Architettura
Matrice connettività
Sorgente | Tipologia traffico | IP Destinazione | Porta Destinazione | Note |
|---|---|---|---|---|
Internet | HTTPS | IP Pubblico | TCP/443 | NAT verso NGINX |
Internet | SIP | IP Pubblico | UDP+TCP/5060, TCP/5061 | NAT verso IP EXT di SIPProxy (osips) |
Internet | RTP | IP Pubblico | UDP/10000-30000 | NAT verso IP EXT RTPProxy |
NGINX | HTTP | BAL | TCP/80 | |
SIPProxy (ip int) | SIP | CTI1 | UDP+TCP/5060 | |
RTPProxy (ip int) | RTP | MSA | UDP/4000-9999 | |
CTI | SIP | SIPProxy (ip int) | UDP+TCP/5060 | |
MSA | RTP | RTPProxy (IP int) | UDP/10000-30000 |
Note
Non è necessario configurare esplicitamente delle aperture dalla DMZ verso internet, in quanto sia il traffico HTTPS, che SIP e RTP è sempre traffico in risposta (quindi utilizzando come porta di destinazione la porta sorgente della richiesta) a richieste provenienti da internet.
Doppio indirizzo IP
Le macchine SIPProxy e RTPProxy devono essere dotate di 2 indirizzi IP (EXT e INT). Quello EXT viene utilizzato come destinazione del traffico proveniente da internet tramite il NAT implementato dal firewall perimentrale, e come IP sorgente per il traffico diretto verso internet.
IP Int, viene utilizzato come IP sorgente per il traffico diretto verso la DMZ e come ip di destinazione del traffico proveniente dalla DMZ.
I due IP, EXT e INT, possono risiedere sulla stessa subnet, ma non è necessario, possono appartenere anche a subnet che non comunicano tra di loro, in quanto è compito degli applicativi (opensips e rtpproxy) effettuare il bridge dei pacchetti da un IP all’altro.