In questo articolo cercherò di approfondire una delle tematiche più comuni legate al Routing per il VoIP. Parleremo in particolar modo di Bridge Mode (Modalità Bridge) e Routed Subnet Pubbliche (utilizzo di un pool di IP Pubblici) quali principali metodi per evitare l’impiego, in ambito LAN, di sistemi di doppio NAT.
Chi lavora con il Voice Over IP dovrebbe ben conoscere le criticità legate all’attraversamento delle barriere di NAT con il Protocollo SIP. Per chi ancora non ne fosse a conoscenza, rimandiamo l’approfondimento al precedente articolo tecnico attraverso il quale abbiamo già approfondito la tematica.
Una delle problematiche più frequenti legate al malfunzionamento dei trunk SIP VoIP è legata all’impiego del cosiddetto “Doppio NAT”. Si tratta di una pratica purtroppo ancora abbastanza diffusa per connettere in cascata dispositivi router con dispositivi firewall. Lo scopo di questo articolo è quello di portarvi a conoscenza delle procedure corrette per evitarla.
Doppio NAT in ambito VoIP: perché evitarlo sempre
La RFC6314 (SIP) affronta l’argomento dell’attraversamento delle barriere di NAT in ambito VoIP ed elenca alcuni elementi di supporto. Se il superamento di una barriera di NAT richiede la necessità di un’attenta configurazione del Centralino o del telefono VoIP, l’impiego di una configurazione con doppio NAT costituisce certamente una grave criticità e un rischio di instabilità con probabile malfunzionamento. Configurazioni di questo tipo sono assolutamente da evitare nel mondo del VoIP preferendo invece configurazioni con maggiore efficienza e piena compatibilità con il protocollo SIP.
Esempio di Doppio NAT con due classi di IP Privati. Questa situazione è da evitare in ambito VoIP.
Come evitare il Doppio NAT: Bridge Mode e IP Pubblici aggiuntivi
Le configurazioni con doppio NAT vengono in genere implementate per assolvere alla necessità di instradare un singolo IP pubblico attraverso una doppia catena router/firewall. Chi utilizza questo tipo di configurazione pensa spesso che si tratti dell’unico metodo per collegare un firewall ethernet con un router/modem per gestisce una connettività di tipo FTTC. In altre situazioni un tale schema di collegamento è invece il risultato di una o più limitazioni imposte dagli ISP.
Iniziamo subito dicendo che, in caso di applicazioni VoIP, è sempre d’obbligo adottare soluzioni con connettività naked. Si tratta di connettività che non siano in alcun modo obbligate nella scelta del router da utilizzare. In questo modo l’utente è sempre libero di utilizzare l’apparato migliore per la specifica esigenza, senza incorrere in pesanti limitazioni del servizio. In un’ottica di piena trasparenza e rispetto delle attuali normative (modem libero), l’ISP dovrebbe sempre lasciare la libertà di scelta in merito al router da utilizzare.
Nel pieno rispetto di questi presupposti VoipVoice ha scelto di non imporre l’utilizzo di alcun apparato specifico, indicando ed eventualmente fornendo gli apparati router raccomandati. Per questi apparati viene proposto il servizio Easy Solutions Router con la garanzia di disporre di un servizio di assistenza tecnica avanzata e puntuale. In questo caso l’apparato non subisce alcun tipo di limitazione nella configurazione e dispone di funzionalità molto avanzate.
Sugli apparati consigliati da VoipVoice è sempre possibile evitare il doppio NAT. Questa possibilità è garantita dal fatto di poter supportare due tipi di configurazione specifiche. Si tratta de supporto per il bridge mode e di quello per la gestione delle Routed Subnet Pubbliche (pacchetti di indirizzi IP aggiuntivi).
1) La Modalità Bridge
La funzionalità di bridge fornisce una connessione diretta tra la connessione XDSL ed Ethernet. Il dispositivo connesso al router principale (firewall o server) può accedere direttamente a Internet senza effettuare operazioni di NAT e ottenere il pieno controllo della connessione.
Per rendere più comprensibile il concetto, il router collegato alla linea XDSL si comporta come “puro modem” e comunica con il firewall a valle a Layer 2 (indirizzi MAC) invece di utilizzare il Layer 3 (indirizzi IP). l’IP pubblico risulterà direttamente attestato sulla WAN del firewall, senza alcuna necessità di eseguire un’inutile operazione di NAT.
Il PBX VoIP, in questa situazione lavorerà con una sola barriera di NAT e non riscontrerà alcun problema. Un secondo rilevante vantaggio sarà legato al fatto di non indurre alcuna limitazione o collo di bottiglia per il firewall posizionato a valle.
Nel caso di applicazione di un doppio NAT infatti, il router principale costituisce sempre un collo di bottiglia per le prestazioni del firewall a valle, sia a livello di capacità di calcolo (CPU) che di throughput. Viceversa, quando il router principale agisce come “puro modem” a L2 vi è una drastica riduzione dell’utilizzo della CPU e non viene applicata alcuna limitazione delle performance del firewall utilizzato a valle.
Modalità Bridge: il router agisce come “puro modem”. Viene evitato il doppio NAT e migliorano le performance.
I router modem più moderni sono anche in grado di fornire due opzioni di modalità Bridge, modalità “Bridge” e modalità “Full Bridge”. E’ possibile scegliere quale modalità utilizzare in base al fatto che la linea XDSL richieda o meno il VLAN tag. La modalità Full bridge è in grado di veicolare a L2 uno o più VLAN tag direttamente al Firewall. Nel caso di connettività senza necessità di VLAN Tag è invece preferibile utilizzare la più semplice Modalità Bridge di base.
2) La Gestione degli IP Pubblici Aggiuntivi (Gestione delle Routed Subnet)
La seconda validissima soluzione per evitare il doppio NAT, prevede l’utilizzo di un pool di IP pubblici. E’ l’opzione consigliata nelle installazioni di medie e grandi dimensioni. Premesso che tutte le connettività di tipo business forniscono sempre almeno 1 Indirizzo IP statico pubblico, è sempre possibile aggiungere separatamente un pacchetto (pool) di IP statici pubblici aggiuntivi.
Quando si dispone di una subnet di indirizzi IP Pubblici, è possibile configurare un primo indirizzo IP pubblico direttamente sulla WAN del primo router (modem) e un secondo indirizzo IP Pubblico sulla WAN del Firewall a valle. In questo modo il dialogo tra router e firewall avverrà a Layer3 con una semplice operazione di routing tra i due indirizzi pubblici. Solo a livello del Firewall verrà eseguita l’unica operazione di NAT. Con questi presupposti sarà garantita sia l’efficienza a livello di scambio dati tra router/modem e firewall, sia la piena funzionalità del Centralino VoIP.
Routed Subnet: Lo scambio tra Router e firewall non prevede il doppio NAT.
Gli apparati di Routing forniti con VoipVoice – Easy Solutions PBX
Tutti gli apparati Router Firewall Draytek® compresi nell’offerta VoipVoice Easy Solutions PBX sono perfettamente in grado di supportare tutte le configurazioni che sono state illustrate in questo articolo. Per chi volesse approfondire gli argomenti illustrati, Voipvoice mette a disposizione dei propri partner i corsi di certificazione e specializzazione della VoIP Academy dedicati ai professionisti del VoIP.
CORSO DI CERTIFICAZIONE 5° LIVELLO VOIPVOICE La data sarà definita al raggiungimento di 15 preregistrazioni I corsi si svolgeranno online in due pomeriggi consecutivi, dalle ore
CORSO DI CERTIFICAZIONE 4° LIVELLO VOIPVOICE Il corso si svolgerà online in due pomeriggi consecutivi, dalle ore 14:30 alle ore 17:30. Il secondo giorno si terrà
CORSO DI CERTIFICAZIONE 2° LIVELLO VOIPVOICE I corsi si svolgeranno online in due pomeriggi consecutivi, dalle ore 14:30 alle ore 17:30. Il secondo giorno si terrà
