---

Hej!

Jeg skal inde bag en PIX 506E nå en host ude på Internet med H.323
(Videokonference (Udstyr fra Polycom)). Mit udstyr bag PIX'en skal kun ringe
ud, men PIX'en tillader umiddelbart ikke denne type trafik. Udstyr i den
anden ende sidder direkte på en offentlig IP-adresse og er ikke bag
firewall/NAT/PAT eller lignende.

I device manageren i PIX'en (Advanced / Fixup / H.323), er de korrekte porte
umiddelbart sat men det hjælper bare ikke noget.

Jeg er på temmelig bar bund her, da mit H.323 kendskab ifht. PIX er meget
lille.
Har på fornemmelsen at jeg mangler at fyre en eller anden H.323 kommando af
i PIX cli'en ?

Håber nogen kan hjælpe

Jens


X-posted i dk.edb.netvaerk og dk.edb.netvaerk.stort med follow-up til
dk.edb.netvaerk.

---

Til orientering så kører PIX v6.3(5)

Jens

---

On Wed, 6 Dec 2006 11:12:24 +0100, "Jens"
<jens.joensson@_FJERN_DETTE_gmail.com> wrote:

> Jeg skal inde bag en PIX 506E nå en host ude på Internet med H.323

www.cisco.com, skriv "pix h.323" i søgefeltet og tryk Go. Hjælper det?

www.google.com, skriv "cisco pix polycom nat" i søgefeltet og tryk I'm
Feeling Lucky. Hjælper det?

-A
--
Hvis du beskyttes af den 'gratis' spam-udsender til privatbrugere,
beskyttes du også mod svar fra mig. Jeg filtrerer de indlæg bort.

---

"Asbjorn Hojmark" <Asbjorn@Hojmark.ORG> skrev i en meddelelse
news:2m6dn2dtpd327le7q5lioqk41t4j91cvb8@hojmark.net...
> On Wed, 6 Dec 2006 11:12:24 +0100, "Jens"
>
> www.cisco.com, skriv "pix h.323" i søgefeltet og tryk Go. Hjælper det?
>

En god ting er at bruge google og så skrive "site:www.cisco.com pix h.323".
Efter min mening har google indekseret cisco.com langt bedre end cisco selv
har...

--
Mvh
Martin Kiefer
www.kiefer.dk

---

On Fri, 8 Dec 2006 22:46:02 +0100, "Martin Kiefer" <news2@kiefer.dk>
wrote:

> Efter min mening har google indekseret cisco.com langt bedre
> end cisco selv har...

Mja... Sjovt nok bruger Cisco.com faktisk Googles søgemaskine.
Go figure.

-A
--
Hvis du beskyttes af den 'gratis' spam-udsender til privatbrugere,
beskyttes du også mod svar fra mig. Jeg filtrerer de indlæg bort.

---

Hej Jens

Vi havde også en del problemer med vores H.323 (tandberg) udstyr.
Vi måtte åbne:

UDP 1719 (RAS messaging)
TCP 2776 (Call setup/Capabilities Exchange)
UDP 2776 (RTP Media)
UDP 2777 (RTCP Media)

Mvh
Peter

Jens wrote:
> Hej!
>
> Jeg skal inde bag en PIX 506E nå en host ude på Internet med H.323
> (Videokonference (Udstyr fra Polycom)). Mit udstyr bag PIX'en skal kun ringe
> ud, men PIX'en tillader umiddelbart ikke denne type trafik. Udstyr i den
> anden ende sidder direkte på en offentlig IP-adresse og er ikke bag
> firewall/NAT/PAT eller lignende.
>
> I device manageren i PIX'en (Advanced / Fixup / H.323), er de korrekte porte
> umiddelbart sat men det hjælper bare ikke noget.
>
> Jeg er på temmelig bar bund her, da mit H.323 kendskab ifht. PIX er meget
> lille.
> Har på fornemmelsen at jeg mangler at fyre en eller anden H.323 kommando af
> i PIX cli'en ?
>
> Håber nogen kan hjælpe
>
> Jens
>
>
> X-posted i dk.edb.netvaerk og dk.edb.netvaerk.stort med follow-up til
> dk.edb.netvaerk.
>
>

---

"Jens" <jens.joensson@_FJERN_DETTE_gmail.com> wrote in message
news:457698a1$0$193$edfadb0f@dread11.news.tele.dk...
> I device manageren i PIX'en (Advanced / Fixup / H.323), er de korrekte
> porte umiddelbart sat men det hjælper bare ikke noget.

H.323 sender source-ip i payload, dvs den beder modparten kontakte den på
10.0.0.72 eller hvad dens interne IP nu er, også når den ringer ud.
Man kan lave noget deep packet inspection og udskifte disse adresser, men
det er grimt.
Brug en NAT-aware protokol eller undlad NAT.

--
Martin Højriis Kristensen
http://www.makr.dk/ - intet at komme efter

---

Jens skrev:
> Jeg skal inde bag en PIX 506E nå en host ude på Internet med H.323
> (Videokonference (Udstyr fra Polycom)). Mit udstyr bag PIX'en skal kun ringe
> ud, men PIX'en tillader umiddelbart ikke denne type trafik. Udstyr i den
> anden ende sidder direkte på en offentlig IP-adresse og er ikke bag
> firewall/NAT/PAT eller lignende.
>
> I device manageren i PIX'en (Advanced / Fixup / H.323), er de korrekte porte
> umiddelbart sat men det hjælper bare ikke noget.
>
> Jeg er på temmelig bar bund her, da mit H.323 kendskab ifht. PIX er meget
> lille.
> Har på fornemmelsen at jeg mangler at fyre en eller anden H.323 kommando af
> i PIX cli'en ?
>
> Håber nogen kan hjælpe
>
> Jens

Et klassisk problem med H.323 er NAT. Min egen opfattelse at NAT skal
undgås, hvis man vil have H.323 til at fungere.
Problemet er at H.323 konferencer består af en lang række forbindelser.
typisk foregår et opkald ved at der bliver oprettet en
kontrolforbindelse (H.225). Denne forbindelse kan enten foregå direkte
mellem klienterne eller via en gatekeeper. I denne forbindelse
forhandles det hvilke datastrømme der skal åbnes for, det beskrives i
payload mellem hvilke ip addresser og porte disse forbindelser skal
åbnes. Fixup sørger for at firewallen tillader at disse ekstra
forbindelser åbnes.

Hvis der er NAT involveret er det altså ikke tilstrækkeligt at ændre
adresser i IP headeren og porte i UDP/TCP headeren, der skal laves en
række konsekvensrettelser i kontrolforbindelsen. Det kan en PIX mig
bekendt ikke.

I Polycom udstyr har jeg tidligere set at det var muligt at indtaste den
ip addresse som forbindelserne bliver nattet til. Så kan man få det til
at virke over nat, men i de fleste tilfælde vil det være nødvendigt at
lave en statisk adresseoversættelse, for at sikre at returforbindelserne
også oversættes korrekt.

H.323 gennem firewalls og NAT er bestemt ikke trivielt, det kan være en
rigtig god ide at få noget konsulenthjælp, da det kan være temmelig
uoverskueligt at gå i gang med. Bemærk også at der typisk er nogle
risikoovervejelser når man tillader H.323, eksempelvis bør man overveje
om man vil tillade deling af filer og applikationer mv.

Wikipedia har en lang række gode links om h.323 i almindelighed:
http://en.wikipedia.org/wiki/H.323

/Tune

---

On Tue, 02 Jan 2007 10:08:32 +0100, Tune Abildgaard
<tuneabildgaard@hotmail.com> wrote:

> Hvis der er NAT involveret er det altså ikke tilstrækkeligt at ændre
> adresser i IP headeren og porte i UDP/TCP headeren, der skal laves en
> række konsekvensrettelser i kontrolforbindelsen. Det kan en PIX mig
> bekendt ikke.

Det kan en PIX mig bekendt godt... Se på 'fixup proto h323' og evt.
http://tinyurl.com/yk89xe

-A
--
Hvis bruger et anti-spam program, der spammer os andre i hvert
eneste indlæg, ser jeg ikke dine indlæg. Jeg filtrerer dem bort.

---

Asbjorn Hojmark <Asbjorn@hojmark.org> wrote:
> On Tue, 02 Jan 2007 10:08:32 +0100, Tune Abildgaard
> <tuneabildgaard@hotmail.com> wrote:

> > Hvis der er NAT involveret er det altså ikke tilstrækkeligt at ændre
> > adresser i IP headeren og porte i UDP/TCP headeren, der skal laves en
> > række konsekvensrettelser i kontrolforbindelsen. Det kan en PIX mig
> > bekendt ikke.

> Det kan en PIX mig bekendt godt... Se på 'fixup proto h323' og evt.
> http://tinyurl.com/yk89xe

Min erfaring med en PIX 525 (PIXOS 6.3.5) og Polycom er til gengæld at
jeg måtte sige "no fixup h323 h225 1720" for at få det til at virke, og
det selvom mit Polycom udstyr bag PIX'en ikke er NAT'et.

Desværre var jeg ikke i stand til at gennemskue hvad der egentlig gik
galt, selv med et wireshark dump fra begge sider af PIX'en. H.xxx er
ufatteligt komplekst ...

/Niels

--
Niels Baggesen -- @home -- Århus -- Denmark -- niels@baggesen.net
The purpose of computing is insight, not numbers -- R W Hamming