmask/bits [ ]: Deactivate other interfaces? (y/n) [n] Computers from which configuration is allowed: You can select either a single computer or a network. Configure from a single computer? (y/n) [y] Om du väljer att enbart tillåta ändringar i SIParatorns inställningar från en dator får du en fråga om IP-adress (nätmask sätts automatiskt): IP address [ ]: Om denna IP-adress inte ligger inom samma nät som SIParatorns IP-adress frågas även efter en nätsluss. Skriv in den IP-adress nätslussen har på det nät som SIParatorn sitter på. Skriv därefter in nätadressen och nätmasken för det nät där datorn som tillåts ändra inställningar finns. Static routing: The computer allowed to configure from is not on a network local to this unit. You must configure a static route to it. Give the IP address of the router on the network the unit is on. The IP address of the router [ ]: Network address [ ]: Netmask [ ]: Om du istället väljer att tillåta ändringar av inställningarna från fler datorer, dvs svarar nej på frågan Configure from a single computer? (y/n) [y] n frågar installationsprogrammet efter nätnumret. Konfigurationsdatorerna anges som ett subnät, dvs med ett nätnummer och en nätmask (exempelvis med nätmask , som betyder datorerna ). Alla datorer på detta subnät tillåts konfigurera SIParatorn. Se i exemplet i kapitel 3, Inställningar i Ingate SIParator, för mer information om nätnummer och nätmask. 8

17 Chapter 2. Installation av Ingate SIParator Network number [ ]: Netmask/bits [ ]: Om nätet/delnätet inte ligger i direkt anslutning till SIParatorn behöver du ange IP-adressen till den nätsluss som måste passeras för att nå detta nät. Därefter behöver du ange nätets adress och mask. Static routing: The network allowed to configure from is not on a network local to this unit. You must configure a static route to it. Give the IP address of the router on the network this unit is on. The IP address of the router [ ]: Network address [ ]: Netmask [ ]: När detta är gjort återstår att fylla i ett lösenord. Password []: Slutligen får du frågan om SIParatorns inställningar ska nollställas. Other configuration Do you want to reset the rest of the configuration? (y/n) [n] Om man svarar n på frågan nollställs ingenting. Svarar man y finns det tre alternativ att välja mellan: 1. Nollställ så lite som möjligt. Detta är det alternativ som används om man svarar n på frågan ovan. Både preliminära och driftsinställningar uppdateras med de inställningar som angivits. 2. Återgå till fabriksinställningarna och läs sedan in de inställningar som angivits. Detta påverkar driftsinställningarna men inte de preliminära inställningarna. 3. Återgå till fabriksinställningarna och töm alla loggar. Läs sedan in de inställningar som angivits. Både preliminära och driftsinställningar påverkas. Välj uppdateringsmode, dvs vad som ska nollställas. Update mode (1-3) [1]: Nu är alla inställningar gjorda. Installationsprogrammet visar dina inställningar och frågar om de stämmer. yes sparar inställningarna. no kör installationsprogrammet från början. abort avslutar installationsprogrammet utan att spara. 9

18 Chapter 2. Installation av Ingate SIParator You have now entered the following configuration Network configuration inside: Physical device name: eth0 IP address: Netmask: Deactivate other interfaces: no Computer allowed to configure from: IP address: Password: eeyore The rest of the configuration is kept. Is this configuration correct (yes/no/abort)? yes Resterande inställningar görs från den eller de datorer som du angav till installationsprogrammet. Stänga av Ingate SIParator Spara inställningarna för din Ingate SIParator (som en säkerhetsåtgärd). Detta görs på sidan Spara/Läsa inställningar under Administration. När detta är gjort är det bara att stänga av den. Datorn som kör Ingate SIParator är specialgjord så att det bara är att stänga av den utan att det ger problem med filsystemen. Tänk på att låsa in din SIParator Din SIParator är en dator med speciell programvara i, och behöver därför skyddas mot fysisk tillgång liksom alla andra datorer som handhar viktiga funktioner. Det en inlåst SIParator skyddas mot är bland annat följande: Det går inte att koppla upp sig mot konsolen. Det går inte att ändra lösenordet med hjälp av en omstart och knapparna på SIParatorn. Se kapitel 3, Inställningar i Ingate SIParator, för mer information om vilka inställningar som måste göras. 10

19 Chapter 3. Inställningar i Ingate SIParator Du kommer åt din Ingate SIParator genom att skriva in dess namn eller IP-adress i din webbläsare. Inloggning Innan du kan göra några inställningar i din Ingate SIParator måste du först ange ditt administratörsnamn och -lösenord eller RADIUS-identitet och lösenord. Den fördefinierade användaren admin har alla administratörsrättigheter. Logga in igen Om du har en WWW-uppkoppling för inställningar av SIParatorn som har varit inaktiv i mer än 10 minuter måste du på nytt ange samma lösenord och trycka på någon av knapparna Behåll ändringar nedan och Återställ ändringar nedan. På alla sidor där du har gjort ändringar får du vid ny inloggning upp två knappar, Behåll ändringar nedan och Återställ ändringar nedan. Behåll ändringar nedan kopplar upp dig mot SIParatorn och sparar de inställningar du har gjort till de preliminära inställningarna. Återställ ändringar nedan kopplar upp dig mot SIParatorn och kastar bort de inställningar som du har påbörjat på sidan. På sidor där du inte gjort några ändringar visas knappen Logga in igen. Skriv in lösenordet och tryck på den, så är du på nytt uppkopplad mot SIParatorn. Kryptonyckeln i Ingate SIParator ändras var 24:e timme. Om du har en WWW-uppkoppling för inställningar av SIParatorn när detta sker måste du på nytt ange lösenord. Det fungerar på ungefär samma sätt som om du har varit inaktiv i mer än 10 minuter (se ovan). 11

20 Chapter 3. Inställningar i Ingate SIParator Logga ut När man är färdig med att titta på eller göra nya inställningar bör man logga ut från SIParatorn. Högst uppe till höger på varje webbsida finns en utloggningsknapp som avslutar sessionen. Observera att man inte automatiskt loggas ut bara för att man går till någon annan sida med sin webbläsare. Det är därför viktigt att logga ut för att webbläsaren ska radera sin lagrade information om användarnamn och lösenord. Snabbnavigering På alla sidor finns knappar för snabbnavigering till de andra huvudsidorna. Ovanför knappraden syns också SIParatorns namn. Toppsidan Toppsidan är den första sida du kommer till när du kopplar upp dig mot SIParatorn. Från toppsidan kan du komma till Grundinställningar, Administration, Nätverk, Loggning och verktyg, SIP-tjänster, SIP-trafik, Failover, Virtuella Privata Nät, och Quality of Service (om QoS-modulen har installerats), och det går även att från toppsidan ta sig direkt till en specifik sida. Länkar till de respektive sidorna finns som textlänkar under de respektive kategorierna. Det går att komma tillbaka till toppsidan genom att klicka på logotypen längst upp till vänster på en sida. Administration Under Administration sparar du inställningar eller läser tillbaka inställningar. Här kan du även provköra dina inställningar och se om de fungerar som du har tänkt dig. Det går också att uppgradera och starta om SIParatorn, ställa in datum, tid och språk samt definiera användare som får komma åt webbgränssnittet. 12

21 Grundinställningar Chapter 3. Inställningar i Ingate SIParator Under Grundinställningar ställer du in namnet på SIParatorn, SIParatortyp och om SIParatorn ska använda HTTP och/eller HTTPS för konfigurationstrafiken. Här kan du också ställa in en DNS-server samt om versionskontrollen ska vara på eller ej. Du gör också de inställningar som krävs om SIParatorn ska jobba mot en SNMP-, DynDNS- eller RADIUS-server. Nätverk Under Nätverk ställer du in maskinens IP-adresser, routningen för de olika näten samt definierar grupper av IP-adresser som sedan används i olika inställningar hos SIParatorn. SIP-tjänster Under SIP-tjänster kan du ställa in SIP-kryptering, interop-inställningar, Remote SIP Connectivity och VoIP Survival. SIP-trafik Under SIP-trafik kan du ställa in SIP-trafik och -registratorn. Här går det också att se aktuella användarregistreringar och SIP-sessioner. Failover Under Failover gör du inställningar för failover-paret och det reserverade nätverket för failover. Här går det också att se status för den andra SIParatorn i failover-paret. Virtuella Privata Nät Under Virtuella Privata Nät görs inställningar för IPsec och PPTP. Här definierar du de nät som ska kopplas ihop med hjälp av IPSec-krypterade tunnlar. Här görs också inställningar för PPTP. Quality of Service Modulen QoS (Quality of Service) gör det möjligt att bandbreddsbegränsa och prioritera olika slags trafik genom SIParatorn. Du kan för varje gränssnitt ange garanterad och maximal bandbredd för olika trafikklasser. Det går också att ange bandbreddsgränser för SIP-samtal och se till att nya samtal inte sätts upp när det inte finns nog med bandbredd för deras media. Loggning Under Loggning ställer du in vilken typ av trafik som ska loggas/larmas och hur den ska loggas. Här kan du också söka i och titta på loggarna samt titta på hur mycket trafik som går genom SIParatorn. 13

22 Chapter 3. Inställningar i Ingate SIParator Om... Här finns grundläggande information, t ex serienummer och mjukvaruversion, samt länkar till mer information. Översikt över vilka inställningar som ska göras Börja med att installera SIParatorn enligt kapitel 2, Installation av Ingate SIParator. För att SIParatorn ska fungera måste den först få minst en IP-adress och routning, vägval, för de olika nät som du har. Dessa inställningar görs under Nätverk. SIParatorn måste också ha en DNS-server. Du måste också ange vilken SIParatortyp som används, dvs hur SIParatorn är inkopplad. Dessa inställningar görs under Grundinställningar. SIP-inställningar gör du sedan under SIP-tjänster och SIP-trafik. Där anger du olika parametrar för SIP-registratorn och SIP-proxyn samt definierar de användare som får använda SIP. För att kunna studera den trafik som passerar SIParatorn kan det vara lämpligt att konfigurera loggningen under Loggning och verktyg. Där hittar du även loggarna för trafiken som har passerat SIParatorn. Loggar kan skickas med syslog till en syslogserver som tar hand om meddelandena. Loggar kan även skickas med e-post till en e-postadress. När alla inställningar är klara kan de tas i drift. Gå till sidan Spara/Läsa inställningar under Administration. Välj Ta i drift. Du får nu först provköra dina nya inställningar och om du är nöjd med dessa kan du ta dem i permanent drift. Om inställningarna inte var bra kan du välja Avbryt provkörningen eller starta om SIParatorn. Då tas de nya inställningarna inte i drift. Preliminära och driftsinställningar I Ingate SIParator finns det två inställningsuppsättningar: preliminära inställningar och driftsinställningar. När SIParatorn är i drift är det driftsinställningarna som styr SIParatorfunktionerna. 14

23 Chapter 3. Inställningar i Ingate SIParator När du konfigurerar din Ingate SIParator arbetar du mot de preliminära inställningarna. Samtidigt som ändringar görs i de preliminära inställningarna fortsätter driftsinställningarna att styra SIParatorfunktionerna. När du är klar med de preliminära inställningarna går det att provköra dessa. Detta gör man med knappen Ta i drift på sidan Spara/Läsa inställningar under Administration. Det är då de preliminära inställningarna som styr SIParatorfunktionerna. När du är nöjd med de preliminära inställningarna kan du ta dessa i permanent drift. De preliminära inställningarna kopieras då över till driftsinställningar. Dessa styr sedan SIParatorfunktionerna. Driftinställningarna går att kopiera över till de preliminära inställningarna. Detta påverkar inte driftsinställningarna och det påverkar inte heller SIParatorfunktionerna som fortfarande styrs av driftsinställningarna. Detta görs med Återgå till sparat på sidan Spara/Läsa inställningar under Administration. Detta gör att alla inställningar som är gjorda sedan du senast tog i drift (genom att trycka på Spara och ta i permanent drift) försvinner. 15

24 Chapter 3. Inställningar i Ingate SIParator Du kan spara inställningarna till fil på den lokala arbetsstationen från vilken SIParatorn konfigureras (datorn som du kör din webbklient på). Tryck på Spara till lokal fil eller Spara inställningarna i CLI-format på sidan Spara/Läsa inställningar under Administration för att spara till fil. Inställningar som är sparade på en lokal dator går att ladda upp till SIParatorns preliminära inställningar. Använd Browse för att söka på lokala hårddisken eller ange filnamn inklusive sökväg i inmatningsrutan följt av ett tryck på Läs från lokal fil eller Ladda upp CLI-fil. Provkörning av preliminära inställningar, kopiering av preliminära inställningar till driftsinställningar, sparande av preliminära inställningar till fil och återläsning av inställningar till preliminära inställningar görs på sidan Spara/Läsa inställningar under Administration i Ingate SIParator. 16

25 Chapter 3. Inställningar i Ingate SIParator Inställningar av IP-adress och mask i Ingate SIParator IP-adress IP-adresser skrivs som fyra tal med punkter emellan, där talen ska ligga mellan 0 och 255. Ett exempel kan vara Mask/bitar Det binära talsystemet använder siffrorna 0 och 1 för att representera tal. En binär siffra kallas bit. 8 bitar i det binära talsystemet kan representera tal mellan 0 och 255. Nätmasken talar om hur stor del av IP-adressen det är som används till nätadressen och hur stor del som används till datorernas enskilda adresser. En mask består av = 32 bitar. I figuren nedan visas en mask med 26 1-satta bitar, vilket betyder att så många bitar i adressen låsts till nätets adress (och alltså inte går att ändra på inom nätet). Bitar Tal En mask skrivs i Ingate SIParator antingen som antalet bitar som ska vara 1 eller som fyra tal (0-255) med punkter mellan talen. Om du har ett nät och vill gruppera ett antal datorer går det bra om datorerna har IP-adresser som följer på varandra. Sedan ska masken sättas så att den begränsas till enbart dessa datorer. Den lägsta IP-adressen för dessa datorer talar om var mellan 0 och 255 som gruppens nummerföljd ska placeras. Det finns skäl till att man vill gruppera datorer. Ibland kan det t ex vara praktiskt att ställa in masken så att några få datorer ska kunna få komma åt att ändra i SIParatorns inställningar. Detta förklaras bäst med ett enkelt exempel. Om du har sju datorer som ska få komma åt att ändra i SIParatorns inställningar gör du så här: Tag närmaste två-potens över det antal datorer som du vill ha med i gruppen: 2, 4, 8, 16, 32, 64, 128 eller 256. Med 7 datorer blir det 8 som ligger närmast. I exempelfallet blir det en IP-adress ledigt för framtida bruk. Datorerna ger du IP-adresser i följd. Första IP-adressen ska börja på en jämn multipel av den tvåpotens du valde och får inte vara större än 255. I exemplet ovan blir det 0, 8, 16, 24, 32, 40, 48 osv upp till 248. Välj t ex att börja på 136 (17 x 8). Datorerna får då följande IP-adresser: , , , , , , and En av IP-adresserna är ledig och kan användas till en framtida åttonde dator. Den IP-adress som ska anges när nätnumret efterfrågas är första IP-adressen i serien, Det som är kvar nu är att sätta masken så att endast datorerna med dessa åtta IP-adresser ska ingå. Tag (antalet IP-adresser som ingår i nätgruppen). I exemplet blir det = 248. Den fullständiga masken blir då Nu får endast dessa datorer komma åt att konfigurera SIParatorn. 17

26 Chapter 3. Inställningar i Ingate SIParator Nätmasktabell. Antal datorer Mask Bitar Se appendix D i Referenshandboken för en mer utförlig tabell över nätnummer och nätmasker. Namnuppslagningar i SIParatorn En SIParator bör vara så oberoende av andra datorer som möjligt. Samtidigt vill den som gör inställningarna av SIParatorn använda sig av namn på t ex datorer istället för IP-adresser. SIParatorns SIP-modul behöver också kunna slå upp domännamn för SIP-begäran. Detta ger ett beroende av en DNS-server. Det finns flera tillfällen då SIParatorn använder DNS-servern: När en inkommande SIP-begäran har en domän i destinationsadressen. Resultaten från dessa DNS-uppslagningar lagras en kort stund i SIParatorn. När du ändrat på namn/ip-adress och sparar sidan. Resultaten från dessa DNS-uppslagningar lagras i SIParatorn. När du trycker på Slå upp alla IP-adresser igen. Resultaten från dessa DNS-uppslagningar lagras i SIParatorn. När en IPsec-tunnel ska kopplas upp mot en VPN-motpart som har ett dynamiskt DNS-namn. Resultaten från dessa DNS-uppslagningar lagras i SIParatorn. En Ingate SIParator är kontinuerligt beroende av att namnservern fungerar för SIP-modulen. Däremot slår den inte upp datornamn i sina egna inställningar varje gång de 18

27 Chapter 3. Inställningar i Ingate SIParator ska användas. Nackdelen med denna lösning är att du varje gång en dator byter IP-adress måste trycka på Slå upp alla IP-adresser igen. Om du ändrar namn/ip-adress på en rad uppdateras den raden i samband med att du trycker på Spara, går till en annan sida i SIParatorn eller trycker på Slå upp alla IP-adresser igen. 19

28 Chapter 3. Inställningar i Ingate SIParator 20

29 Del II. Steg för steg I denna del finns steg-för-steg-beskrivningar för att konfigurera olika funktioner för SIParatorn. Här finns också referenser till de kapitel i Del III, Inställningar, som är relevanta för varje funktion.

30

31 Chapter 4. SIP-grundkonfiguration steg för steg Ingate SIParator har många möjligheter när det gäller SIP. Detta kapitel innehåller fullständiga inställningar för de vanligaste SIP-scenarierna. DMZ-SIParator, SIP-servern på utsidan Det enklaste scenariot när det gäller SIP är när SIP-servern står hos någon annan, och SIParatorns SIP-funktion endast ska användas för att komma förbi NATningen. Observera att SIParatorn måste ha en publik (ej NATad) IP-adress för att SIP-signaleringen ska fungera ordentligt. Detta är de inställningar som behöver göras för SIP i detta fall. Beskrivningen förutsätter att SIParatorn i övrigt är färdigkonfigurerad. Här anges bara de extra inställningar som krävs för SIP. Nät och maskiner SIParatorn behöver veta hur nätverken omkring den ser ut. På sidan Nät och maskiner definierar du samtliga nätverk som brandväggen (som SIParatorn är kopplad till) känner till och som man inte använder standardnätslussen på brandväggen för att komma åt. Alla maskiner som kan nå varandra utan att gå via brandväggen ska tillhöra samma nätverk. Det går också att definiera andra nätverk och delar av nätverk för användning i andra delar av konfigurationen. 23

32 Chapter 4. SIP-grundkonfiguration steg för steg Topologi De nätverk som definierades ovan ska sedan räknas upp på sidan Topologi för att SIParatorn ska veta hur nätverksstrukturen ser ut. I tabellen Omgivningar behöver man bara göra inställningar om man har valt typen DMZ (eller LAN). SIParatorn måste i DMZ-konfigurationen veta hur nätverken omkring den ser ut. Här anges samtliga nätverk som brandväggen (som SIParatorn är kopplad till) känner till och som man inte använder standardnätslussen på brandväggen för att komma åt. Alla maskiner som kan nå varandra utan att gå via brandväggen ska tillhöra samma nätverk. När man är klar finns det ofta en rad för varje fysiskt nätverk kopplat till brandväggen (utom Internet). Detta kommer bland annat att medföra att trafik mellan två olika nätverk, eller mellan ett av dessa nätverk och en maskin som inte finns i något av de uppräknade nätverken, kommer att NAT:as. En annan följd är att om två användare på samma nätverk, eller nätverk (samma eller olika) som inte finns uppräknade här, försöker öppna en förbindelse, kommer det inte att öppnas några portar för RTP-sessionerna genom SIParatorn, eftersom den antar att båda användarna sitter på samma sida av brandväggen. Om man har valt SIParatortypen DMZ eller LAN bör man ha angivit minst ett nätverk här sida. Om det inte finns några nätverk här kommer SIParatorn inte att NATa någon trafik alls. 24

33 Chapter 4. SIP-grundkonfiguration steg för steg Grundinställningar Gå till sidan Grundinställningar under SIP-tjänster och slå på SIP-modulen. Här kan du också välja loggklasser för de loggmeddelanden som olika SIP-händelser genererar. Den här inställningen görs av startverktyget. 25

34 Chapter 4. SIP-grundkonfiguration steg för steg Filtrering För att SIP-trafik ska släppas fram genom SIParatorn krävs att man ställer in en Standardbehandling av SIP-begäran, vilket görs på sidan Filtrering. Eftersom SIParatorn inte har hand om någon SIP-domän själv, finns det inga Lokala SIP-domäner. Därför måste alternativet Behandla alla väljas här. Den här inställningen görs av startverktyget. Routning På sidan Routning kan man ange den SIP-server som har hand om den SIP-domän som man registrerar sig på. Den skrivs i så fall in under SIP-relä för utgående trafik och kan vara ett datornamn eller en IP-adress. Om man anger servern här kommer all SIP-trafik inifrån att skickas till den, oavsett vart den egentligen ska. 26

35 Grundinställningar Chapter 4. SIP-grundkonfiguration steg för steg Om man inte anger något SIP-relä måste SIParatorn istället ha minst en DNS-server för att kunna slå upp olika SIP-domäner som man vill kommunicera med. DNS-servrar anges på sidan Grundinställningar under Grundinställningar. Spara/Läsa inställningar Gå till sist till sidan Spara/Läsa inställningar under Administration och ta de nya inställningarna i drift genom att trycka på Ta i drift. När inställningarna har tagits i drift bör du också spara en kopia av dem. Tryck på Spara inställningarna i CLI-format för att spara konfigurationen. DMZ-SIParator, SIParatorn är SIP-server Ofta vill man ha så många SIP-funktioner som möjligt på samma ställe. Det är möjligt att låta SIParatorn ta hand om de flesta vanliga funktioner, såsom registrering av användare, routning av SIP-trafik och omskrivning för NATade paket. 27

36 Chapter 4. SIP-grundkonfiguration steg för steg Observera att SIParatorn måste ha en publik (ej NATad) IP-adress för att SIP-signaleringen ska fungera ordentligt. Detta är de inställningar som behöver göras för SIP i detta fall. Beskrivningen förutsätter att SIParatorn i övrigt är färdigkonfigurerad. Här anges bara de extra inställningar som krävs för SIP. Nät och maskiner SIParatorn behöver veta hur nätverken omkring den ser ut. På sidan Nät och maskiner definierar du samtliga nätverk som brandväggen (som SIParatorn är kopplad till) känner till och som man inte använder standardnätslussen på brandväggen för att komma åt. Alla maskiner som kan nå varandra utan att gå via brandväggen ska tillhöra samma nätverk. Det går också att definiera andra nätverk och delar av nätverk för användning i andra delar av konfigurationen. 28

39 Chapter 4. SIP-grundkonfiguration steg för steg Autentisering och bokföring Om SIParatorn ska ta hand om användarregistreringar bör den kräva autentisering av användarna. Gå till sidan Autentisering och bokföring och slå på autentiseringen. Ange din SIP-domän som Realm. Välj sedan var SIP-användardatabasen finns. Om ni har en RADIUS-server går det att låta SIParatorn koppla upp sig mot den för att autentisera användare. Det vanligaste är dock att man använder en lokal användardatabas. 31

40 Chapter 4. SIP-grundkonfiguration steg för steg SIP-metoder Gå till sidan SIP-metoder under SIP-trafik. Det är lämpligt att autentisera metoden REGISTER till lokala domäner. Det betyder att när någon försöker registrera sig på vår SIP-domän kommer SIParatorn att kräva att användaren kan autentisera sig, men det går att ringa, skicka meddelanden och annat utan att autentisera sig när man väl är registrerad. Lokal registrator På sidan Lokal registrator definieras sedan vilka SIP-domäner SIParatorn har hand om samt om användarna finns i en lokal databas eller kontrolleras mot en RADIUS-server. Gör en ny rad i tabellen Lokala SIP-domäner och skriv in din SIP-domän. 32

41 Chapter 4. SIP-grundkonfiguration steg för steg Sedan ska SIP-användardatabasen skapas. Skriv in alla användare, deras lösenord, deras SIP-grupp samt varifrån de får registrera sig. Detta behöver inte göras om du istället har valt att använda en befintlig RADIUS-server för autentiseringen. RADIUS Om du valt att använda en befintlig RADIUS-server för autentiseringen ska du istället gå till sidan RADIUS under Grundinställningar och ange den RADIUS-server som ska användas. Se även avsnittet RADIUS i kapitel 4 i Referenshandboken för mer information om hur RADIUS-servern ska konfigureras för SIP-autentisering. Filtrering På sidan Filtrering behöver man ställa in Proxyregler. Om SIParatorn ska behandla all SIP-trafik oavsett avsändare eller mottagare, behöver man bara en Standardbehandling av begäran, som sätts till Behandla alla. 33

42 Chapter 4. SIP-grundkonfiguration steg för steg Oftast vill man dock tillåta olika avsändare att göra olika saker. En vanlig konfiguration är att man låter alla användare på insidan kommunicera med alla, oavsett vilken SIP-domän de tillhör. SIP-trafik från utsidan släpps bara fram om den ska till en lokalt hanterad domän. Det ska inte komma några SIP-begäran från DMZ-nätet (om det gör det tyder det på att någon server där är crackad), så dessa ska spärras. Detta löser man genom att skapa proxyregler för de lokala nätverken (insidan och DMZ) och sedan låta Standardbehandling av begäran vara Endast lokala, vilket betyder att SIP-trafik från övriga nätverk endast kommer att behandlas om de ska till en lokal domän. Grundinställningar SIParatorn måste ha minst en DNS-server för att kunna slå upp olika SIP-domäner som man vill kommunicera med. DNS-servrar anges på sidan Grundinställningar under Grundinställningar. Den här inställningen görs av startverktyget. Spara/Läsa inställningar Gå till sist till sidan Spara/Läsa inställningar under Administration och ta de nya inställningarna i drift genom att trycka på Ta i drift. 34

43 Chapter 4. SIP-grundkonfiguration steg för steg När inställningarna har tagits i drift bör du också spara en kopia av dem. Tryck på Spara inställningarna i CLI-format för att spara konfigurationen. DMZ-SIParator, SIP-servern på LANet Av olika anledningar kan man vilja använda en egen, separat SIP-server istället för den inbyggda i SIParatorn. En sådan SIP-server står oftast på insidan eller eventuellt ett DMZ. Om SIP-servern står på ett NATat nätverk ska DNS-uppslagningar för SIP-domänen peka på SIParatorn. Den får sedan skicka SIP-trafiken vidare till servern. Observera att SIParatorn måste ha en publik (ej NATad) IP-adress för att SIP-signaleringen ska fungera ordentligt. Detta är de inställningar som behöver göras för SIP i detta fall. Beskrivningen förutsätter att SIParatorn i övrigt är färdigkonfigurerad. Här anges bara de extra inställningar som krävs för SIP. 35

44 Chapter 4. SIP-grundkonfiguration steg för steg Nät och maskiner SIParatorn behöver veta hur nätverken omkring den ser ut. På sidan Nät och maskiner definierar du samtliga nätverk som brandväggen (som SIParatorn är kopplad till) känner till och som man inte använder standardnätslussen på brandväggen för att komma åt. Alla maskiner som kan nå varandra utan att gå via brandväggen ska tillhöra samma nätverk. Det går också att definiera andra nätverk och delar av nätverk för användning i andra delar av konfigurationen. Topologi De nätverk som definierades ovan ska sedan räknas upp på sidan Topologi för att SIParatorn ska veta hur nätverksstrukturen ser ut. I tabellen Omgivningar behöver man bara göra inställningar om man har valt typen DMZ (eller LAN). SIParatorn måste i DMZ-konfigurationen veta hur nätverken omkring den ser ut. Här anges samtliga nätverk som brandväggen (som SIParatorn är kopplad till) känner till och som man inte använder standardnätslussen på brandväggen för att komma åt. Alla maskiner som kan nå varandra utan att gå via brandväggen ska tillhöra samma nätverk. När man är klar finns det ofta en rad för varje fysiskt nätverk kopplat till brandväggen (utom Internet). Detta kommer bland annat att medföra att trafik mellan två olika nätverk, eller mellan ett av dessa nätverk och en maskin som inte finns i något av de uppräknade nätverken, kommer att NAT:as. 36

45 Chapter 4. SIP-grundkonfiguration steg för steg En annan följd är att om två användare på samma nätverk, eller nätverk (samma eller olika) som inte finns uppräknade här, försöker öppna en förbindelse, kommer det inte att öppnas några portar för RTP-sessionerna genom SIParatorn, eftersom den antar att båda användarna sitter på samma sida av brandväggen. Om man har valt SIParatortypen DMZ eller LAN bör man ha angivit minst ett nätverk här sida. Om det inte finns några nätverk här kommer SIParatorn inte att NATa någon trafik alls. Grundinställningar Gå till sidan Grundinställningar under SIP-tjänster och slå på SIP-modulen. Här kan du också välja loggklasser för de loggmeddelanden som olika SIP-händelser genererar. Den här inställningen görs av startverktyget. 37

46 Chapter 4. SIP-grundkonfiguration steg för steg Routning Om SIP-servern sitter på ett NATat nätverk kommer all SIP-trafik utifrån till SIP-domänen att styras till SIParatorn. Den behöver då veta att trafiken ska skickas vidare till servern. Ett sätt är att ange SIP-domänen i tabellen Intern DNS-tabell för SIP-begäran på sidan Routning och där peka på SIP-servern. SIParatorn kommer då att slå upp domänen här istället för hos den vanliga DNS-servern och få rätt IP-adress att skicka SIP-trafiken till. Interop Om man använder Windows Messenger för SIP-kommunikationen behöver man göra en inställning på sidan Interop. Gå dit och ange att lr=true ska användas under Loose routing. 38

47 Chapter 4. SIP-grundkonfiguration steg för steg Om SIP-servern är en LCS (Live Communications Server) eller någon annan server som inte tillåter mer än ett Via-fält i SIP-paketen, måste SIP-serverns IP-adress skrivas in i tabellen Ta bort VIA-fält. Detta innebär att då ett SIP-paket skickas till servern skrivs det om så att det bara finns ett Via-fält kvar i det. När paketet skickas tillbaka läggs den borttagna informationen till igen. Filtrering För att SIP-trafik ska släppas fram genom SIParatorn krävs att man ställer in en Standardbehandling av SIP-begäran, vilket görs på sidan Filtrering. Eftersom SIParatorn inte har hand om någon SIP-domän själv, finns det inga Lokala SIP-domäner. Därför måste alternativet Behandla alla väljas här. Den här inställningen görs av startverktyget. Grundinställningar Om man inte anger något SIP-relä måste SIParatorn istället ha minst en DNS-server för att kunna slå upp olika SIP-domäner som man vill kommunicera med. DNS-servrar anges på sidan Grundinställningar under Grundinställningar. 39

48 Chapter 4. SIP-grundkonfiguration steg för steg Spara/Läsa inställningar Gå till sist till sidan Spara/Läsa inställningar under Administration och ta de nya inställningarna i drift genom att trycka på Ta i drift. När inställningarna har tagits i drift bör du också spara en kopia av dem. Tryck på Spara inställningarna i CLI-format för att spara konfigurationen. DMZ-SIParator, SIParatorn är SIP-server, PSTN-sluss på insidan Ofta vill man ha så många SIP-funktioner som möjligt på samma ställe. Det är möjligt att låta SIParatorn ta hand om de flesta vanliga funktioner, såsom registrering av användare, routning av SIP-trafik och omskrivning för NATade paket. En funktion som SIParatorn inte kan sköta själv är ihopkoppling med det traditionella telefonnätet. För detta använder man en server som kallas PSTN-sluss, och som huvudsakligen endast översätter mellan SIP och traditionell telefoni. Observera att SIParatorn måste ha en publik (ej NATad) IP-adress för att SIP-signaleringen ska fungera ordentligt. 40

49 Chapter 4. SIP-grundkonfiguration steg för steg Detta är de inställningar som behöver göras för SIP i detta fall. Beskrivningen förutsätter att SIParatorn i övrigt är färdigkonfigurerad. Här anges bara de extra inställningar som krävs för SIP. Nät och maskiner SIParatorn behöver veta hur nätverken omkring den ser ut. På sidan Nät och maskiner definierar du samtliga nätverk som brandväggen (som SIParatorn är kopplad till) känner till och som man inte använder standardnätslussen på brandväggen för att komma åt. Alla maskiner som kan nå varandra utan att gå via brandväggen ska tillhöra samma nätverk. Det går också att definiera andra nätverk och delar av nätverk för användning i andra delar av konfigurationen. 41

53 SIP-metoder Chapter 4. SIP-grundkonfiguration steg för steg Gå till sidan SIP-metoder under SIP-trafik. Det är lämpligt att autentisera metoden REGISTER till lokala domäner. Det betyder att när någon försöker registrera sig på vår SIP-domän kommer SIParatorn att kräva att användaren kan autentisera sig, men det går att ringa, skicka meddelanden och annat utan att autentisera sig när man väl är registrerad. Lokal registrator På sidan Lokal registrator definieras sedan vilka SIP-domäner SIParatorn har hand om samt om användarna finns i en lokal databas eller kontrolleras mot en RADIUS-server. Gör en ny rad i tabellen Lokala SIP-domäner och skriv in din SIP-domän. 45

55 Chapter 4. SIP-grundkonfiguration steg för steg Oftast vill man dock tillåta olika avsändare att göra olika saker. En vanlig konfiguration är att man låter alla användare på insidan kommunicera med alla, oavsett vilken SIP-domän de tillhör. SIP-trafik från utsidan släpps bara fram om den ska till en lokalt hanterad domän. Det ska inte komma några SIP-begäran från DMZ-nätet (om det gör det tyder det på att någon server där är crackad), så dessa ska spärras. Detta löser man genom att skapa proxyregler för de lokala nätverken (insidan och DMZ) och sedan låta Standardbehandling av begäran vara Endast lokala, vilket betyder att SIP-trafik från övriga nätverk endast kommer att behandlas om de ska till en lokal domän. Routning För att styra om trafik till telefoninätet kan man använda sig av Nummerplan. Här kan man exempelvis ange att all SIP-trafik till användarnamn som bara innehåller siffror (dvs egentligen är telefonnummer) ska skickas till vår PSTN-sluss. Det går också att skicka olika telefonnummer till olika servrar. I exemplet nedan skickas alla telefonnummer som börjar på 001 eller +1 till en server i USA, alla som börjar på 08 eller +468 till en server i Stockholm och alla som börjar på 013 eller till en server i Linköping. Övriga skickas till den lokala servern. Observera att tabellen läses uppifrån och ned, och den första rad som stämmer in används. Om man har klienter på insidan som inte klarar av autentisering av INVITE-metoden (den som används för att starta ett samtal) kan man ange ett undantagsnät till autentiseringen. Användarna på detta nätverk krävs inte på lösenord när de utnyttjar omskrivningarna. Ange i tabellen Matcha på From-fält det nätverk som dessa användare finns på och gör sedan en rad i tabellen Nummerplan, där Skicka vidare väljs under Funktion (dvs ingen autentisering ska krävas). Det är också bra att begränsa dessa omskrivningar till att endast gälla användare (telefonnummer) som hör till lokala domäner. Detta gör man genom att skriva "*local" under Domän när man konstruerar uttryck i tabellen Matcha på Request-URI. 47

56 Chapter 4. SIP-grundkonfiguration steg för steg För att förhindra att obehöriga utnyttjar denna möjlighet att ringa bör man kräva autentisering för dessa omskrivningar. Detta gör man genom att välja Aut&Skicka vidare under Funktion. Grundinställningar SIParatorn måste ha minst en DNS-server för att kunna slå upp olika SIP-domäner som man vill kommunicera med. DNS-servrar anges på sidan Grundinställningar under Grundinställningar. Den här inställningen görs av startverktyget. 48

57 Spara/Läsa inställningar Chapter 4. SIP-grundkonfiguration steg för steg Gå till sist till sidan Spara/Läsa inställningar under Administration och ta de nya inställningarna i drift genom att trycka på Ta i drift. När inställningarna har tagits i drift bör du också spara en kopia av dem. Tryck på Spara inställningarna i CLI-format för att spara konfigurationen. Standalone-SIParator, SIP-servern på utsidan Det enklaste scenariot när det gäller SIP är när SIP-servern står hos någon annan, och SIParatorns SIP-funktion endast ska användas för att komma förbi NATningen. Observera att SIParatorn måste ha en publik (ej NATad) IP-adress för att SIP-signaleringen ska fungera ordentligt. SIParator Detta är de inställningar som behöver göras för SIP i detta fall. Beskrivningen förutsätter att SIParatorn i övrigt är färdigkonfigurerad. Här anges bara de extra inställningar som krävs för SIP. 49

58 Chapter 4. SIP-grundkonfiguration steg för steg Grundinställningar Gå till sidan Grundinställningar under SIP-tjänster och slå på SIP-modulen. Här kan du också välja loggklasser för de loggmeddelanden som olika SIP-händelser genererar. Den här inställningen görs av startverktyget. Filtrering För att SIP-trafik ska släppas fram genom SIParatorn krävs att man ställer in en Standardbehandling av SIP-begäran, vilket görs på sidan Filtrering. Eftersom SIParatorn inte har hand om någon SIP-domän själv, finns det inga Lokala SIP-domäner. Därför måste alternativet Behandla alla väljas här. Den här inställningen görs av startverktyget. 50

59 Chapter 4. SIP-grundkonfiguration steg för steg Routning På sidan Routning kan man ange den SIP-server som har hand om den SIP-domän som man registrerar sig på. Den skrivs i så fall in under SIP-relä för utgående trafik och kan vara ett datornamn eller en IP-adress. Om man anger servern här kommer all SIP-trafik inifrån att skickas till den, oavsett vart den egentligen ska. Grundinställningar Om man inte anger något SIP-relä måste SIParatorn istället ha minst en DNS-server för att kunna slå upp olika SIP-domäner som man vill kommunicera med. DNS-servrar anges på sidan Grundinställningar under Grundinställningar. Spara/Läsa inställningar Gå till sist till sidan Spara/Läsa inställningar under Administration och ta de nya inställningarna i drift genom att trycka på Ta i drift. 51

60 Chapter 4. SIP-grundkonfiguration steg för steg När inställningarna har tagits i drift bör du också spara en kopia av dem. Tryck på Spara inställningarna i CLI-format för att spara konfigurationen. Klientinställningar SIP-klienterna på de interna nätverken ska ha SIParatorn som SIP-proxy och SIP-domänen som SIP-registrator. Standalone-SIParator, SIParatorn är SIP-server Ofta vill man ha så många SIP-funktioner som möjligt på samma ställe. Det är möjligt att låta SIParatorn ta hand om de flesta vanliga funktioner, såsom registrering av användare, routning av SIP-trafik och omskrivning för NATade paket. Observera att SIParatorn måste ha en publik (ej NATad) IP-adress för att SIP-signaleringen ska fungera ordentligt. SIParator Detta är de inställningar som behöver göras för SIP i detta fall. Beskrivningen förutsätter att SIParatorn i övrigt är färdigkonfigurerad. Här anges bara de extra inställningar som krävs för SIP. 52

61 Grundinställningar Chapter 4. SIP-grundkonfiguration steg för steg Gå till sidan Grundinställningar under SIP-tjänster och slå på SIP-modulen. Här kan du också välja loggklasser för de loggmeddelanden som olika SIP-händelser genererar. Den här inställningen görs av startverktyget. Autentisering och bokföring Om SIParatorn ska ta hand om användarregistreringar bör den kräva autentisering av användarna. Gå till sidan Autentisering och bokföring och slå på autentiseringen. Ange din SIP-domän som Realm. 53

62 Chapter 4. SIP-grundkonfiguration steg för steg Välj sedan var SIP-användardatabasen finns. Om ni har en RADIUS-server går det att låta SIParatorn koppla upp sig mot den för att autentisera användare. Det vanligaste är dock att man använder en lokal användardatabas. SIP-metoder Gå till sidan SIP-metoder under SIP-trafik. Det är lämpligt att autentisera metoden REGISTER till lokala domäner. Det betyder att när någon försöker registrera sig på vår SIP-domän kommer SIParatorn att kräva att användaren kan autentisera sig, men det går att ringa, skicka meddelanden och annat utan att autentisera sig när man väl är registrerad. 54

63 Chapter 4. SIP-grundkonfiguration steg för steg Lokal registrator På sidan Lokal registrator definieras sedan vilka SIP-domäner SIParatorn har hand om samt om användarna finns i en lokal databas eller kontrolleras mot en RADIUS-server. Gör en ny rad i tabellen Lokala SIP-domäner och skriv in din SIP-domän. Sedan ska SIP-användardatabasen skapas. Skriv in alla användare, deras lösenord, deras SIP-grupp samt varifrån de får registrera sig. 55

64 Chapter 4. SIP-grundkonfiguration steg för steg Detta behöver inte göras om du istället har valt att använda en befintlig RADIUS-server för autentiseringen. RADIUS Om du valt att använda en befintlig RADIUS-server för autentiseringen ska du istället gå till sidan RADIUS under Grundinställningar och ange den RADIUS-server som ska användas. Se även avsnittet RADIUS i kapitel 4 i Referenshandboken för mer information om hur RADIUS-servern ska konfigureras för SIP-autentisering. Filtrering På sidan Filtrering behöver man ställa in Proxyregler. Om SIParatorn ska behandla all SIP-trafik oavsett avsändare eller mottagare, behöver man bara en Standardbehandling av begäran, som sätts till Behandla alla. Oftast vill man dock tillåta olika avsändare att göra olika saker. En vanlig konfiguration är att man låter alla användare på insidan kommunicera med alla, oavsett vilken SIP-domän de tillhör. SIP-trafik från utsidan släpps bara fram om den ska till en lokalt hanterad domän. Detta löser man genom att skapa proxyregler för det lokala nätverket (insidan) och sedan låta Standardbehandling av begäran vara Endast lokala, vilket betyder att SIP-trafik från övriga nätverk endast kommer att behandlas om de ska till en lokal domän. 56

65 Chapter 4. SIP-grundkonfiguration steg för steg Grundinställningar SIParatorn måste ha minst en DNS-server för att kunna slå upp olika SIP-domäner som man vill kommunicera med. DNS-servrar anges på sidan Grundinställningar under Grundinställningar. Den här inställningen görs av startverktyget. Spara/Läsa inställningar Gå till sist till sidan Spara/Läsa inställningar under Administration och ta de nya inställningarna i drift genom att trycka på Ta i drift. 57

66 Chapter 4. SIP-grundkonfiguration steg för steg När inställningarna har tagits i drift bör du också spara en kopia av dem. Tryck på Spara inställningarna i CLI-format för att spara konfigurationen. Klientinställningar SIP-klienterna på de interna nätverken ska ha SIParatorn som SIP-proxy och SIP-domänen som SIP-registrator. Standalone-SIParator, SIP-servern på LANet Av olika anledningar kan man vilja använda en egen, separat SIP-server istället för den inbyggda i SIParatorn. En sådan SIP-server står oftast på insidan eller eventuellt ett DMZ. Om SIP-servern står på ett NATat nätverk ska DNS-uppslagningar för SIP-domänen peka på SIParatorn. Den får sedan skicka SIP-trafiken vidare till servern. Observera att SIParatorn måste ha en publik (ej NATad) IP-adress för att SIP-signaleringen ska fungera ordentligt. Detta är de inställningar som behöver göras för SIP i detta fall. Beskrivningen förutsätter att SIParatorn i övrigt är färdigkonfigurerad. Här anges bara de extra inställningar som krävs för SIP. Grundinställningar Gå till sidan Grundinställningar under SIP-tjänster och slå på SIP-modulen. Här kan du också välja loggklasser för de loggmeddelanden som olika SIP-händelser genererar. Den här inställningen görs av startverktyget. 58

67 Chapter 4. SIP-grundkonfiguration steg för steg Routning Om SIP-servern sitter på ett NATat nätverk kommer all SIP-trafik utifrån till SIP-domänen att styras till SIParatorn. Den behöver då veta att trafiken ska skickas vidare till servern. Ett sätt är att ange SIP-domänen i tabellen Intern DNS-tabell för SIP-begäran på sidan Routning och där peka på SIP-servern. SIParatorn kommer då att slå upp domänen här istället för hos den vanliga DNS-servern och få rätt IP-adress att skicka SIP-trafiken till. 59

68 Chapter 4. SIP-grundkonfiguration steg för steg Interop Om man använder Windows Messenger för SIP-kommunikationen behöver man göra en inställning på sidan Interop. Gå dit och ange att lr=true ska användas under Loose routing. Om SIP-servern är en LCS (Live Communications Server) eller någon annan server som inte tillåter mer än ett Via-fält i SIP-paketen, måste SIP-serverns IP-adress skrivas in i tabellen Ta bort VIA-fält. Detta innebär att då ett SIP-paket skickas till servern skrivs det om så att det bara finns ett Via-fält kvar i det. När paketet skickas tillbaka läggs den borttagna informationen till igen. Filtrering För att SIP-trafik ska släppas fram genom SIParatorn krävs att man ställer in en Standardbehandling av SIP-begäran, vilket görs på sidan Filtrering. Eftersom SIParatorn inte har hand om någon SIP-domän själv, finns det inga Lokala SIP-domäner. Därför måste alternativet Behandla alla väljas här. Den här inställningen görs av startverktyget. Grundinställningar Om man inte anger något SIP-relä måste SIParatorn istället ha minst en DNS-server för att kunna slå upp olika SIP-domäner som man vill kommunicera med. DNS-servrar anges på sidan Grundinställningar under Grundinställningar. 60

69 Chapter 4. SIP-grundkonfiguration steg för steg Spara/Läsa inställningar Gå till sist till sidan Spara/Läsa inställningar under Administration och ta de nya inställningarna i drift genom att trycka på Ta i drift. När inställningarna har tagits i drift bör du också spara en kopia av dem. Tryck på Spara inställningarna i CLI-format för att spara konfigurationen. Klientinställningar SIP-klienterna på de interna nätverken ska ha SIParatorn som SIP-proxy och SIP-domänen som SIP-registrator. Standalone-SIParator, SIParatorn är SIP-server, PSTN-sluss på insidan Ofta vill man ha så många SIP-funktioner som möjligt på samma ställe. Det är möjligt att låta SIParatorn ta hand om de flesta vanliga funktioner, såsom registrering av användare, routning av SIP-trafik och omskrivning för NATade paket. 61

70 Chapter 4. SIP-grundkonfiguration steg för steg En funktion som SIParatorn inte kan sköta själv är ihopkoppling med det traditionella telefonnätet. För detta använder man en server som kallas PSTN-sluss, och som huvudsakligen endast översätter mellan SIP och traditionell telefoni. Observera att SIParatorn måste ha en publik (ej NATad) IP-adress för att SIP-signaleringen ska fungera ordentligt. Detta är de inställningar som behöver göras för SIP i detta fall. Beskrivningen förutsätter att SIParatorn i övrigt är färdigkonfigurerad. Här anges bara de extra inställningar som krävs för SIP. Grundinställningar Gå till sidan Grundinställningar under SIP-tjänster och slå på SIP-modulen. Här kan du också välja loggklasser för de loggmeddelanden som olika SIP-händelser genererar. Den här inställningen görs av startverktyget. 62

72 Chapter 4. SIP-grundkonfiguration steg för steg SIP-metoder Gå till sidan SIP-metoder under SIP-trafik. Det är lämpligt att autentisera metoden REGISTER till lokala domäner. Det betyder att när någon försöker registrera sig på vår SIP-domän kommer SIParatorn att kräva att användaren kan autentisera sig, men det går att ringa, skicka meddelanden och annat utan att autentisera sig när man väl är registrerad. Lokal registrator På sidan Lokal registrator definieras sedan vilka SIP-domäner SIParatorn har hand om samt om användarna finns i en lokal databas eller kontrolleras mot en RADIUS-server. Gör en ny rad i tabellen Lokala SIP-domäner och skriv in din SIP-domän. 64

76 Chapter 4. SIP-grundkonfiguration steg för steg Spara/Läsa inställningar Gå till sist till sidan Spara/Läsa inställningar under Administration och ta de nya inställningarna i drift genom att trycka på Ta i drift. När inställningarna har tagits i drift bör du också spara en kopia av dem. Tryck på Spara inställningarna i CLI-format för att spara konfigurationen. Klientinställningar SIP-klienterna på de interna nätverken ska ha SIParatorn som SIP-proxy och SIP-domänen som SIP-registrator. DMZ/LAN-SIParator, SIP-servern på utsidan Det enklaste scenariot när det gäller SIP är när SIP-servern står hos någon annan, och SIParatorns SIP-funktion endast ska användas för att komma förbi NATningen. Observera att SIParatorn måste ha en publik (ej NATad) IP-adress för att SIP-signaleringen ska fungera ordentligt. Internet Firewall SIParator 68

77 Chapter 4. SIP-grundkonfiguration steg för steg Detta är de inställningar som behöver göras för SIP i detta fall. Beskrivningen förutsätter att SIParatorn i övrigt är färdigkonfigurerad. Här anges bara de extra inställningar som krävs för SIP. Grundinställningar Gå till sidan Grundinställningar under SIP-tjänster och slå på SIP-modulen. Här kan du också välja loggklasser för de loggmeddelanden som olika SIP-händelser genererar. Den här inställningen görs av startverktyget. Filtrering För att SIP-trafik ska släppas fram genom SIParatorn krävs att man ställer in en Standardbehandling av SIP-begäran, vilket görs på sidan Filtrering. Eftersom SIParatorn inte har hand om någon SIP-domän själv, finns det inga Lokala SIP-domäner. Därför måste alternativet Behandla alla väljas här. Den här inställningen görs av startverktyget. 69

78 Chapter 4. SIP-grundkonfiguration steg för steg Routning På sidan Routning kan man ange den SIP-server som har hand om den SIP-domän som man registrerar sig på. Den skrivs i så fall in under SIP-relä för utgående trafik och kan vara ett datornamn eller en IP-adress. Om man anger servern här kommer all SIP-trafik inifrån att skickas till den, oavsett vart den egentligen ska. Grundinställningar Om man inte anger något SIP-relä måste SIParatorn istället ha minst en DNS-server för att kunna slå upp olika SIP-domäner som man vill kommunicera med. DNS-servrar anges på sidan Grundinställningar under Grundinställningar. Spara/Läsa inställningar Gå till sist till sidan Spara/Läsa inställningar under Administration och ta de nya inställningarna i drift genom att trycka på Ta i drift. 70

79 Chapter 4. SIP-grundkonfiguration steg för steg När inställningarna har tagits i drift bör du också spara en kopia av dem. Tryck på Spara inställningarna i CLI-format för att spara konfigurationen. Klientinställningar SIP-klienterna på de interna nätverken ska ha SIParatorn som SIP-proxy och SIP-domänen som SIP-registrator. DMZ/LAN-SIParator, SIParatorn är SIP-server Ofta vill man ha så många SIP-funktioner som möjligt på samma ställe. Det är möjligt att låta SIParatorn ta hand om de flesta vanliga funktioner, såsom registrering av användare, routning av SIP-trafik och omskrivning för NATade paket. Observera att SIParatorn måste ha en publik (ej NATad) IP-adress för att SIP-signaleringen ska fungera ordentligt. Internet Firewall SIParator Detta är de inställningar som behöver göras för SIP i detta fall. Beskrivningen förutsätter att SIParatorn i övrigt är färdigkonfigurerad. Här anges bara de extra inställningar som krävs för SIP. 71

80 Chapter 4. SIP-grundkonfiguration steg för steg Grundinställningar Gå till sidan Grundinställningar under SIP-tjänster och slå på SIP-modulen. Här kan du också välja loggklasser för de loggmeddelanden som olika SIP-händelser genererar. Den här inställningen görs av startverktyget. Autentisering och bokföring Om SIParatorn ska ta hand om användarregistreringar bör den kräva autentisering av användarna. Gå till sidan Autentisering och bokföring och slå på autentiseringen. Ange din SIP-domän som Realm. 72

81 Chapter 4. SIP-grundkonfiguration steg för steg Välj sedan var SIP-användardatabasen finns. Om ni har en RADIUS-server går det att låta SIParatorn koppla upp sig mot den för att autentisera användare. Det vanligaste är dock att man använder en lokal användardatabas. SIP-metoder Gå till sidan SIP-metoder under SIP-trafik. Det är lämpligt att autentisera metoden REGISTER till lokala domäner. Det betyder att när någon försöker registrera sig på vår SIP-domän kommer SIParatorn att kräva att användaren kan autentisera sig, men det går att ringa, skicka meddelanden och annat utan att autentisera sig när man väl är registrerad. 73

82 Chapter 4. SIP-grundkonfiguration steg för steg Lokal registrator På sidan Lokal registrator definieras sedan vilka SIP-domäner SIParatorn har hand om samt om användarna finns i en lokal databas eller kontrolleras mot en RADIUS-server. Gör en ny rad i tabellen Lokala SIP-domäner och skriv in din SIP-domän. Sedan ska SIP-användardatabasen skapas. Skriv in alla användare, deras lösenord, deras SIP-grupp samt varifrån de får registrera sig. 74

83 Chapter 4. SIP-grundkonfiguration steg för steg Detta behöver inte göras om du istället har valt att använda en befintlig RADIUS-server för autentiseringen. RADIUS Om du valt att använda en befintlig RADIUS-server för autentiseringen ska du istället gå till sidan RADIUS under Grundinställningar och ange den RADIUS-server som ska användas. Se även avsnittet RADIUS i kapitel 4 i Referenshandboken för mer information om hur RADIUS-servern ska konfigureras för SIP-autentisering. Filtrering På sidan Filtrering behöver man ställa in Proxyregler. Om SIParatorn ska behandla all SIP-trafik oavsett avsändare eller mottagare, behöver man bara en Standardbehandling av begäran, som sätts till Behandla alla. Oftast vill man dock tillåta olika avsändare att göra olika saker. En vanlig konfiguration är att man låter alla användare på insidan kommunicera med alla, oavsett vilken SIP-domän de tillhör. SIP-trafik från utsidan släpps bara fram om den ska till en lokalt hanterad domän. Detta löser man genom att skapa proxyregler för det lokala nätverket (insidan) och sedan låta Standardbehandling av begäran vara Endast lokala, vilket betyder att SIP-trafik från övriga nätverk endast kommer att behandlas om de ska till en lokal domän. 75

84 Chapter 4. SIP-grundkonfiguration steg för steg Grundinställningar SIParatorn måste ha minst en DNS-server för att kunna slå upp olika SIP-domäner som man vill kommunicera med. DNS-servrar anges på sidan Grundinställningar under Grundinställningar. Den här inställningen görs av startverktyget. Spara/Läsa inställningar Gå till sist till sidan Spara/Läsa inställningar under Administration och ta de nya inställningarna i drift genom att trycka på Ta i drift. 76

85 Chapter 4. SIP-grundkonfiguration steg för steg När inställningarna har tagits i drift bör du också spara en kopia av dem. Tryck på Spara inställningarna i CLI-format för att spara konfigurationen. Klientinställningar SIP-klienterna på de interna nätverken ska ha SIParatorn som SIP-proxy och SIP-domänen som SIP-registrator. DMZ/LAN-SIParator, SIP-servern på LANet Av olika anledningar kan man vilja använda en egen, separat SIP-server istället för den inbyggda i SIParatorn. En sådan SIP-server står oftast på insidan eller eventuellt ett DMZ. Om SIP-servern står på ett NATat nätverk ska DNS-uppslagningar för SIP-domänen peka på SIParatorn. Den får sedan skicka SIP-trafiken vidare till servern. Observera att SIParatorn måste ha en publik (ej NATad) IP-adress för att SIP-signaleringen ska fungera ordentligt. Internet Firewall SIParator SIP server Detta är de inställningar som behöver göras för SIP i detta fall. Beskrivningen förutsätter att SIParatorn i övrigt är färdigkonfigurerad. Här anges bara de extra inställningar som krävs för SIP. Grundinställningar Gå till sidan Grundinställningar under SIP-tjänster och slå på SIP-modulen. Här kan du också välja loggklasser för de loggmeddelanden som olika SIP-händelser genererar. Den här inställningen görs av startverktyget. 77

86 Chapter 4. SIP-grundkonfiguration steg för steg Routning Om SIP-servern sitter på ett NATat nätverk kommer all SIP-trafik utifrån till SIP-domänen att styras till SIParatorn. Den behöver då veta att trafiken ska skickas vidare till servern. Ett sätt är att ange SIP-domänen i tabellen Intern DNS-tabell för SIP-begäran på sidan Routning och där peka på SIP-servern. SIParatorn kommer då att slå upp domänen här istället för hos den vanliga DNS-servern och få rätt IP-adress att skicka SIP-trafiken till. 78

87 Interop Chapter 4. SIP-grundkonfiguration steg för steg Om man använder Windows Messenger för SIP-kommunikationen behöver man göra en inställning på sidan Interop. Gå dit och ange att lr=true ska användas under Loose routing. Om SIP-servern är en LCS (Live Communications Server) eller någon annan server som inte tillåter mer än ett Via-fält i SIP-paketen, måste SIP-serverns IP-adress skrivas in i tabellen Ta bort VIA-fält. Detta innebär att då ett SIP-paket skickas till servern skrivs det om så att det bara finns ett Via-fält kvar i det. När paketet skickas tillbaka läggs den borttagna informationen till igen. Filtrering För att SIP-trafik ska släppas fram genom SIParatorn krävs att man ställer in en Standardbehandling av SIP-begäran, vilket görs på sidan Filtrering. Eftersom SIParatorn inte har hand om någon SIP-domän själv, finns det inga Lokala SIP-domäner. Därför måste alternativet Behandla alla väljas här. Den här inställningen görs av startverktyget. Grundinställningar Om man inte anger något SIP-relä måste SIParatorn istället ha minst en DNS-server för att kunna slå upp olika SIP-domäner som man vill kommunicera med. DNS-servrar anges på sidan Grundinställningar under Grundinställningar. 79

88 Chapter 4. SIP-grundkonfiguration steg för steg Spara/Läsa inställningar Gå till sist till sidan Spara/Läsa inställningar under Administration och ta de nya inställningarna i drift genom att trycka på Ta i drift. När inställningarna har tagits i drift bör du också spara en kopia av dem. Tryck på Spara inställningarna i CLI-format för att spara konfigurationen. Klientinställningar SIP-klienterna på de interna nätverken ska ha SIParatorn som SIP-proxy och SIP-domänen som SIP-registrator. DMZ/LAN-SIParator, SIParatorn är SIP-server, PSTN-sluss på insidan Ofta vill man ha så många SIP-funktioner som möjligt på samma ställe. Det är möjligt att låta SIParatorn ta hand om de flesta vanliga funktioner, såsom registrering av användare, routning av SIP-trafik och omskrivning för NATade paket. 80

89 Chapter 4. SIP-grundkonfiguration steg för steg En funktion som SIParatorn inte kan sköta själv är ihopkoppling med det traditionella telefonnätet. För detta använder man en server som kallas PSTN-sluss, och som huvudsakligen endast översätter mellan SIP och traditionell telefoni. Observera att SIParatorn måste ha en publik (ej NATad) IP-adress för att SIP-signaleringen ska fungera ordentligt. Firewall Internet SIParator PSTN gateway Detta är de inställningar som behöver göras för SIP i detta fall. Beskrivningen förutsätter att SIParatorn i övrigt är färdigkonfigurerad. Här anges bara de extra inställningar som krävs för SIP. Grundinställningar Gå till sidan Grundinställningar under SIP-tjänster och slå på SIP-modulen. Här kan du också välja loggklasser för de loggmeddelanden som olika SIP-händelser genererar. Den här inställningen görs av startverktyget. 81

91 SIP-metoder Chapter 4. SIP-grundkonfiguration steg för steg Gå till sidan SIP-metoder under SIP-trafik. Det är lämpligt att autentisera metoden REGISTER till lokala domäner. Det betyder att när någon försöker registrera sig på vår SIP-domän kommer SIParatorn att kräva att användaren kan autentisera sig, men det går att ringa, skicka meddelanden och annat utan att autentisera sig när man väl är registrerad. Lokal registrator På sidan Lokal registrator definieras sedan vilka SIP-domäner SIParatorn har hand om samt om användarna finns i en lokal databas eller kontrolleras mot en RADIUS-server. Gör en ny rad i tabellen Lokala SIP-domäner och skriv in din SIP-domän. 83

95 Spara/Läsa inställningar Chapter 4. SIP-grundkonfiguration steg för steg Gå till sist till sidan Spara/Läsa inställningar under Administration och ta de nya inställningarna i drift genom att trycka på Ta i drift. När inställningarna har tagits i drift bör du också spara en kopia av dem. Tryck på Spara inställningarna i CLI-format för att spara konfigurationen. Klientinställningar SIP-klienterna på de interna nätverken ska ha SIParatorn som SIP-proxy och SIP-domänen som SIP-registrator. LAN-SIParator Av olika anledningar kan man vilja använda en separat SIP-server istället för den som finns i SIParatorn. Denna SIP-server finns antagligen på insidan eller på ett DMZ. Som LAN-SIParator kopplas SIParatorn till ett NATat nätverk. 87

96 Chapter 4. SIP-grundkonfiguration steg för steg Detta är de inställningar som behöver göras för SIP i detta fall. Beskrivningen förutsätter att SIParatorn i övrigt är färdigkonfigurerad. Här anges bara de extra inställningar som krävs för SIP. I dessa instruktioner har vissa inställningar fått följande anmärkning: Den här inställningen görs av startverktyget. Det betyder att om man började att installera SIParatorn med Ingates startverktyg kommer inställningen redan att ha rätt värde. Nät och maskiner SIParatorn behöver veta hur nätverken omkring den ser ut. På sidan Nät och maskiner definierar du samtliga nätverk som brandväggen (som SIParatorn är kopplad till) känner till och som man inte använder standardnätslussen på brandväggen för att komma åt. Alla maskiner som kan nå varandra utan att gå via brandväggen ska tillhöra samma nätverk. Det går också att definiera andra nätverk och delar av nätverk för användning i andra delar av konfigurationen. Den här inställningen görs av startverktyget. Topologi De nätverk som definierades ovan ska sedan räknas upp på sidan Topologi för att SIParatorn ska veta hur nätverksstrukturen ser ut. 88

97 Chapter 4. SIP-grundkonfiguration steg för steg I tabellen Omgivningar behöver man bara göra inställningar om man har valt typen DMZ (eller LAN). SIParatorn måste i DMZ-konfigurationen veta hur nätverken omkring den ser ut. Här anges samtliga nätverk som brandväggen (som SIParatorn är kopplad till) känner till och som man inte använder standardnätslussen på brandväggen för att komma åt. Alla maskiner som kan nå varandra utan att gå via brandväggen ska tillhöra samma nätverk. När man är klar finns det ofta en rad för varje fysiskt nätverk kopplat till brandväggen (utom Internet). Detta kommer bland annat att medföra att trafik mellan två olika nätverk, eller mellan ett av dessa nätverk och en maskin som inte finns i något av de uppräknade nätverken, kommer att NAT:as. En annan följd är att om två användare på samma nätverk, eller nätverk (samma eller olika) som inte finns uppräknade här, försöker öppna en förbindelse, kommer det inte att öppnas några portar för RTP-sessionerna genom SIParatorn, eftersom den antar att båda användarna sitter på samma sida av brandväggen. Om man har valt SIParatortypen DMZ eller LAN bör man ha angivit minst ett nätverk här sida. Om det inte finns några nätverk här kommer SIParatorn inte att NATa någon trafik alls. Den här inställningen görs av startverktyget. Grundinställningar Gå till sidan Grundinställningar under SIP-tjänster och slå på SIP-modulen. Här kan du också välja loggklasser för de loggmeddelanden som olika SIP-händelser genererar. Den här inställningen görs av startverktyget. 89

98 Chapter 4. SIP-grundkonfiguration steg för steg Filtrering För att SIP-trafik ska släppas fram genom SIParatorn krävs att man ställer in en Standardbehandling av SIP-begäran, vilket görs på sidan Filtrering. Eftersom SIParatorn inte har hand om någon SIP-domän själv, finns det inga Lokala SIP-domäner. Därför måste alternativet Behandla alla väljas här. Den här inställningen görs av startverktyget. Grundinställningar SIParatorn måste ha minst en DNS-server för att kunna slå upp olika SIP-domäner som man vill kommunicera med. DNS-servrar anges på sidan Grundinställningar under Grundinställningar. Den här inställningen görs av startverktyget. 90

99 Chapter 4. SIP-grundkonfiguration steg för steg Remote SIP Connectivity Om det finns SIP-klienter bakom andra NAT-maskiner behöver NAT-passering aktiveras. Interop Skriv in den publika IP-adress som motsvarar SIParatorn under Extern IP-adress för NATad SIParator. Detta gör att SIParatorn kan skriva om utgående SIP-paket på rätt sätt. Den här inställningen görs av startverktyget. 91

100 Chapter 4. SIP-grundkonfiguration steg för steg Spara/Läsa inställningar Gå till sist till sidan Spara/Läsa inställningar under Administration och ta de nya inställningarna i drift genom att trycka på Ta i drift. När inställningarna har tagits i drift bör du också spara en kopia av dem. Tryck på Spara inställningarna i CLI-format för att spara konfigurationen. The Firewall The firewall in front of the LAN SIParator must be configured in this way: There must be a static IP address that can be mapped to the SIParator s private IP address. All traffic to this IP address must be forwarded to the SIParator. When the firewall forwards traffic to the SIParator, it must not NAT this traffic, i.e. the SIParator needs to see the original sender IP address. All outgoing traffic from the SIParator should be allowed through the firewall. For outgoing traffic from the SIParator, the firewall needs to use the same IP address as above when performing NAT. If another IP address is used, some SIP signaling will go awry, and Remote SIP Connectivity will not always work properly. For outgoing traffic from the SIParator the firewall must not change sender port when performing NAT. If it does change port, Remote SIP Connectivity will not always work properly. 92

101 WAN-SIParator Chapter 4. SIP-grundkonfiguration steg för steg WAN-SIParatorn kopplas in med ett gränssnitt till Internet och ett gränssnitt till utsidan på den befintliga brandväggen. Övriga gränssnitt kan kopplas till interna nätverk, DMZ eller andra nätverk, som kan vara NATade men inte behöver vara det. Internet data/voip SIParator data Firewall VoIP Fig. 1. WAN-SIParator kopplad till ett internt nätverk. Fig. 2. WAN-SIParator kopplad till ett DMZ. 93

102 Chapter 4. SIP-grundkonfiguration steg för steg Nät och maskiner SIParatorn behöver veta hur nätverken omkring den ser ut. På sidan Nät och maskiner definierar du samtliga nätverk som brandväggen (som SIParatorn är kopplad till) känner till och som man inte använder standardnätslussen på brandväggen för att komma åt. Alla maskiner som kan nå varandra utan att gå via brandväggen ska tillhöra samma nätverk. Det går också att definiera andra nätverk och delar av nätverk för användning i andra delar av konfigurationen. Den här inställningen görs av startverktyget. Topologi De nätverk som definierades ovan ska sedan räknas upp på sidan Topologi för att SIParatorn ska veta hur nätverksstrukturen ser ut. I tabellen Omgivningar behöver man bara göra inställningar om man har valt typen DMZ (eller LAN). SIParatorn måste i DMZ-konfigurationen veta hur nätverken omkring den ser ut. Här anges samtliga nätverk som brandväggen (som SIParatorn är kopplad till) känner till och som man inte använder standardnätslussen på brandväggen för att komma åt. Alla maskiner som kan nå varandra utan att gå via brandväggen ska tillhöra samma nätverk. När man är klar finns det ofta en rad för varje fysiskt nätverk kopplat till brandväggen (utom Internet). Detta kommer bland annat att medföra att trafik mellan två olika nätverk, eller mellan ett av dessa nätverk och en maskin som inte finns i något av de uppräknade nätverken, kommer att NAT:as. En annan följd är att om två användare på samma nätverk, eller nätverk (samma eller olika) som inte finns uppräknade här, försöker öppna en förbindelse, kommer det inte att öppnas några portar för RTP-sessionerna genom SIParatorn, eftersom den antar att båda användarna sitter på samma sida av brandväggen. Om man har valt SIParatortypen DMZ eller LAN bör man ha angivit minst ett nätverk här sida. Om det inte finns några nätverk här kommer SIParatorn inte att NATa någon trafik alls. Den här inställningen görs av startverktyget. 94

103 Grundinställningar Chapter 4. SIP-grundkonfiguration steg för steg Gå till sidan Grundinställningar under SIP-tjänster och slå på SIP-modulen. Här kan du också välja loggklasser för de loggmeddelanden som olika SIP-händelser genererar. Den här inställningen görs av startverktyget. Filtrering För att SIP-trafik ska släppas fram genom SIParatorn krävs att man ställer in en Standardbehandling av SIP-begäran, vilket görs på sidan Filtrering. Eftersom SIParatorn inte har hand om någon SIP-domän själv, finns det inga Lokala SIP-domäner. Därför måste alternativet Behandla alla väljas här. Den här inställningen görs av startverktyget. 95

104 Chapter 4. SIP-grundkonfiguration steg för steg Grundinställningar SIParatorn måste ha minst en DNS-server för att kunna slå upp olika SIP-domäner som man vill kommunicera med. DNS-servrar anges på sidan Grundinställningar under Grundinställningar. Den här inställningen görs av startverktyget. Remote SIP Connectivity Om det finns SIP-klienter bakom andra NAT-maskiner behöver NAT-passering aktiveras. 96

105 Chapter 4. SIP-grundkonfiguration steg för steg Interop Skriv in den publika IP-adress som motsvarar SIParatorn under Extern IP-adress för NATad SIParator. Detta gör att SIParatorn kan skriva om utgående SIP-paket på rätt sätt. Den här inställningen görs av startverktyget. Spara/Läsa inställningar Gå till sist till sidan Spara/Läsa inställningar under Administration och ta de nya inställningarna i drift genom att trycka på Ta i drift. 97

106 Chapter 4. SIP-grundkonfiguration steg för steg När inställningarna har tagits i drift bör du också spara en kopia av dem. Tryck på Spara inställningarna i CLI-format för att spara konfigurationen. The Firewall The firewall in front of the LAN SIParator must be configured in this way: There must be a static IP address that can be mapped to the SIParator s private IP address. All traffic to this IP address must be forwarded to the SIParator. When the firewall forwards traffic to the SIParator, it must not NAT this traffic, i.e. the SIParator needs to see the original sender IP address. All outgoing traffic from the SIParator should be allowed through the firewall. For outgoing traffic from the SIParator, the firewall needs to use the same IP address as above when performing NAT. If another IP address is used, some SIP signaling will go awry, and Remote SIP Connectivity will not always work properly. For outgoing traffic from the SIParator the firewall must not change sender port when performing NAT. If it does change port, Remote SIP Connectivity will not always work properly. 98

107 Chapter 5. Avancerad SIP-konfiguration steg för steg Ingate SIParator har många möjligheter när det gäller SIP. Detta kapitel innehåller fullständiga inställningar för en del avancerade SIP-scenarier. SIP-operatörskonton genom Ingate SIParator steg för steg Här visas hur SIParatorn ska konfigureras för att registrera sig hos din SIP-operatör och för att samtal mellan lokala användare och PSTN-nätet ska gå via SIP-operatörskontot. Denna funktion finns endast när någon av modulerna Advanced SIP Routing och SIP Trunking installerats. Gå till sidan Lokal registrator och gör en rad per SIP-operatörskonto. Skriv in det användarnamn och lösenord som du fått från operatören, och välj kontotypen XF/Registrering. Denna kontotyp gör att SIParatorn kommer att registrera sig hos operatören med de användaruppgifter som angivits här. En del operatörer kräver inte registrering. Välj i så fall kontotypen XF istället. Fältet Registrering från används inte för denna kontotyp. Välj vilket nätverk som helst. Om SIParatorn ska vara registrator för telefonerna på insidan bör du ha en lokal SIP-domän. Domänen kan heta vad som helst, bara den inte används av någon annan. Ett sätt att enkelt skaffa en egen SIP-domän är att använda företagets www-adress, men ersätta "www" med "sip", till exempel sip.ingate.com. Samma domän kan då också användas i vanliga SIP-till-SIP-samtal. Ange denna domän på sidan Lokal registrator under SIP-trafik. Skapa sedan lokala användare i tabellen Lokal SIP-användardatabas. Dessa användare kommer att registrera sig på SIParatorn med de användarnamn som anges här. Skriv också in deras lösenord och välj vilket nätverk de får registrera sig från. Obs! De lokala användarna får inte ha samma användarnamn som de operatörskonton du har fått från SIP-operatören. 99

108 Chapter 5. Avancerad SIP-konfiguration steg för steg Gå till sidan Autentisering och bokföring och välj att autentiseringen ska vara på. Ange också den lokala SIP-domänen som Realm. Utgående samtal För utgående samtal måste SIParatorn veta när SIP-operatörskontot ska användas. Vanligtvis används den här typen av konton till samtal som ska gå ut till det vanliga telefonnätet (PSTN). På sidan Nummerplan definieras vilken typ av samtal som ska skickas vidare till operatören. Först ska Nummerplanen vara på. Visa samma nummer utåt Man kan välja att visa samma uppringande nummer oavsett vem som gör samtalet. Detta är praktiskt om man har ett växelnummer som man vill att andra ska använda när de ringer tillbaka. I tabellen Matcha på From-fält anges vilket nätverk samtalet ska komma ifrån. Det går också att ange hur From-fältet ska se ut (det fält som talar om vem som ringer). Detta används sedan i tabellen Nummerplan. Ge informativa namn till definitionerna för att underlätta senare. 100

109 Chapter 5. Avancerad SIP-konfiguration steg för steg I tabellen Matcha på Request-URI definieras vart samtal är adresserade. Detta används sedan i tabellen Nummerplan. I det här fallet ska de samtal skiljas ut som ska skickas till SIP-operatören, vilket är samtal som ska ut på PSTN-nätet (vanliga telefonnätet). Dessa samtal har en adressrad (Request-URI) vars användardel endast består av siffror, eftersom man där skriver in ett vanligt telefonnummer. Samtal till exempelvis helen@sip.ingate.com ska inte skickas till SIP-operatören utan tas omhand av SIParatorn. Det går att låta användarna använda + som utlandsprefix istället för 00 eller annat "officiellt" utlandsprefix. För att genomföra detta ska + skrivas in i fältet Prefix, vilket betyder att det kommer att tas bort innan begäran skickas vidare. I fältet Min.rest har i exemplet värdet 4 angivits för att det ska gå att ha tresiffriga lokala anknytningsnummer som inte ska hanteras av SIParatorns Nummerplan. I tabellen Skicka vidare till definieras vart SIParatorn ska skicka samtalen. Detta används sedan i tabellen Nummerplan. Här ska samtalen skickas vidare till SIP-operatören. Skriv in operatörens IP-adress i fältet Utbytes-URI. Till sist ska dessa definitioner kombineras i tabellen Nummerplan. Gör en rad för utlandssamtal och en för övriga samtal, eftersom korrekt utlandsprefix endast ska läggas till för utlandssamtal. När en lokal användare ringer ett telefonnummer kommer SIParatorn att skriva om SIP-signaleringen så att SIP-operatörskontot används, och skicka samtalet vidare till SIP-operatören. 101

110 Chapter 5. Avancerad SIP-konfiguration steg för steg Visa olika nummer utåt Man kan välja att visa olika uppringande nummer beroende på vem som gör samtalet. Detta är praktiskt om man vill visa utåt exakt vem det är som ringer, och vill att andra ska använda samma nummer när de ringer tillbaka. I tabellen Matcha på From-fält anges vilket nätverk samtalet ska komma ifrån. Det går också att ange hur From-fältet ska se ut (det fält som talar om vem som ringer). Detta används sedan i tabellen Nummerplan. Ge informativa namn till definitionerna för att underlätta senare. Skapa här en rad för varje användare. Dessa ska sedan användas för att visa rätt nummer för den uppringda användaren. I tabellen Matcha på Request-URI definieras vart samtal är adresserade. Detta används sedan i tabellen Nummerplan. I det här fallet ska de samtal skiljas ut som ska skickas till SIP-operatören, vilket är samtal som ska ut på PSTN-nätet (vanliga telefonnätet). Dessa samtal har en adressrad (Request-URI) vars användardel endast består av siffror, eftersom man där skriver in ett vanligt telefonnummer. Samtal till exempelvis helen@sip.ingate.com ska inte skickas till SIP-operatören utan tas omhand av SIParatorn. Det går att låta användarna använda + som utlandsprefix istället för 00 eller annat "officiellt" utlandsprefix. För att genomföra detta ska + skrivas in i fältet Prefix, vilket betyder att det kommer att tas bort innan begäran skickas vidare. I fältet Min.rest har i exemplet värdet 4 angivits för att det ska gå att ha tresiffriga lokala anknytningsnummer som inte ska hanteras av SIParatorns Nummerplan. I tabellen Skicka vidare till definieras vart SIParatorn ska skicka samtalen. Detta används sedan i tabellen Nummerplan. Här ska samtalen från en viss användare skickas vidare till SIP-operatörskontot med användarens nummer. Gör en rad per användare och välj kontot under Konto. 102

111 Chapter 5. Avancerad SIP-konfiguration steg för steg Till sist ska dessa definitioner kombineras i tabellen Nummerplan. För varje användare måste du göra en rad för utlandssamtal och en för övriga samtal, eftersom korrekt utlandsprefix endast ska läggas till för utlandssamtal. När en lokal användare ringer ett telefonnummer kommer SIParatorn att skriva om SIP-signaleringen så att SIP-operatörskontot används, och skicka samtalet vidare till SIP-operatören. Inkommande samtal Om du hos samma SIP-operatör har flera telefonnummer, går det att låta olika lokala användare ha varsitt telefonnummer. Konfiguration för detta görs på sidan Routning. Det finns två olika sätt att knyta telefonnummer till användare; antingen skickas samtal till telefonnumret vidare till en bestämd användare, eller också får användaren ett telefonnummer som alias. Det senare fungerar bara om modulen Advanced SIP Routing finns installerad och operatören inte kräver registrering. I tabellen Användarstyrningkan man för varje användare ange ett eller flera telefonnummer som Alias. Detta kommer endast att fungera om modulen Advanced SIP Routing finns installerad och operatören inte kräver registrering. Det går också att för varje telefonnummer ange vilken användare samtalet ska skickas till. När någon ringer kommer samtalet att gå via SIP-operatören till SIParatorn och slutligen till helen@sip.ingate.com. 103

112 Chapter 5. Avancerad SIP-konfiguration steg för steg Observera att endast tabellen Användarstyrning kan användas för att skicka vidare inkommande samtal. Det går inte att använda tabellen Statiska registreringar för XF- eller XF/Registrering-konton. Gå till sist till sidan Spara/Läsa inställningar under Administration och ta de nya inställningarna i drift genom att trycka på Ta i drift. SIP-operatörskonton och IP-PBX genom Ingate SIParator steg för steg Här visas hur SIParatorn ska konfigureras för att vidarebefordra SIP-samtal mellan din SIP-operatör och din egen IP-PBX. Konfigurationen skiljer sig något åt beroende på om operatören använder konton eller IP-adresser för autentiseringen. Denna funktion finns endast när någon av modulerna Advanced SIP Routing och SIP Trunking installerats. Istället för att konfigurera detta för hand kan man använda Ingates startverktyg, som kan laddas ned från Utgående samtal Autentisering med konto a.k.a. SIP Trunk via SIP konto Gå till sidan Lokal registrator och gör en rad per SIP-operatörskonto. Skriv in det användarnamn och lösenord som du fått från operatören, och välj kontotypen XF/Registrering. Denna kontotyp gör att SIParatorn kommer att registrera sig hos operatören med de användaruppgifter som angivits här. En del operatörer kräver inte registrering. Välj i så fall kontotypen XF istället. Fältet Registrering från används inte för denna kontotyp. Välj vilket nätverk som helst. 104

113 Chapter 5. Avancerad SIP-konfiguration steg för steg För utgående samtal måste SIParatorn veta när SIP-operatörskontot ska användas. Vanligtvis används den här typen av konton till samtal som ska gå ut till det vanliga telefonnätet (PSTN). På sidan Nummerplan definieras vilken typ av samtal som ska skickas vidare till operatören. Först ska Nummerplanen vara på. I tabellen Matcha på From-fält anges vilket nätverk samtalet ska komma ifrån. Det går också att ange hur From-fältet ska se ut (det fält som talar om vem som ringer). Detta används sedan i tabellen Nummerplan. Ge informativa namn till definitionerna för att underlätta senare. I det här fallet vill vi känna igen vilka samtal som kommer från PBXen. På det sättet kan vi se till att bara användare som PBXen har godkänt får använda vårt operatörskonto. I tabellen Matcha på Request-URI definieras vart samtal är adresserade. Detta används sedan i tabellen Nummerplan. I det här fallet ska de samtal skiljas ut som ska skickas till SIP-operatören, vilket är samtal som ska ut på PSTN-nätet (vanliga telefonnätet). Dessa samtal har en adressrad (Request-URI) vars användardel endast består av siffror, eftersom man där skriver in ett vanligt telefonnummer. Samtal till exempelvis helen@sip.ingate.com ska inte skickas till SIP-operatören utan tas omhand av SIParatorn. Det går att låta användarna använda + som utlandsprefix istället för 00 eller annat "officiellt" utlandsprefix. För att genomföra detta ska + skrivas in i fältet Prefix, vilket betyder att det kommer att tas bort innan begäran skickas vidare. I fältet Min.rest har i exemplet värdet 4 angivits för att det ska gå att ha tresiffriga lokala anknytningsnummer som inte ska hanteras av SIParatorns Nummerplan. 105

114 Chapter 5. Avancerad SIP-konfiguration steg för steg I tabellen Skicka vidare till definieras vart SIParatorn ska skicka samtalen. Detta används sedan i tabellen Nummerplan. Här ska samtalen skickas vidare till SIP-operatören. Skriv in operatörens IP-adress i fältet Utbytes-URI. Till sist ska dessa definitioner kombineras i tabellen Nummerplan. Gör en rad för utlandssamtal och en för övriga samtal, eftersom korrekt utlandsprefix endast ska läggas till för utlandssamtal. När en lokal användare ringer ett telefonnummer kommer SIParatorn att skriva om SIP-signaleringen så att SIP-operatörskontot används, och skicka samtalet vidare till SIP-operatören. Autentisering med IP-adress a.k.a SIP Trunk via IP-adress På sidan Nummerplan definieras vilken typ av samtal som ska skickas vidare till operatören. Först ska Nummerplanen vara på. I tabellen Matcha på From-fält anges vilket nätverk samtalet ska komma ifrån. Det går också att ange hur From-fältet ska se ut (det fält som talar om vem som ringer). Detta 106

115 Chapter 5. Avancerad SIP-konfiguration steg för steg används sedan i tabellen Nummerplan. Ge informativa namn till definitionerna för att underlätta senare. I tabellen Matcha på Request-URI definieras vart samtal är adresserade. Detta används sedan i tabellen Nummerplan. I det här fallet ska de samtal skiljas ut som ska skickas till SIP-operatören, vilket är samtal som ska ut på PSTN-nätet (vanliga telefonnätet). Dessa samtal har en adressrad (Request-URI) vars användardel endast består av siffror, eftersom man där skriver in ett vanligt telefonnummer. Samtal till exempelvis helen@sip.ingate.com ska inte skickas till SIP-operatören utan tas omhand av SIParatorn. Det går att låta användarna använda + som utlandsprefix istället för 00 eller annat "officiellt" utlandsprefix. För att genomföra detta ska + skrivas in i fältet Prefix, vilket betyder att det kommer att tas bort innan begäran skickas vidare. I fältet Min.rest har i exemplet värdet 4 angivits för att det ska gå att ha tresiffriga lokala anknytningsnummer som inte ska hanteras av SIParatorns Nummerplan. I tabellen Skicka vidare till definieras vart SIParatorn ska skicka samtalen. Detta används sedan i tabellen Nummerplan. Här ska samtalen skickas vidare till SIP-operatören. Skriv in operatörens IP-adress i fältet Utbytes-URI. Till sist ska dessa definitioner kombineras i tabellen Nummerplan. Gör en rad för utlandssamtal och en för övriga samtal, eftersom korrekt utlandsprefix endast ska läggas till för utlandssamtal. 107

116 Chapter 5. Avancerad SIP-konfiguration steg för steg När en lokal användare ringer ett telefonnummer kommer SIParatorn att skriva om SIP-signaleringen så att SIP-operatörskontot används, och skicka samtalet vidare till SIP-operatören. Inkommande samtal Alla inkommande samtal från operatören ska skickas vidare till PBXen. Detta görs på sidan Nummerplan. På sidan Nummerplan definieras vilken typ av samtal som ska skickas vidare till operatören. Först ska Nummerplanen vara på. I tabellen Matcha på From-fält anges vilket nätverk samtalet ska komma ifrån. Det går också att ange hur From-fältet ska se ut (det fält som talar om vem som ringer). Detta används sedan i tabellen Nummerplan. Ge informativa namn till definitionerna för att underlätta senare. I det här fallet behöver vi bara definiera operatören. Den känns lättast igen på de IP-adresser den använder. I tabellen Matcha på Request-URI definieras vart samtal är adresserade. Detta används sedan i tabellen Nummerplan. I det här fallet ska de samtal skiljas ut som ska skickas till PBXen. Dessa samtal har en adressrad (Request-URI) vars användardel endast består av siffror, eftersom man där skriver in ett vanligt telefonnummer. Domändelen består av SIParatorns IP-adress på utsidan. 108

117 Chapter 5. Avancerad SIP-konfiguration steg för steg I tabellen Skicka vidare till definieras vart SIParatorn ska skicka samtalen. Detta används sedan i tabellen Nummerplan. Skriv in IP-PBXens IP-adress i fältet Utbytes-URI. Detta gör att SIParatorn skriver om det inkommande samtalet och skickar det till denna IP-adress. Till sist ska dessa definitioner kombineras i tabellen Nummerplan. Välj den definierade operatören och Request-URIn och skicka dessa samtal vidare till PBXen. Gå till sist till sidan Spara/Läsa inställningar under Administration och ta de nya inställningarna i drift genom att trycka på Ta i drift. Flera SIP-operatörer eller IP-PBXer genom Ingate SIParator steg för steg Här visas hur SIParatorn ska konfigureras för att vidarebefordra SIP-samtal mellan din SIP-operatör och din egen IP-PBX. Konfigurationen skiljer sig något åt beroende på om operatören använder konton eller IP-adresser för autentiseringen. Här beskrivs speciellt hur man konfigurerar SIParatorn att använda flera SIP-operatörer eller PBXer baserat på vem som ringer och vart användaren försöker ringa. 109

118 Chapter 5. Avancerad SIP-konfiguration steg för steg Denna funktion finns endast när någon av modulerna Advanced SIP Routing och SIP Trunking installerats. Flera operatörer Om någon av operatörerna använder konton behöver du gå till sidan Lokal registrator och göra en rad per SIP-operatörskonto. Skriv in det användarnamn och lösenord som du fått från operatören, och välj kontotypen XF/Registrering. Denna kontotyp gör att SIParatorn kommer att registrera sig hos operatören med de användaruppgifter som angivits här. En del operatörer kräver inte registrering. Välj i så fall kontotypen XF istället. Fältet Registrering från används inte för denna kontotyp. Välj vilket nätverk som helst. På sidan Nummerplan definieras vilken typ av samtal som ska skickas vidare till operatören. Först ska Nummerplanen vara på. I tabellen Matcha på From-fält anges vilket nätverk samtalet ska komma ifrån. Det går också att ange hur From-fältet ska se ut (det fält som talar om vem som ringer). Detta används sedan i tabellen Nummerplan. Ge informativa namn till definitionerna för att underlätta senare. På det här kontoret finns det en grupp telefoner som alltid lägger till ett "+" först i telefonnumret när man ringer ett utlandsnummer. Dessa måste hanteras separat, och vi skapar därför en särskild rad för dem. I tabellen Matcha på Request-URI definieras vart samtal är adresserade. Detta används sedan i tabellen Nummerplan. I det här fallet ska de samtal skiljas ut som ska skickas till de olika SIP-operatörerna, varav en finns i Storbritannien och en i Sverige. Det går i detta fall lätt att skilja ut samtal med hjälp av Storbritanniens landsnummer. I tabellen finns det tre rader som matchar samtal till Storbritannien. De två rader som heter "UK-nummer 00" betyder samma sak, liksom de två rader som heter "Svenska nummer". IP-adressen är SIParatorns egen IP-adress på insidan. 110

119 Chapter 5. Avancerad SIP-konfiguration steg för steg Utrrycket ".*" i Reguljärt uttryck-fälten matchar noll eller flera valfria tecken. Parenteserna visar hur mycket av den inkommande Request-URIn vi vill skicka vidare till PBXen. Mer information om reguljära uttryck finns i appendix G i Referenshandboken. I tabellen Skicka vidare till definieras vart SIParatorn ska skicka samtalen. Detta används sedan i tabellen Nummerplan. I det här fallet ska de två SIP-operatörerna definieras. Den ena använder konto och den andra en IP-adress för autentiseringsändamål. De två rader som heter "Operatör SE" betyder nästan samma sak. Raden "Operatör SE" gör så att SIParatorn byter ut domänen i Request-URIn mot den domän eller IP-adress som skrivs in i Utbytes-URI. Användarnamnet (numret) byts inte ut. Raden "Operatör SE regexp" betyder att SIParatorn tar det som stod inom det första parentesparet i det använda uttrycket från tabellen Matcha på Request-URI och använder som användarnamn. Domänen är sipoperator.se. Tillägget ";b2bua" gör att SIParatorn själv kommer att hantera eventuella REFER istället för att skicka dem vidare. Detta är användbart eftersom många operatörer inte stöder REFER-metoden, som används vid vidarekoppling av samtal. Mer information om reguljära uttryck finns i appendix G i Referenshandboken. Till sist ska dessa definitioner kombineras i tabellen Nummerplan. För samtal till Storbritannien kräver operatören att telefonnumren börjar med "00", vilket betyder att en del samtal kan skickas vidare utan omskrivning av telefonnumret (rad 2), medan telefonnummer som börjar med "+" måste skrivas om (rad 1). Det senare är samtal som kommer från "+-telefoner". För samtal inom Sverige går det att använda vilken som helst av de definierade Request-URIerna. Samtalen skickas vidare till vår svenska operatör. Notera att eftersom definitionen av svenska nummer inte har någon urskiljande nummersekvens i början, medan UK-nummer måste börja med "+44" eller "0044", måste UK-numren behandlas först, och resten förutsätts vara svenska nummer. Observera att man vanligen måste använda en definition med Reguljärt uttryck under Request-URI om man vill använda en definition med Reguljärt uttryck under Skicka vidare till. 111

120 Chapter 5. Avancerad SIP-konfiguration steg för steg Flera PBXer Om man har flera PBXer på insidan kan man dela upp de inkommande samtalen på dessa PBXer. Man kan dela in samtalen med hänsyn till avsändare eller hur telefonnumret ser ut. På sidan Nummerplan definieras vilka samtal som ska skickas vidare till respektive PBX. Först ska Nummerplanen vara på. I tabellen Matcha på From-fält anges vilket nätverk samtalet ska komma ifrån. Det går också att ange hur From-fältet ska se ut (det fält som talar om vem som ringer). Detta används sedan i tabellen Nummerplan. Ge informativa namn till definitionerna för att underlätta senare. Här definieras en rad per operatör. I tabellen Matcha på Request-URI definieras vart samtal är adresserade. Detta används sedan i tabellen Nummerplan. I det här fallet ska de samtal skiljas ut som ska skickas till de olika PBXerna. I detta exempel hanterar de varsitt telefonnummerintervall, vilket betyder att det går att sortera samtalen baserat på de första siffrora i numret. Samtal från Storbritannien kommer alltid att börja med "+468". Genom att vi skriver in detta uttryck i fältet Prefix kommer SIParatorn att ta bort detta från telefonnumret när samtalet skickas vidare till PBXen. Samma definitioner kan göras med reguljära uttryck. Här behöver varje nummerintervall endast en definition. Inom den första parentesen finns två grupper av tecken åtskilda med " ". Detta betyder att en av dessa grupper kan förekomma här (först i numret). Tecknet "\" betyder att det 112

121 Chapter 5. Avancerad SIP-konfiguration steg för steg efterföljande tecknet, "+", ska tolkas som ett plus. "+" är annars ett specialtecken i reguljära uttryck. Inom den andra parentesen finns den del av numret som ska skickas vidare. Mer information om reguljära uttryck finns i appendix G i Referenshandboken. I tabellen Skicka vidare till definieras vart SIParatorn ska skicka samtalen. Detta används sedan i tabellen Nummerplan. I det här fallet ska de två PBXerna definieras. Detta görs helt enkelt genom att deras respektive IP-adresser skrivs in i fältet Utbytes-URI. Samma definitioner kan göras med reguljära uttryck. Uttrycket "$2" hämtar den del av numret som matchade uttrycket inom det andra parentesparet i tabellen Matcha på Request-URI. Mer information om reguljära uttryck finns i appendix G i Referenshandboken. Till sist ska dessa definitioner kombineras i tabellen Nummerplan. Välj operatör, intervall och den PBX som samtalet ska skickas vidare till. När reguljära uttryck används behövs endast en rad per PBX. Här behöver ingen operatör väljas eftersom uttrycken gjorts så generella att de matchar samtal från båda operatörerna. 113

122 Chapter 5. Avancerad SIP-konfiguration steg för steg Gå till sist till sidan Spara/Läsa inställningar under Administration och ta de nya inställningarna i drift genom att trycka på Ta i drift. Successiv Failover med flera operatörer eller PBX:er Om du vill testa multipla destinationer i en sekventiell failover mode som en del av ett enda uppringningsförsök, klicka på "+" symbolen i "Skicka-vidare-till" regeln och lägg till destinationer i ordningen de förekommer under samma regel. När "Skicka-vidare-till" regeln tillämpas, varje bestämmelsestaten försöks successivt tills alla regler är uttömda. De fall där behandling upphör är när tidigare destinationer returnerar 5xx eller 6xx SIP felmeddelanden och successiva destinationer kommer inte att användas, eftersom de kan ge liknande felmeddelanden. Fall där du kanske vill prova det här inkluderar följande ruttläggning av ett enda försök till samtal mot olika operatörer ruttläggning av inkommande samtal till flera PBX:er under perioder med samtals Bandbreddskontroll för SIP-samtal steg för steg Här visas hur SIParatorn ska konfigureras för att hålla reda på hur mycket SIP-media som för tillfället går genom den och att avvisa nya samtal om det inte finns tillräckligt med 114

123 Chapter 5. Avancerad SIP-konfiguration steg för steg bandbredd för dem. Denna funktion finns endast när modulen Quality of Service installerats. Gå först till sidan QoS och SIP och slå på bandbreddskontrollen. För varje gränssnitt som ska använda bandbreddskontroll för samtal måste en bandbreddsgräns för mediaströmmarna anges. Det går att ange olika bandbredder för utgående och inkommande samtal. Dessutom går det att reservera bandbredd för nödsamtal. För att SIParatorn ska kunna veta när den ska avvisa samtal behöver den känna till hur mycket bandbredd en ljud- eller videoström tar upp. Bandbredden beror väldigt mycket på vilken codec som används. Ange bandbredd för olika codecar. Det finns också en generell bandbredd för varje codec-typ, som används av SIParatorn om den inte hittar en codec i tabellen. 115

124 Chapter 5. Avancerad SIP-konfiguration steg för steg När en ny samtalsbegäran kommer till SIParatorn kommer den att beräkna hur mycket bandbredd det finns över för media, och jämföra detta med vilka mediaströmmar det nya samtalet begär. Om det finns bandbredd kvar för alla mediaströmmar kommer det nya samtalet att släppas fram. Om det inte finns nog med bandbredd kommer samtalet att avvisas. SIParatorn skickar då svarskoden 486 (Busy Here) till den uppringande klienten. Gå till sist till sidan Spara/Läsa inställningar under Administration och ta de nya inställningarna i drift genom att trycka på Ta i drift. Att översätta SIP-signalering mellan UDP och TCP steg för steg Här visas hur SIParatorn ska konfigureras för att den ska kunna översätta SIP-signalering mellan transportprotokollen UDP och TCP. Detta används när man har en del SIP-enheter som endast kan skicka och ta emot SIP-signalering via UDP, medan andra endast kan använda TCP för SIP-signalering. Denna funktion finns endast när någon av modulerna Advanced SIP Routing och SIP Trunking installerats. Det enklaste fallet är när SIParatorn endast ska översätta trafiken mellan två servrar. Inställningarna här kan bli olika beroende på hur den sändande servern skickar SIP-meddelandena till SIParatorn och då framför allt hur paketets Request-URI ser ur. De två huvudalternativen är att den tänkta mottagarserverns IP-adress eller SIParatorns 116

125 Chapter 5. Avancerad SIP-konfiguration steg för steg IP-adress står som domän i Request-URIn. Hur man ska konfigurera för dessa två alternativ visas nedan. Request-URIn innehåller den tänkta mottagarens IP-adress Nät och maskiner Börja på sidan Nät och maskiner med att definiera varsitt nätverk för de två servrarna. Nummerplan Gå sedan till sidan Nummerplan. Först ska Nummerplanen vara på. Lägg till två rader i tabellen Matcha på From-fält. Den ena raden matchar trafik som kommer från UDP-servern och den andra trafik som kommer från TCP-servern. Lägg till en rad i tabellen Matcha på Request-URI. Denna rad ska matcha alla inkommande samtal. Vi kommer att vilja behålla hela Request-URIn eftersom den tänkta mottagarens IP-adress redan finns där. Detta åstadkommer man lättast med att matcha med ett reguljärt uttryck. 117

126 Chapter 5. Avancerad SIP-konfiguration steg för steg Lägg till två rader i tabellen Skicka vidare till. Den ena raden ser till så att all trafik som använder den raden skickas ut med UDP, och den andra raden skickar ut trafiken med TCP. I övrigt står Request-URIn kvar oförändrad ($1 och $2 refererar till första och andra parentesparet i tabellen Matcha på Request-URI), och i den står IP-adressen till den mottagande servern. Dessa uttryck ska sedan kombineras i tabellen Nummerplan. Trafik som kommer från UDP-servern ska skickas till TCP-servern och vice versa. Spara/Läsa inställningar Gå till sist till sidan Spara/Läsa inställningar under Administration och ta de nya inställningarna i drift genom att trycka på Ta i drift. När inställningarna har tagits i drift bör du också spara en kopia av dem. Tryck på Spara inställningarna i CLI-format för att spara konfigurationen. 118

127 Chapter 5. Avancerad SIP-konfiguration steg för steg Request-URIn innehåller SIParatorns IP-adress Nät och maskiner Börja på sidan Nät och maskiner med att definiera varsitt nätverk för de två servrarna. Nummerplan Gå sedan till sidan Nummerplan. Först ska Nummerplanen vara på. Lägg till två rader i tabellen Matcha på From-fält. Den ena raden matchar trafik som kommer från UDP-servern och den andra trafik som kommer från TCP-servern. Lägg till en rad i tabellen Matcha på Request-URI. Denna rad ska matcha alla inkommande samtal. Vi kommer att vilja byta ut domänen i Request-URIn och detta åstadkommer man lättast med att välja "alla tecken" och skriva in SIParatorns IP-adress. Lägg till två rader i tabellen Skicka vidare till. Den ena raden ser till så att all trafik som använder den raden skickas ut med UDP till UDP-servern, och den andra raden skickar ut trafiken med TCP till TCP-servern. Request-URIn förändras genom att man skriver in den tänkta mottagarens IP-adress under Utbytes-URI. 119

128 Chapter 5. Avancerad SIP-konfiguration steg för steg Dessa uttryck ska sedan kombineras i tabellen Nummerplan. Trafik som kommer från UDP-servern ska skickas till TCP-servern och vice versa. Spara/Läsa inställningar Gå till sist till sidan Spara/Läsa inställningar under Administration och ta de nya inställningarna i drift genom att trycka på Ta i drift. När inställningarna har tagits i drift bör du också spara en kopia av dem. Tryck på Spara inställningarna i CLI-format för att spara konfigurationen. Att använda RADIUS-bokföring med Ingate SIParator steg för steg Här visas hur SIParatorn ska konfigureras för att RADIUS-bokföring ska användas för samtal till eller från lokala användare. Om RADIUS-bokföring endast ska användas för samtal till andra domäner utanför SIParatorn behöver man endast slå på inställningen RADIUS-bokföring. Om man vill kunna ta betalt för samtal där båda användare sitter på samma sida om SIParatorn eller samtal inom samma domän, måste användarna tvingas att gå via SIParatorn 120

129 Chapter 5. Avancerad SIP-konfiguration steg för steg även när båda finns på samma sida. SIParatorn behöver då agera som en back-to-back user agent (B2BUA). Denna funktion finns endast när någon av modulerna Advanced SIP Routing och SIP Trunking installerats. Gå först till sidan RADIUS och ange den RADIUS-server som ska ta emot bokföringsinformationen. Om RADIUS-servern endast ska användas för bokföring går det bra med vilket portnummer som helst i tabellen; SIParatorn använder alltid port 1813 för detta ändamål. Om SIParatorn används som SIP-registrator och RADIUS-servern även ska användas till SIP-autentisering, ska det portnummer anges som på RADIUS-servern används för autentisering (normalt port 1812 eller 1645). Om SIParatorn ska vara registrator för telefonerna på insidan bör du ha en lokal SIP-domän. Domänen kan heta vad som helst, bara den inte används av någon annan. Ett sätt att enkelt skaffa en egen SIP-domän är att använda företagets www-adress, men ersätta "www" med "sip", till exempel sip.ingate.com. Samma domän kan då också användas i vanliga SIP-till-SIP-samtal. Ange denna domän på sidan Lokal registrator under SIP-trafik. Gå till sidan Autentisering och bokföring och välj att autentiseringen ska vara på. Ange också den lokala SIP-domänen som Realm. 121

130 Chapter 5. Avancerad SIP-konfiguration steg för steg Om SIParatorn ska användas som SIP-registrator väljs RADIUS som SIP-användardatabas. Välj också vilket nätverk användarna får registrera sig från. På sidan Nummerplan definieras hur samtalen ska skickas genom SIParatorn. Först ska Nummerplanen vara på. I tabellen Matcha på Request-URI definieras vart samtal är adresserade. Detta används sedan i tabellen Nummerplan. I detta fall definieras ett Reguljärt uttryck som passar alla Request-URIer. Skriv in "(.+)@(.+)" i fältet Reguljärt uttryck. I tabellen Skicka vidare till definieras vart SIParatorn ska skicka samtalen. Detta används sedan i tabellen Nummerplan. I detta fall ska samtalen skickas till samma ställe som de var adresserade till innan, men SIParatorn ska skicka vidare dem som B2BUA. Skriv in "$0;b2bua" i fältet Reguljärt uttryck. Detta betyder att den Request-URI som fanns i det inkommande SIP-paketet återanvänds, men att SIParatorn agerar som B2BUA istället för SIP-proxy. 122

131 Chapter 5. Avancerad SIP-konfiguration steg för steg Till sist ska dessa definitioner kombineras i tabellen Nummerplan. Gör en ny rad i tabellen och välj de alternativ som definierats i tabellerna ovan. När en SIP-användare ringer till någon annan kommer SIParatorn att gå in och agera som mellanhand i samtalet. Båda SIP-klienterna kommer bara att prata med SIParatorn, och den kommer att skicka vidare signalering mellan dem. Media går fortfarande närmaste vägen. Gå till sist till sidan Spara/Läsa inställningar under Administration och ta de nya inställningarna i drift genom att trycka på Ta i drift. Att konfigurera TLS i Ingate SIParator steg för steg Förutsättningar: Du har tillgång till en CA som ska skriv på dina certifikatbegäran Du har varje signing-cas publik certifikat Du förstår GNUs X.509 trust model Här visas hur SIParatorn ska konfigureras för att den ska kryptera SIP-signalering med TLS eller tvinga SIP-klienterna att kryptera SIP-signaleringen. Inställningarna för kryptering av SIP-signalering görs på sidan Signaleringskryptering under SIP-tjänster. Det behövs också ett certifikat, som skapas på sidan Certifikat under Grundinställningar. Denna funktion finns endast när någon av modulerna Enhanced Security och SIP Trunking installerats. Certifikat Skapa certifikat på sidan Certifikat. 123

132 Chapter 5. Avancerad SIP-konfiguration steg för steg Lägg till en ny rad i tabellen Privata certifikat och ge certifikatet ett namn. Tryck på Skapa nytt och fyll i uppgifter för certifikatet. Om SIParatorn ska ta emot eller göra TLS-uppkopplingar både på det lokala nätet och på Internet behövs ett certifikat per gränssnitt. OBS: sätt certifikatets CN= fält till interfacets IP adress. Om SIParatorn ska koppla upp sig med TLS till en annan SIP-server måste CA-certifikatet för denna server också läsas in här. CA-certifikat behövs inte för SIP-klienter. Lägg till en rad i tabellen CA-certifikat och läs in CA-certifikatet. Signaleringskryptering Gå till sidan Signaleringskryptering för att göra TLS-inställningarna. Välj först vilka transportsätt som ska tillåtas. Om TCP och UDP också ska vara tillåtet t.e. på "insidan" välj "Alla". För att initiera TLS, sätt transport till TLS inom Nummerplan eller Intern DNS-tabell för SIP-begäran om DNS rekord till domän har ingen TLS rekord. Om "TLS" väljs kommer inga uppkopplingar över UDP eller TCP att initieras eller accepteras på alla interfacer. Det är då viktigt att försäkra sig om att alla klienter och servrar som ska kommunicera med SIParatorn kan använda TLS. 124

133 Chapter 5. Avancerad SIP-konfiguration steg för steg Om SIParatorn ska använda TLS när den signalerar till andra SIP-servrar ska deras CA-certifikat ha lästs in (se ovan). I tabellen CA-certifikat för TLS väljs dessa certifikat för att de ska få användas för TLS-uppkopplingar. I tabellen TLS-uppkopplingar på olika IP-adresser behövs en rad för insidans IP-adress och en rad för utsidans. Välj för varje IP-adress vilket certifikat SIParatorn ska använda för att identifiera sig när någon gör en TLS-uppkoppling mot adressen, och om SIParatorn ska kräva att den som kopplar upp sig också identifierar sig med ett certifikat. Välj också vilka TLS-metoder som får användas i uppkopplingar mot denna IP-adress. Observera att SIParatorn inte kommer att tillåta TLS-uppkopplingar till någon av sina IP-adresser om adressen inte finns i den här tabellen. Spara/Läsa inställningar Gå till sist till sidan Spara/Läsa inställningar under Administration och ta de nya inställningarna i drift genom att trycka på Ta i drift. 125

134 Chapter 5. Avancerad SIP-konfiguration steg för steg När inställningarna har tagits i drift bör du också spara en kopia av dem. Tryck på Spara inställningarna i CLI-format för att spara konfigurationen. Inställningar i den andra SIP-servern SIParatorns certifikat måste också läsas in på den andra SIP-servern för att SIParatorn ska kunna göra uppkopplingar mot den. Att använda SIP-mediakryptering med Ingate SIParator steg för steg Här visas hur SIParatorn ska konfigureras för att den ska kryptera SIP-media eller tvinga SIP-klienterna att kryptera SIP-media. Inställningarna för kryptering av SIP-media görs på sidan Mediakryptering under SIP-tjänster. Först måste mediakrypteringen aktiveras. Samla ihop de krypteringsalgoritmer som ska tillåtas på ett gränssnitt till en grupp. Det finns fördefinierade kryptogrupper, men de kanske inte räcker för dina behov. 126

135 Chapter 5. Avancerad SIP-konfiguration steg för steg Välj sedan för varje gränssnitt eller VLAN (för DMZ-SIParatorer väljer man per Omgivning) hur media som går ut från eller in till det ska krypteras. Om man vill att SIParatorn ska terminera krypterade mediaströmmar som kommer in på ett gränssnitt (och skicka ut dem i klartext eller med en annan kryptering), ska omkodning tillåtas för detta gränssnitt. För övriga gränssnitt (VLAN), som inte angivits ovan, behöver också en mediakryptering väljas. Om man vill använda kryptering av SIP-media rekommenderas att man även krypterar SIP-signaleringen (med TLS), eftersom kryptonycklarna för mediakrypteringen annars går i klartext över nätet. Gå till sist till sidan Spara/Läsa inställningar under Administration och ta de nya inställningarna i drift genom att trycka på Ta i drift. 127

136 Chapter 5. Avancerad SIP-konfiguration steg för steg 128

137 Chapter 6. How To SIP Trunking Using the SIP Trunk Page The SIP Trunk page is new from version of the Ingate firmware. A more extensive description is found in the separate: "How To SIP Trunking Using the SIP Trunk Page" found under the Account Login on Using the SIP Trunk page will always invoke the B2BUA for the connection of the PBX to the service provider.s SIP Trunk and offers the fo$ The IP-PBX only talks to the Ingate Wider separation between the PBX and the Trunk Service The SIP Trunking Service Credentials (User IDs and Passwords) are stored only in the Ingate More SIP normalization possibilities Individual or main CallerID (number) presented to the called party If a new SIP Trunking Service platform is introduced, only the Ingate has to be reconfigured There can be up to nine SIP Trunk pages with individual PBXs, trunks and interoperability settings. When using the SIP Trunk page, there will be a clear demarcation point for the SIP Trunking service hand off. Using the SIP Trunk page improves the previous way of configuring the Ingate. It offers simplicity, additional functionality and a wider support of various PBXs and Trunk Services. (It is still possible to configure SIP Trunking the previous way, just leaving this SIP Trunking page empty.) Both the PBX with its Phones and Other SIP Clients Can Use the SIP Trunk The SIP Trunk page also offers a simple way to allow SIP clients (SIP phones and Soft SIP clients for PCs) to register to the Ingate and use the SIP Trunk. This is done in addition to supporting the PBX and its extension phones. Licenses/Modules Required for the SIP Trunk Page You can have up to nine SIP Trunk pages for different PBXs and or SIP Trunk Services, but usually only one is required. The SIP Trunking Module license is required to use SIP Trunk pages and one page is included with that license. To get more SIP Trunk pages, you buy Additional Trunk Group licenses. 129

138 Chapter 6. How To SIP Trunking Using the SIP Trunk Page Steps to Configure SIP Trunking There are four steps to connect the PBX to the SIP Trunking service. Each of these steps is simple and straightforward: Define on the Dial Plan page which outgoing calls to send to the SIP Trunk Enter the SIP Service parameters (at the top of the SIP Trunk page) Enter the PBX parameters (at the bottom of the SIP Trunk page) Define the registration and authentication towards the Trunk Service and the number routing between the Trunk Service and the PBX (in the middle of the SIP Trunk page) Note that there are help texts available in the Ingate for each setting. just press the.help. links on the SIP Trunking page. The Ingate Startup Tool TG, will use the SIP Trunk page when configuring SIP Trunking. (Use the previous Ingate Startup Tool - without the.tg. postfix - if you want to configure the previous way, without using the SIP Trunk page.) For more details, see the separate: "How To SIP Trunking Using the SIP Trunk Page" found under the Account Login on Setting up SIP Trunking This section describes the functioning and set-up of the SIP Trunk page in the Ingate. Please remember that these settings, as well as most of the other ones in this description, usually are done by the Startup Tool TG and that this description is provided for reference. Defining Outgoing Call Handling in the Dial Plan Outgoing calls are processed through the Dial Plan, which must be On. At a minimum, the fields exemplified below must be entered. The actual Dial Plan table is searched line by line from the top for a match from the PBX of the dialed number where after it is forwarded to the SIP Trunk page. 1)Calls from the PBX connected to network "ShoreTel". 2)...With a any dialed number send sent to this unit (regular expression (.*)@ ). 3)...Will be forward for further processing to "Gamma Trunk". 4)...Which is defined on SIP Trunk page

139 Chapter 6. How To SIP Trunking Using the SIP Trunk Page The SIP Trunk Page The SIP Trunk pages are found under SIP Trunks. Several SIP Trunk pages may be defined if you have several PBXs or Trunk Services. You need to purchase Additional Trunk Group licensees to get more than one SIP Trunk page. View trunk Click to open the list of available Trunks. Goto SIP Trunk page Click to view the specified Trunk page. 131

140 Chapter 6. How To SIP Trunking Using the SIP Trunk Page Enable the SIP Trunk Details and examples are found in the separate: "How To SIP Trunking Using the SIP Trunk Page" under the Account Login on Entering the SIP Trunking Service Parameters For connecting to the exemplified TService, only three of the many parameters have to be filled-in. 1) Service Provider domain, here.tservice.com., which is the host part of the SIP address of the account such as (Enter two comma separated domains or IP addresses for failover configuration). 2)Outbound Proxy is where the SIP requests for this trunk service are to be sent. Here a fixed IP address is used (but a domain name is preferred, especially if the service provider has a DNS SRV record). 3) This service provider requires a P-Preferred-Identity header to be used to show the caller.s number as caller ID. The actual header content is taken from the Identity field in the tables below. 132

141 Chapter 6. How To SIP Trunking Using the SIP Trunk Page Entering the PBX Parameters Here you enter the basics relating to the IP PBX to be connected to the SIP Trunking Service. Other settings may be required, e.g. on the SIP Interoperability page and other pages. 1) The Ingate needs to know at which address the PBX is located, which can be entered as an IP address, a domain name or a SIP registration by the PBX. Here you enter the IP address if the PBX is at a fixed IP address. (Enter two comma separated domains or IP addresses for failover configuration). 2) Here you can set up a SIP account, at which the PBX registers itself to show where it can be contacted. If the PBX is located on a fixed IP address, it is recommended that you also enter that one (as done under 1) above). 133

142 Chapter 6. How To SIP Trunking Using the SIP Trunk Page By entering User ID and Password, the PBX will be forced to Authenticate itself when registering to the Ingate. The User ID and Password are also required if the Ingate is configured to authenticate users placing outgoing calls (which is done in the Dial Plan by selecting.auth & Forward. instead of just.forward. under Action). 3) You also need to specify to which defined network the PBX is connected to. Other PBXs (than here exemplified) may require more of the available settings. Registration to and Authentication for the Trunking Service (General Overview). In the section of the SIP Trunk page shown below, you configure whether the Ingate shall register to some of the Trunk Service accounts (A:) (e.g. to one or to all numbers) and enter the Used ID and Password for the Trunk Service is (B:).The SIP Trunking service provider shall have given you these details, together with the telephone numbers (DID numbers) to use. No Registration to the SIP Trunking Service This is typical for services that accepts usage of service from the user.s specific IP address and don.t require any authentication password. All rows in the Reg. column (A:) shall be.no. and if you have not received any authentication Password from your service provider, leave the Authenticationcolumn empty. 134

143 Chapter 6. How To SIP Trunking Using the SIP Trunk Page One Registration to your Main Account from the Service Provider In this case you set Reg. to Yes (A:) and enter the authentication User ID and Password (B:) that you have received from your service provider on the Main Trunk Line row. The authentication User ID is often the same as the telephone number. Registrations for Each DID Numbers from the Service Provider In this case, there need to be a row for each DID number in the tables below and all those rows have to have Yes in the Reg.column (A:).If the service provider has given you a single authentication User IDand Password(B:) pair, enter that on the Main Trunk Line and it will be used for all numbers. In case you have been given individual User IDs and Passwords, enter them on the corresponding rows. Defining Outgoing and Incoming Number Routing (General Overview) Column Descriptions: In the section of the SIP Trunk page shown above, you also configure how outgoing calls from the PBX are routed to the Trunk Service (C:) and how incoming calls from the trunk service are routed to the PBX (D:). The Identity column is used when the trunking service requires P-Asserted-Identity or P-Preferred-Identity to be used. See also the.service Provider domain is trusted (for P-Asserted-Identity). and.use P-Preferred-Identity (instead of P-Asserted-Identity). among the SIP Trunking Service settings in For an outgoing call, the caller.s number (the user part of the From header) will - row by row, from top to bottom - be checked against the numbers or regular expressions entered in the column From PBX/SIP Number/User. A match will cause the trunk account under User Name to be used for the outgoing call (C:). 135

144 Chapter 6. How To SIP Trunking Using the SIP Trunk Page An incoming call will be checked against the numbers or regular expressions entered in the column Incoming Trunk Match. A match will cause the call to be forwarded to the PBX or SIP user specified in the.forward to..-accounts. Regular Expressions: Notice that you can use numbers, sip user names or regular expressions in the column From PBX/SIP Number/User and in the column Incoming Trunk Match. More information is found in the How To Guide: "How To use Regular Expressions". The results of subexpressions - (.) in the regular expression - can be used as $0, $1 etc. in the following column(s): - The results of subexpressions from a match in the column From PBX/SIP Number/User can be used in the columns Display Name, User Name and Identity. See (C:). - The results of subexpressions from a match in the column Incoming Trunk Match can be used in the column Forward to..see (D:). Since the regular expression syntax is used, some characters has to be preceded by the.\. escape character. E.g. phone number has to be entered as.\ Generic Header Manipulation: If needed, you can use Generic Header Manipulation in the columns: User Name (for outgoing calls) and in column Forward to. (for incoming calls). More information is found in the How To Guide: "How To use Regular Expressions" under the Account Login on Row Descriptions: The Main Trunk Line settings (E:) are used if the caller (From PBX/SIP Number/User) or credentials (User ID and Password) are not defined further down. For services that specify one main number or account, this is where those settings are entered. At (F:) you enter the routing between the external (DID) numbers on the SIP Trunk and the numbers used by the PBX. At (G:) you can link SIP Clients (e.g. SIP Phones and Soft PC SIP Clients) registered to the Ingate itself or else (not belonging to the PBX), to trunk numbers. 136

145 Chapter 7. VPN-uppkopplingar steg för steg Här finns steg för steg-beskrivningar av olika VPN-inställningar. Utförliga beskrivningar av de inställningar som finns hittar du i delen Inställningar, främst i kapitel 11 i Referenshandboken. Att konfigurera Ingate SIParator för PPTP-uppkopplingar mot SIParatorn En VPN-uppkoppling över PPTP gör att PPTP-klienten tilldelas en lokal IP-adress och kan på så sätt se ut som om den sitter på det lokala nätverket. Följ dessa steg för att sätta upp en PPTP-förbindelse till SIParatorn. Nät och maskiner Gå till sidan Nät och maskiner under Nätverk och skapa ett nytt nätverk som innehåller de lokala IP-adresser som PPTP-klienterna ska få använda. Välj "-" som Interface för detta nätverk. PPTP Gå till sidan PPTP under Virtuella Privata Nät och gör inställningar för PPTP-servern. Börja med att slå på PPTP-servern och välj en IP-adress för den. PPTP-serverns IP-adress är den som klienterna ska koppla upp sig mot och måste därför vara en adress som är åtkomlig från Internet. Det är lämpligt att välja en av de adresser som SIParatorn har på utsidan. 137

146 Chapter 7. VPN-uppkopplingar steg för steg Välj därefter en IP-adress på SIParatorn som är PPTP-klienternas motpart på det lokala nätverket. Du måste välja en IP-adress som ligger på samma gränssnitt och logiska nätverk som de IP-adresser klienterna ska få använda. Välj också det nätverk du tidigare skapade, som anger vilka IP-adresser PPTP-klienterna kan få på det lokala nätverket. Det går att ange DNS- och WINS-servrar som PPTP-klienterna ska använda på det lokala nätverket. Det gör det lättare att använda olika nätverkstjänster. Mata sedan in de användare som ska koppla upp sig med PPTP, samt deras lösenord. Användaren får sedan ange detta användarnamn och lösenord när hon gör inställningar i sin PPTP-klient. 138

147 Chapter 7. VPN-uppkopplingar steg för steg Spara/Läsa inställningar Gå till sist till sidan Spara/Läsa inställningar under Administration och ta de nya inställningarna i drift genom att trycka på Ta i drift. När inställningarna har tagits i drift bör du också spara en kopia av dem. Tryck på Spara inställningarna i CLI-format för att spara konfigurationen. Konfigurera klienten När detta är klart ska klienten också konfigureras. Detta går naturligtvis till på olika sätt beroende på vilken klient man har. En maskin med Windows XP har en inbyggd PPTP-klient som man konfigurerar via Kontrollpanelen -> Nätverksanslutningar. 139

148 Chapter 7. VPN-uppkopplingar steg för steg Att konfigurera Ingate SIParator för IPsec-uppkopplingar mellan två SIParatorer Genom att sätta upp en VPN-förbindelse mellan två SIParatorer eller andra VPN-slussar kan SIP-signalering och media skickas mellan dessa utan att trafiken går i klartext på Internet. Följ dessa steg för att sätta upp en IPsec-VPN-förbindelse till SIParatorn. Certifikat Om SIParatorerna ska autentisera sig för varandra med X.509-certifikat behöver SIParatorn ett eget sådant. Alla certifikat för SIParatorn skapas på sidan Certifikat under Grundinställningar. Skapa en ny rad i tabellen Privata certifikat, tryck på Skapa nytt och fyll i formuläret. De två sista fälten är enbart till för att kunna återkalla certifikatet. Det enklaste sättet att signera är att låta SIParatorn själv göra det genom att trycka på knappen Skapa ett självsignerat X.509-certifikat. Det andra sättet att signera är att skapa en certifikatbegäran och låta en fristående CA signera certifikatet. I detta fall måste det signerade certifikatet sedan laddas in i SIParatorn igen. IPsec-motparter Gå först till sidan IPsec-motparter under Virtuella Privata Nät och ange mellan vilka IP-adresser VPN-tunneln ska upprättas och hur autentiseringen ska gå till. Välj På under Status och välj under Autentiseringstyp om maskinerna ska autentisera sig med en Delad hemlighet eller X.509-certifikat. För att använda X.509-certifikat krävs antingen att båda maskinerna kan signera sina egna certifikat eller att man har tillgång till en CA-server som kan signera andras certifikatbegäran. Om man har en CA-server kan man läsa in dess eget certifikat och sedan godkänna alla certifikat som signerats av denna server (valet Betrodd CA). 140

149 Chapter 7. VPN-uppkopplingar steg för steg Under Autentiseringsinfo matar man in hemlighet eller certifikat beroende på vad man valt i fältet innan. Det certifikat som ska laddas in här ska vara den andra maskinens certifikat/certifikatuppgifter, inte SIParatorns. Välj under Lokal sida en publik IP-adress på SIParatorn och under Bortre sida en publik IP-adress för den maskin som SIParatorn ska upprätta en tunnel till. Välj Av under RADIUS och sätt en livslängd på ISAKMP-nycklarna (IKE-nycklarna). Livslängden måste vara samma på båda maskinerna. IPsec-tunnlar Gå sedan till IPsec-tunnlar och ange vilka nät som ska utnyttja denna IPsec-tunnel. I tabellen IPsec-nätverk definierar du de nätverk som kommer att använda IPsec-tunneln. Eftersom SIParatorn inte kan agera VPN-sluss för några nätverk bakom, är det endast lokala IP-adresser på SIParatorn som kan utgöra de lokala nätverken. Däremot kan det finnas hela nätverk bakom VPN-motparten (om inte den också är en SIParator). Dessa nätverk definieras här. Det är ofta nödvändigt att ha en VPN-tunnel både till motpartens IP-adress och till nätverket bakom. Detta gäller särskilt om motparten också är en SIP-kapabel maskin. För detta behövs en grupp med två rader i gruppen. Välj IPsec-motparten under Motpart. Under Lokalt nätverk väljer du på båda raderna Lokala sidans adress som Adresstyp. Under Bortre nätverk väljer du på ena raden Nätverk samt det nätverk du definierade nedan, som är kopplat till den andra SIParatorn. På den andra raden väljs Bortre sidans adress. Sätt en livslängd på IPSec-nycklarna om du vill. Livslängden måste vara samma på båda maskinerna. Om man inte sätter någon livslängd här använder SIParatorn den livslängd som motparten har. 141

150 Chapter 7. VPN-uppkopplingar steg för steg Sätt en livslängd på IPsec-nycklarna om du vill. Livslängden måste vara samma på båda maskinerna. Om man inte sätter någon livslängd här använder SIParatorn den livslängd som den andra SIParatorn har. Välj AES/3DES som kryptering. SIP genom IPsec Dessutom, för SIP att fungera över din IPsec-anslutningar behöver man en tunnel under IPsec tunnlar mellan klienten och publik IP-adress av SIParatorn, dvs Lokal sid adressen under IPsec Peers. Detta kräver en fas 2-anslutning i klienten (The Greenbow) också. Till Exempel: Om din DNS-pekare sip.abc.com uppslår till WAN IP av SIParatorn måste man ha en tunnel mellan klienten och denna IP-adress. Det är så att alla SIP och RTP media genom B2BUA eller genom proxy är tillåten. Se till att The Road Warrior klienten har också en tunnel/fas 2 till den externa IP av SIParatorn. Detta betyder "samma IP-adress som om & vpn01-kamrater, sida ". eventuellt en tunnel till ett nätverk eller undernät som innehåller den externa IP av SIParatorn, dvs ett DMZ intervall. Den externa IP (eller DMZ intervall) av SIParatorn är ett nätverk iipsec-nätverk tabellen. I IPsec-tunnlar tabell väljer nätverket enligt Adresstyp och välj det nätverk du nyss skapade under IPsec Nätverk. 142

151 Chapter 7. VPN-uppkopplingar steg för steg IPsec-certifikat Gå till sidan IPsec-certifikat under Virtuella Privata Nät och välj det certifikat som SIParatorn ska använda för VPN-uppkopplingar. Här anger du också de CA som signerat certifikat för klienterna. Spara/Läsa inställningar Gå till sist till sidan Spara/Läsa inställningar under Administration och ta de nya inställningarna i drift genom att trycka på Ta i drift. När inställningarna har tagits i drift bör du också spara en kopia av dem. Tryck på Spara inställningarna i CLI-format för att spara konfigurationen. Att konfigurera Ingate SIParator för IPsec-uppkopplingar från mobil klient Genom att sätta upp en IPsec-förbindelse mellan SIParatorn och en mobil klient kan man 143

152 Chapter 7. VPN-uppkopplingar steg för steg skicka SIP-signalering och media hemifrån eller från exempelvis hotellrummet utan att trafiken går i klartext på Internet. För uppkopplingar med en mobil klient krävs det att man använder X.509-certifikat. Följ dessa steg för att sätta upp en IPSec-VPN-förbindelse till SIParatorn. Certifikat Om man inte vill ladda upp varje klients certifikat kan man istället välja att lita på alla certifikat som signerats av en viss CA, eller lita på de certifikat som CA:n signerat och som dessutom har vissa uppgifter. SIParatorn måste då ha CA:ns certifikat, som laddas upp på sidan Certifikat. Ange ett namn för det CA-certifikat som laddas upp. Namnet används endast internt på SIParatorn. SIParatorn måste ha ett X.509-certifikat för att autentisera sig mot klienten. Detta skapas också här. Skapa en ny rad i tabellen Privata certifikat, tryck på Skapa nytt och fyll i formuläret. De två sista fälten är enbart till för att kunna återkalla certifikatet. Det enklaste sättet att signera är att låta SIParatorn själv göra det genom att trycka på knappen Skapa ett självsignerat X.509-certifikat. Det andra sättet att signera är att skapa en certifikatbegäran och låta en fristående CA signera certifikatet. I detta fall måste det signerade certifikatet sedan laddas in i SIParatorn igen. IPsec-certifikat Gå till sidan IPsec-certifikat under Virtuella Privata Nät och välj det certifikat som SIParatorn ska använda för VPN-uppkopplingar. Här anger du också de CA som signerat 144

153 Chapter 7. VPN-uppkopplingar steg för steg certifikat för klienterna. IPsec-motparter Gå till sidan IPsec-motparter och ange mellan vilka IP-adresser VPN-tunneln ska upprättas och hur autentiseringen ska gå till. Välj På under Status och välj under Autentiseringstyp hur maskinerna ska autentisera sig. För mobila klienter krävs att man använder X.509-certifikat. För att använda certifikat krävs att man har tillgång till en CA-server (egen eller att man köper tjänsten) som kan signera andras certifikatbegäran. Om man har en egen CA-server kan man läsa in dess eget certifikat och sedan godkänna alla certifikat som signerats av denna server (valet Betrodd CA). Under Autentiseringsinfo laddar man upp certifikatet eller anger CA/DN beroende på vad man valt i fältet innan. Det certifikat som ska laddas in här ska vara den andra maskinens certifikat/certifikatuppgifter, inte SIParatorns eget. Välj under Lokal sida en publik IP-adress på SIParatorn och under Bortre sida "*" för att ange att tunneln gäller en mobil klient. Sätt en livslängd på ISAKMP-nycklarna (IKE-nycklarna). Livslängden måste vara samma på båda maskinerna. X.509-certifikatet autentiserar den dator som kopplar upp sig. Det går att kräva att även användaren autentiserar sig, vilket görs mot en RADIUS-server. Detta går bara att göra om man har en RADIUS-server (SIParatorn har ingen inbyggd sådan). Det kräver också att det finns en publik IP-adress på SIParatorn med en ledig port. Välj i så fall På under RADIUS. 145

154 Chapter 7. VPN-uppkopplingar steg för steg IPsec-tunnlar Gå sedan till IPsec-tunnlar och ange vilka nät som ska utnyttja denna VPN-tunnel. Välj IPsec-motparten under Motpart. Under Lokalt nätverk väljer du Lokala sidans adress som Adresstyp. Under Bortre nätverk finns följande alternativ: Den mobila klienten sitter o-natad på Internet. Välj Bortre sidans adress som Adresstyp. Den mobila klienten sitter bakom en NATande (maskerande) maskin och man vet vilket nätverk klienten sitter på. Då skriver man in detta nätverk i tabellen IPsec-nätverk. Välj i IPsec-tunnlar Nätverk, tillåt delmängd under Adresstyp och det nu definierade nätet under Nätverk. Det vanligaste är att man inte säkert vet IP-adressen i förväg (exempelvis för att klienten får sin IP-adress via DHCP). Man kanske också reser mycket och därför använder olika IP-adresser vid uppkopplingarna. Välj då Bortre/privat adress under Adresstyp. Detta gör att alla privata IP-adresser samt klientens publika adress tillåts för den mobila klienten. Sätt en livslängd på IPSec-nycklarna om du vill. Livslängden måste vara samma på båda maskinerna. Om man inte sätter någon livslängd här använder SIParatorn den livslängd som den mobila klienten har. 146

155 SIP genom IPsec Chapter 7. VPN-uppkopplingar steg för steg Dessutom, för SIP att fungera över din IPsec-anslutningar behöver man en tunnel under IPsec tunnlar mellan klienten och publik IP-adress av SIParatorn, dvs Lokal sid adressen under IPsec Peers. Detta kräver en fas 2-anslutning i klienten (The Greenbow) också. Till Exempel: Om din DNS-pekare sip.abc.com uppslår till WAN IP av SIParatorn måste man ha en tunnel mellan klienten och denna IP-adress. Det är så att alla SIP och RTP media genom B2BUA eller genom proxy är tillåten. Se till att The Road Warrior klienten har också en tunnel/fas 2 till den externa IP av SIParatorn. Detta betyder "samma IP-adress som om & vpn01-kamrater, sida ". eventuellt en tunnel till ett nätverk eller undernät som innehåller den externa IP av SIParatorn, dvs ett DMZ intervall. Den externa IP (eller DMZ intervall) av SIParatorn är ett nätverk iipsec-nätverk tabellen. I IPsec-tunnlar tabell väljer nätverket enligt Adresstyp och välj det nätverk du nyss skapade under IPsec Nätverk. Spara/Läsa inställningar Gå till sist till sidan Spara/Läsa inställningar under Administration och ta de nya inställningarna i drift genom att trycka på Ta i drift. 147

156 Chapter 7. VPN-uppkopplingar steg för steg När inställningarna har tagits i drift bör du också spara en kopia av dem. Tryck på Spara inställningarna i CLI-format för att spara konfigurationen. Konfigurera klienten Sedan ska också klienten konfigureras. Exakt hur detta går till beror naturligtvis på vilket klientprogram man använder. Se för konfigurationsbeskrivningar för några olika VPN-klienter. Om man använder RADIUS måste användaren först surfa till autentiseringsserverns IP-adress och logga in där för att kunna använda VPN-tunneln. Att konfigurera Ingate SIParator för IPsec-uppkopplingar med RADIUS-autentisering Uppkopplingar med en mobil klient kräver att X.509-certifikat används. Om man vill att uppkopplingen ska vara ännu mer skyddad går det att kräva att VPN-användaren också autentiserar sig mot en RADIUS-server innan det går att använda IPsec-uppkopplingen. Här visas hur man sätter upp en IPsec-förbindelse med RADIUS-autentisering till SIParatorn. Certifikat Om man inte vill ladda upp varje klients certifikat kan man istället välja att lita på alla certifikat som signerats av en viss CA, eller lita på de certifikat som CA:n signerat och som dessutom har vissa uppgifter. SIParatorn måste då ha CA:ns certifikat, som laddas upp på sidan Certifikat. Ange ett namn för det CA-certifikat som laddas upp. Namnet används endast internt på SIParatorn. SIParatorn måste ha ett X.509-certifikat för att autentisera sig mot klienten. Detta skapas också här. Skapa en ny rad i tabellen Privata certifikat, tryck på Skapa nytt och fyll i formuläret. De två sista fälten är enbart till för att kunna återkalla certifikatet. 148

157 Chapter 7. VPN-uppkopplingar steg för steg Det enklaste sättet att signera är att låta SIParatorn själv göra det genom att trycka på knappen Skapa ett självsignerat X.509-certifikat. Det andra sättet att signera är att skapa en certifikatbegäran och låta en fristående CA signera certifikatet. I detta fall måste det signerade certifikatet sedan laddas in i SIParatorn igen. Nu finns det ett certifikat som ska användas av SIParatorn när den identifierar sig för den IPsec-klient som kopplar upp sig. SIParatorn behöver också ett certifikat för att identifiera sig för den webbläsare som används när RADIUS-autentiseringen ska genomföras. Det går att använda samma certifikat för båda dessa syften, eller skapa olika certifikat för varje ny användning. RADIUS Om man ska använda RADIUS-autentisering måste SIParatorn veta vilken RADIUS-server den ska kontakta. Gå till sidan RADIUS under Grundinställningar och fyll i den RADIUS-server som ska användas. Den adress som SIParatorn ska använda när den kontaktar RADIUS-servern måste också anges. Gränssnitt När IPsec-användaren vill använda IPsec-förbindelsen kommer hon först att behöva koppla 149

158 Chapter 7. VPN-uppkopplingar steg för steg upp sig mot en IP-adress på SIParatorn för att autentisera sig mot en RADIUS-server. Denna uppkoppling görs med en webbläsare över https. För detta måste man välja en IP-adress på SIParatorn som användaren ska kunna koppla upp sig mot. IP-adressen måste vara åtkomlig via IPsec-förbindelsen, vilket normalt betyder att det måste vara en IP-adress på det lokala nätverket (kontorsnätet). Det går att använda SIParatorns huvudadress (definierad i tabellen Direktkopplade nät) eller skapa ett Alias för detta ändamål. Det här görs på Interface-sidorna. Autentiseringsserver Om man använder RADIUS för att autentisera användaren måste det finnas ett SSL-certifikat för SIParatorns autentiseringsserver. Gå till sidan Autentiseringsserver; och välj den IP-adress och port som autentiseringsservern ska svara på. Eventuellt kan man först behöva gå till Gränssnitt-sidorna för att definiera en ny IP-adress på SIParatorns utsida. Välj också det certifikat som autentiseringsservern ska använda för att identifiera sig mot den uppkopplade klienten. Man måste även välja det certifikat som SIParatorn ska använda för att identifiera sig för klienten. IPsec-certifikat Gå till sidan IPsec-certifikat under Virtuella Privata Nät och välj det certifikat som SIParatorn ska använda för VPN-uppkopplingar. Här anger du också de CA som signerat certifikat för klienterna. 150

159 Chapter 7. VPN-uppkopplingar steg för steg IPsec-motparter Gå till sidan IPsec-motparter och ange mellan vilka IP-adresser VPN-tunneln ska upprättas och hur autentiseringen ska gå till. Välj På under Status och välj under Autentiseringstyp hur maskinerna ska autentisera sig. För mobila klienter krävs att man använder X.509-certifikat. För att använda certifikat krävs att man har tillgång till en CA-server (egen eller att man köper tjänsten) som kan signera andras certifikatbegäran. Om man har en egen CA-server kan man läsa in dess eget certifikat och sedan godkänna alla certifikat som signerats av denna server (valet Betrodd CA). Under Autentiseringsinfo laddar man upp certifikatet eller anger CA/DN beroende på vad man valt i fältet innan. Det certifikat som ska laddas in här ska vara den andra maskinens certifikat/certifikatuppgifter, inte SIParatorns eget. Välj under Lokal sida en publik IP-adress på SIParatorn och under Bortre sida "*" för att ange att tunneln gäller en mobil klient. Sätt en livslängd på ISAKMP-nycklarna (IKE-nycklarna). Livslängden måste vara samma på båda maskinerna. X.509-certifikatet autentiserar den dator som kopplar upp sig. Det går att kräva att även användaren autentiserar sig, vilket görs mot en RADIUS-server. Detta går bara att göra om man har en RADIUS-server (SIParatorn har ingen inbyggd sådan). Det kräver också att det finns en publik IP-adress på SIParatorn med en ledig port. Välj i så fall På under RADIUS. Välj "På" under RADIUS för att slå på RADIUS-autentisering för denna motpart. Observera att när RADIUS-autentisering används måste motpartens namn vara samma som användarens RADIUS-namn. Det betyder att det måste finnas en rad per IPsec-användare som ska autentisera sig med RADIUS. 151

160 Chapter 7. VPN-uppkopplingar steg för steg IPsec-tunnlar Gå sedan till IPsec-tunnlar och ange vilka nät som ska utnyttja denna VPN-tunnel. Välj IPsec-motparten under Motpart. Under Lokalt nätverk väljer du Lokala sidans adress som Adresstyp. Under Bortre nätverk finns följande alternativ: Den mobila klienten sitter o-natad på Internet. Välj Bortre sidans adress som Adresstyp. Den mobila klienten sitter bakom en NATande (maskerande) maskin och man vet vilket nätverk klienten sitter på. Då skriver man in detta nätverk i tabellen IPsec-nätverk. Välj i IPsec-tunnlar Nätverk, tillåt delmängd under Adresstyp och det nu definierade nätet under Nätverk. Det vanligaste är att man inte säkert vet IP-adressen i förväg (exempelvis för att klienten får sin IP-adress via DHCP). Man kanske också reser mycket och därför använder olika IP-adresser vid uppkopplingarna. Välj då Bortre/privat adress under Adresstyp. Detta gör att alla privata IP-adresser samt klientens publika adress tillåts för den mobila klienten. Sätt en livslängd på IPSec-nycklarna om du vill. Livslängden måste vara samma på båda maskinerna. Om man inte sätter någon livslängd här använder SIParatorn den livslängd som den mobila klienten har. 152

161 SIP genom IPsec Chapter 7. VPN-uppkopplingar steg för steg Dessutom, för SIP att fungera över din IPsec-anslutningar behöver man en tunnel under IPsec tunnlar mellan klienten och publik IP-adress av SIParatorn, dvs Lokal sid adressen under IPsec Peers. Detta kräver en fas 2-anslutning i klienten (The Greenbow) också. Till Exempel: Om din DNS-pekare sip.abc.com uppslår till WAN IP av SIParatorn måste man ha en tunnel mellan klienten och denna IP-adress. Det är så att alla SIP och RTP media genom B2BUA eller genom proxy är tillåten. Se till att The Road Warrior klienten har också en tunnel/fas 2 till den externa IP av SIParatorn. Detta betyder "samma IP-adress som om & vpn01-kamrater, sida ". eventuellt en tunnel till ett nätverk eller undernät som innehåller den externa IP av SIParatorn, dvs ett DMZ intervall. Den externa IP (eller DMZ intervall) av SIParatorn är ett nätverk iipsec-nätverk tabellen. I IPsec-tunnlar tabell väljer nätverket enligt Adresstyp och välj det nätverk du nyss skapade under IPsec Nätverk. Spara/Läsa inställningar Gå till sist till sidan Spara/Läsa inställningar under Administration och ta de nya inställningarna i drift genom att trycka på Ta i drift. 153

162 Chapter 7. VPN-uppkopplingar steg för steg När inställningarna har tagits i drift bör du också spara en kopia av dem. Tryck på Spara inställningarna i CLI-format för att spara konfigurationen. Konfigurering av RADIUS-servern Lägg till din Ingate SIParator som klient i RADIUS-servern. Se till att den delade hemligheten för denna klient är densamma som i SIParatorn. För att kontrollera om en användare får logga in tittar SIParatorn på RADIUS-typen Service-Type för användaren. Om värdet är Framed (2) får denne logga in via VPN. Konfigurera klienten Sedan ska också klienten konfigureras. Exakt hur detta går till beror naturligtvis på vilket klientprogram man använder. Se för konfigurationsbeskrivningar för några olika VPN-klienter. Om man använder RADIUS måste användaren först surfa till autentiseringsserverns IP-adress och logga in där för att kunna använda VPN-tunneln. När användaren vill koppla upp sig med IPsec börjar hon med att med sin webbläsare gå till den IP-adress som valdes på sidan Autentiseringsserver. Observera att https måste användas. En inloggningssida kommer att visas där användaren skriver in sitt RADIUS-namn och lösenord/pin-kod. När användarnamnet och lösenordet/pin-koden har verifierats av RADIUS-server kommer förbindelsen att sättas upp. 154

163 Chapter 8. Lösenordsbyte steg för steg Här visas steg för steg hur man gör för att sätta ett nytt lösenord för administratörer av SIParatorn. De olika avsnitten går igenom hur man gör både om man kan det gamla lösenordet och om man har glömt bort det. Byta lösenord via webbgränssnittet Om man kommer ihåg det gamla lösenordet för användaren admin kan man byta lösenord via webbgränssnittet. Detta görs på sidan Användaradministration under Administration. Gamla lösenordet Här skriver du in det gamla lösenordet för admin. Nytt lösenord, Bekräfta lösenord Här skriver du in det nya lösenordet i båda fälten. Ingate SIParator kräver att du skriver in exakt samma sak i de två fälten för att skydda dig mot felskrivningar. Ändra administratörens lösenord Tryck på denna knapp för att genomföra ändringen av lösenord. Först nu sparas det nya lösenordet på SIParatorn. Byta lösenord på en Ingate SIParator 18 eller Ingate SIParator 19 Om man har glömt administratörslösenordet till sin SIParator måste man ha fysisk tillgång till den för att kunna sätta ett nytt lösenord. Det krävs också en omstart av SIParatorn för att få den att ta emot ett nytt lösenord. 155

164 Chapter 8. Lösenordsbyte steg för steg 1. Starta om SIParatorn SIParatorn kan startas om på flera sätt. Man kan trycka in RESET-knappen (1 i figuren) på baksidan (med en smal penna, ett uträtat gem eller något annat smalt) eller dra ur strömsladden och sätta i den igen. 2. Tryck på CONFIG-knappen När SIParatorn håller på att starta ska CONFIG-knappen (5 i figuren) tryckas in vid ett visst tillfälle. Alert-dioden på framsidan av SIParatorn kommer att tändas, sedan släckas och så tändas igen. Andra gången den tänds ska CONFIG-knappen tryckas in. Alert-dioden kommer att släckas igen så snart knappen trycks in, och då kan man sluta trycka på knappen. Om man tycker att det är svårt att pricka in exakt rätt tidpunkt går det även bra att hålla CONFIG-knappen intryckt från och med då Alert-dioden tänds första gången. Man måste då hålla den intryckt hela tiden medan dioden tänds och släcks två gånger. 3. Kontrollera att SIParatorn kommit i rätt läge Vänta tills SIParatorn har slutfört startsekvensen. Nu ska Alert-dioden (2 i figuren) blinka två snabba blink följt av en längre paus för att visa att den är redo att ta emot ett nytt lösenord och även en ny IP-adress, om det krävs. 156

165 4. Ge SIParatorn ett nytt lösenord Chapter 8. Lösenordsbyte steg för steg Om du vill använda webbgränssnittet för att skriva in det nya lösenordet måste SIParatorn först få en IP-adress (samma som förut eller en ny). Detta kan göras på två sätt; antingen via en magisk ping eller via Ingates startverktyg (som kan hämtas från Om du inte vill använda webbgränssnittet kan du istället logga in via textgränssnittet och sätta ett nytt lösenord där. Magisk ping går till så här: Lösenordsbyte via textgränssnittet går till så här: Anslut SIParatorn till din arbetsstation med den medskickade seriekabeln. Om du använder en dator med Windows kopplar du upp dig genom att starta Hyperterminal. En dialogruta kommer upp där namn och ikon för anslutningen ska anges. Skriv i dessa uppgifter och tryck OK. Dialogrutan Anslut till visas då. Välj under Anslut med: att ansluta Direkt till COM1 och tryck OK. Dialogrutan Portinställningar visas härnäst. Välj hastigheten bitar per sekund och tryck OK. Vänta på en inloggningsprompt. Du kan behöva trycka return för att den ska visas. Om du använder en dator med Linux måste du se till att det finns en symbolisk länk med namnet /dev/modem som pekar på den serieport som är kopplad till SIParatorn. Koppla upp dig med hjälp av minicom med hastigheten bitar per sekund och vänta på en inloggningsprompt. Logga in som användaren admin. Du får se en meny: Ingate SIParator Administration 1. Basic configuration 2. Save/Load configuration 3. Become a failover team member 4. Leave failover team and become standalone 5. Wipe logs 6. Set password 7. Command line interface a. About q. Exit admin ==> Välj 6. Set password och sätt ett nytt lösenord. Nu kan du koppla upp dig mot SIParatorns webbgränssnitt igen och logga in som admin med det nya lösenordet. Byta lösenord på en Ingate SIParator 50/55/65 eller Ingate SIParator 90 Om man har glömt administratörslösenordet till sin SIParator måste man ha fysisk tillgång 157

166 Chapter 8. Lösenordsbyte steg för steg till den för att kunna sätta ett nytt lösenord. Det krävs också en omstart av SIParatorn för att få den att ta emot ett nytt lösenord. 1. Starta om SIParatorn Starta om SIParatorn genom att trycka på På/Av-knappen. 2. Tryck ESC och Enter Under omstarten kommer det vid ett tillfälle stå "PRESS ESC + ENTER TO ENTER UNCONFIGURED" på displayen. När ESC och Enter trycks in visas texten "UNCONFIGURED CONFIRMED". 3. Kontrollera att SIParatorn kommit i rätt läge När SIParatorn är färdig för att ta emot ny konfiguration står det "UNCONFIGURED" samt första raden i en meny på displayen. Det går tyvärr inte att ge SIParatorn ett nytt lösenord via denna meny. 4. Sätt en IP-adress Om du vill använda webbgränssnittet för att skriva in det nya lösenordet måste SIParatorn först få en IP-adress (samma som förut eller en ny). Detta kan göras på två sätt; antingen via en magisk ping eller via Ingates startverktyg (som kan hämtas från Om du inte vill använda webbgränssnittet kan du istället logga in via textgränssnittet och sätta ett nytt lösenord där. Magisk ping går till så här: Anslut SIParatorns elsladd till ett uttag och slå på SIParatorn. Vänta medan SIParatorn startar. Anslut nätverkskablarna till nätverksgränssnitten. Notera SIParatorns MAC-adress som står på baksidan av maskinen. Lägg till en statisk post i din ARP-tabell med SIParatorns MAC-adress och den IP-adress som SIParatorns eth0 ska få. På en Windows-maskin gör du så här för att lägga till en statisk post i ARP-tabellen: Starta en kommandotolk (DOS-fönster). Skriv kommandot arp -s ipadress macadress där ipadress är den IP-adress du vill att eth0 ska få, och macadress är den MAC-adress som står på maskinen, men med alla kolon (:) utbytta mot bindestreck (-). Pinga denna IP-adress, så sätts den nya IP-adressen på eth0. Om detta lyckas kommer du att få svar på ping därifrån. Konfigurera resten via webbgränssnittet. Om du använder en dator med Windows 2000 eller XP kan du istället göra så här: 158

167 Anslut SIParatorns elsladd till ett uttag och slå på SIParatorn. Vänta medan SIParatorn startar. Anslut nätverkskablarna till nätverksgränssnitten. Notera SIParatorns MAC-adress som står på baksidan av maskinen. Chapter 8. Lösenordsbyte steg för steg Kör igång programmet Ingate.exe som finns på den medföljande CD:n i mappen MagicPing. Skriv in SIParatorns MAC-adress i den övre raden med rutor. Skriv in SIParatorns IP-adress i den nedre raden med rutor. Tryck på Configure för att ge SIParatorn denna IP-adress. Tryck på Login för att koppla upp dig till SIParatorn och göra resten av konfigurationen via webbgränssnittet. Startverktyget går att hämta på 5. Ge SIParatorn ett nytt lösenord Lösenordet sätts sedan via textgränssnittet eller webbgränssnittet. Lösenordsbyte via textgränssnittet går till så här: Anslut SIParatorn till din arbetsstation med den medskickade seriekabeln. Om du använder en dator med Windows kopplar du upp dig genom att starta Hyperterminal. En dialogruta kommer upp där namn och ikon för anslutningen ska anges. Skriv i dessa uppgifter och tryck OK. Dialogrutan Anslut till visas då. Välj under Anslut med: att ansluta Direkt till COM1 och tryck OK. Dialogrutan Portinställningar visas härnäst. Välj hastigheten bitar per sekund och tryck OK. Vänta på en inloggningsprompt. Du kan behöva trycka return för att den ska visas. Om du använder en dator med Linux måste du se till att det finns en symbolisk länk med namnet /dev/modem som pekar på den serieport som är kopplad till SIParatorn. Koppla upp dig med hjälp av minicom med hastigheten bitar per sekund och vänta på en inloggningsprompt. Logga in som användaren admin. Du får se en meny: 159

168 Chapter 8. Lösenordsbyte steg för steg Ingate SIParator Administration 1. Basic configuration 2. Save/Load configuration 3. Become a failover team member 4. Leave failover team and become standalone 5. Wipe logs 6. Set password 7. Command line interface a. About q. Exit admin ==> Välj 6. Set password och sätt ett nytt lösenord. Nu kan du koppla upp dig mot SIParatorns webbgränssnitt igen och logga in som admin med det nya lösenordet. Flytta konfigurationer mellan Ingate-maskiner Det finns två sorters konfigurationsfiler som kan sparas från en Ingate-produkt; konfigurationsdatabaser (.cfg-filer) och CLI-filer (.cli-filer) Konfigurationsdatabaser Konfigurationsdatabasfiler kan normalt flyttas mellan olika Ingate-maskiner. Nedan ser du de kriterier som måste vara uppfyllda för att en sådan fil ska kunna flyttas från maskin A till maskin B: Båda maskinerna måste ha samma produkttyp (det går inte att flytta en brandväggskonfiguration till en SIParator eller tvärtom). Maskin A får inte ha en senare programversion än maskin B. Maskin A får inte ha fler nätverksgränssnitt än maskin B. CLI-filer CLI-filer kan flyttas mellan olika maskiner på lite andra villkor än konfigurationsfiler. Villkoren ändras också om man ändrar i CLI-filen innan man laddar in den igen. Om man bara laddar ned och laddar in filen igen måste dessa kriterier vara uppfyllda för att det ska lyckas: Båda maskinerna måste ha samma produkttyp (det går inte att flytta en brandväggskonfiguration till en SIParator eller tvärtom). Maskin A får inte ha en senare programversion än maskin B. Det går dock att flytta konfigurationen om CLI-filen ändras så att alla inställningar för nya funktioner tas bort. Maskin A får inte ha fler nätverksgränssnitt än maskin B. Maskin B måste minst ha alla mjukvarumoduler som maskin A har. 160

169 Chapter 8. Lösenordsbyte steg för steg Om man vill ändra i CLI-filen går det exempelvis att ta bort alla SIParator- eller brandväggsspecifika inställningar, extra gränssnittsinställningar eller inställningar för extra moduler. På detta sätt går det att flytta filer mellan maskiner där det annars inte skulle ha varit möjligt. Det går också att göra så att de gamla inställningarna inte tas bort från maskinen. Alla beskrivningar nedan gäller för version 4.6 (och högre) av CLI:t. Behålla den gamla konfigurationen Detta kommando ska tas bort från CLI-filen om man vill behålla den gamla konfigurationen. load-factory --all Brandväggsspecifika inställningar När man flyttar en CLI-fil från en brandvägg till en SIParator måste alla rader som rör dessa tabeller tas bort. firewall.dhcp_relay firewall.forwarding_rules firewall.master_logclass firewall.protocols firewall.relays firewall.services (if the SIParator does not have the Quality of Service module) firewall.timeclasses (if the SIParator does not have the SIP Trunking or Advanced SIP Routing module) ipsec.blacklisted_packets ipsec.blacklisting misc.dhcp_server misc.dhcp_server_dns_servers misc.dhcp_server_domain misc.dhcp_server_give_ns misc.dhcp_server_leasetime misc.dhcp_server_netbios_nodetype misc.dhcp_server_status misc.dhcp_server_wins_servers network.masquerading 161

170 Chapter 8. Lösenordsbyte steg för steg SIParator-specifika inställningar När man flyttar en CLI-fil från en SIParator till en brandvägg måste alla rader som rör dessa tabeller tas bort. sip.public_ip sip.st_type sip.surroundings Färre nätverksgränssnitt När man flyttar en CLI-fil till en maskin med färre gränssnitt än den gamla måste man leta fram inställningarna nedan och ta bort de rader som gäller de överflödiga gränssnitten. Om filen flyttas till en maskin med tre gränssnitt kommer dessa att heta eth0, eth1 och eth2 på maskinen. All konfiguration som rör eth3 och högre numrerade gränssnitt måste tas bort. config.allow_via_interface failover.iface_ref_hosts firewall.network_groups network.alias_addresses network.interfaces network.local_nets network.masquerading network.routes network.vlans qos.egress_default_queueing qos.egress_queueing qos.ingress_default_queueing qos.ingress_queueing Inställningar för SIP Trunking När man flyttar en CLI-fil från en maskin med modulen SIP Trunking till en utan modulen måste alla rader som rör dessa tabeller tas bort. sipswitch.b2bua_transfer_enable sipswitch.b2bua_transfer_from_user sipswitch.dial_plan_methods sipswitch.enum_root sipswitch.incoming_unauth sipswitch.request_from sipswitch.user_routing 162

171 Chapter 8. Lösenordsbyte steg för steg Från inställningarna för sipswitch.dial_plan måste fälten "reqfrom", "enum_prefix" och "forward_prefix" tas bort. Från inställningarna för sipswitch.forward_to måste fälten "account" och "regexp" tas bort. Från inställningarna för sipswitch.request_to måste fälten "prefix", "min_tail_length" och "regexp" tas bort. Från inställningarna för sipswitch.users måste alla rader där "type"-fältet inte är "user" tas bort. Inställningar för Remote SIP Connectivity När man flyttar en CLI-fil från en maskin med modulen Remote SIP Connectivity till en utan modulen måste alla rader som rör dessa tabeller tas bort. fent.fent fent.fent_keepalive fent.media_release Inställningar för Advanced SIP Routing När man flyttar en CLI-fil från en maskin med modulen Advanced SIP Routing till en utan modulen, men med modulen SIP Trunking, måste alla rader som rör dessa tabeller tas bort. sipswitch.incoming_unauth sipswitch.voic Från inställningarna för sipswitch.user_routing måste fälten "aliases", "timeclass", "restrict_incoming" och "voice_mail" tas bort. När man flyttar en CLI-fil från en maskin med modulen Advanced SIP Routing till en utan modulen, och som inte heller har modulen SIP Trunking, måste även alla rader som rör dessa tabeller tas bort. sipswitch.user_routing Från inställningarna för sipswitch.users måste alla rader där "type"-fältet inte är "user" tas bort. Inställningar för Enhanced Security När man flyttar en CLI-fil från en maskin med modulen Enhanced Security till en utan modulen måste alla rader som rör dessa tabeller tas bort. idsips.active idsips.predefined_ips_rules idsips.rate_limited_ips 163

172 Chapter 8. Lösenordsbyte steg för steg sip.tls_cacerts sip.tls_client_cfg sip.tls_server_cfg sip.tls_settings sip.use_tls Från inställningarna för sip.media_encryption_rules och sip.media_encryption_policy måste fältet "allow_transcoding" tas bort. Inställningar för VoIP Survival När man flyttar en CLI-fil från en maskin med modulen VoIP Survival till en utan modulen måste alla rader som rör dessa tabeller tas bort. voipsm.voipsm voipsm.voipsm_domains voipsm.voipsm_pstn_gateways 164

173 Chapter 9. Konfigurera nätverkstopologi steg för steg VLAN-konfiguration steg för steg Ingate SIParator kan hantera VLAN. Här är en steg för steg-beskrivning av vilka inställningar som måste göras för att det ska fungera. VLAN På sidan VLAN definieras och namnges de VLAN som ska användas. Alla VLAN som ska användas i något nätverk som definieras på sidan Nät och maskiner måste namnges här. Detta innefattar de nätverk som ska användas till Regler eller Reläer, nätverk som SIP-användare ska registrera sig från och nätverk som innehåller maskiner som får ställa SNMP-frågor till SIParatorn. Gränssnitt På Gränssnitt-sidan för det gränssnitt som dina VLAN ska finnas på, anges som vanligt nätverken. Här kopplas också nätverk ihop med VLAN. Nät och maskiner På sidan Nät och maskiner skapas nätverken som ska använda VLAN. Under Interface/VLAN väljs rätt VLAN för respektive nätverk. Det här behöver göras för alla VLAN-nät som ska användas till Regler eller Reläer, nätverk som SIP-användare ska registrera sig från och nätverk som innehåller maskiner som får ställa SNMP-frågor till SIParatorn. 165

174 Chapter 9. Konfigurera nätverkstopologi steg för steg Sen används nätverken som vanligt för övriga inställningar. Observera att när SIParatorn har konfigurerats till att använda VLAN på ett nät, kommer otaggade paket, som kommer till SIParatorn på det nätverket, inte att accepteras. Spara/Läsa inställningar Gå till sist till sidan Spara/Läsa inställningar under Administration och ta de nya inställningarna i drift genom att trycka på Ta i drift. När inställningarna har tagits i drift bör du också spara en kopia av dem. Tryck på Spara inställningarna i CLI-format för att spara konfigurationen. Semitransparent FTP-relä steg för steg När man har en FTP-server på insidan eller ett DMZ skickas trafiken oftast in med hjälp av ett FTP-relä. Detta relä har dock nackdelen att alla uppkopplingar ser ut att komma från SIParatorn själv - FTP-servern har ingen möjlighet att autentisera eller blockera olika användare baserat på deras IP-adresser. Det man då skulle vilja använda är ett semitransparent FTP-relä, där SIParatorn låter den ursprungliga avsändaradressen stå kvar. Tyvärr finns inte denna relätyp idag, men med en 166

175 Chapter 9. Konfigurera nätverkstopologi steg för steg kombination av inställningar går det att åstadkomma funktionen. Här visas de inställningar som man måste göra för att få ett semitransparent FTP-relä. Nät och maskiner På sidan Nät och maskiner behövs ett nätverk som innehåller alla IP-adresser som får komma åt FTP-servern. Normalt är detta hela Internet. Det behövs också ett nätverk som innehåller FTP-serverns IP-adress. Reläer Gå till sidan Reläer under Reläer och lägg till en ny rad i tabellen. Välj SIParatorns IP-adress på utsidan och port 21 att lyssna på. Det är viktigt att port 21 används, annars fungerar inte detta! Skriv in FTP-serverns privata IP-adress att skicka vidare paketen till och välj Semitransparent TCP port forwarding som relätyp. Regler Gå till sidan Regler och skapa en regel för trafik från Internet till FTP-servern. Tjänsten ska vara FTP. Spara/Läsa inställningar Gå till sist till sidan Spara/Läsa inställningar under Administration och ta de nya inställningarna i drift genom att trycka på Ta i drift. 167

Visa mer