Configuration de pare-feu

Cette page fournit aux administrateurs de pare-feu les informations nécessaires afin de pouvoir permettre un accès sécurisé aux services voix et image offerts par RENATER.

RENAVISIO et RENAvisio+

  • Les services de visioconférence utilisent les protocoles H.323 ou SIP pour la signalisation et RTP pour le transport.
    • TCP 1720 (H323) (Codian/Scopia)
    • TCP et UDP 5060 (SIP) (Codian/Scopia)
    • TCP et UDP >= 1024 (Codian/Scopia)
    • TCP 80 et 443 ( Scopia Desktop, ce n'est pas du HTTP sur ces ports )
  • Tous les serveurs sont dans les sous-réseaux suivants :
    • 194.214.202.128/26 (H.323 SCOPIA et CODIAN)
    • 195.98.238.109 (SIP TCP/UDP 5060)
    • 195.98.238.110 (SIP TCP/UDP 5060)
    • 195.98.238.111 (SIP TCP/UDP 5060)
    • 195.98.238.112 (SIP TCP/UDP 5060)
    • 195.98.238.113 (SIP TCP/UDP 5060)
    • 195.98.238.114 (SIP TCP/UDP 5060)
    • 195.98.238.115 (SIP TCP/UDP 5060)
    • 195.98.238.116 (SIP TCP/UDP 5060)

Voici un exemple de règles pour PF qui permettent à des clients situés derrière votre pare-feu de se connecter à RENAvisio:

pass proto tcp to 194.214.202.128/26 port 1720
pass proto { tcp, udp } to 194.214.202.128/26 port >= 1024

Pour permettre les connexions en sens contraire, c'est-à-dire de RENAvisio vers votre équipement, nous vous conseillons d'ouvrir tous les ports TCP et UDP >= 1024:

pass proto { tcp, udp } from 194.214.202.128/26 to a.b.c.d port >= 1024

… où “a.b.c.d” est l'adresse IP de votre équipement.

Il peut être techniquement complexe de faire fonctionner les protocoles H.323 et SIP à travers un NAT. Nous recommandons donc fortement d'éviter le NAT et d'assigner des adresses IP globales à vos clients H.323 et SIP.

Rendez-vous

IP de nos serveurs

Nos serveurs de conférence : 194.57.3.58 jusqu’à 194.57.3.64

Nos serveurs de médias : 193.49.158.135 jusqu’à 193.49.158.176

Nos serveurs TURN ( utilisés pour les connexions médias TCP et SSL):

  • 193.49.158.177,
  • 195.98.238.28,
  • 195.98.238.29,
  • 2001:660:3001:4003::28,
  • 2001:660:3001:4003::29

Protocoles et ports à ouvrir

Vers les serveurs de conférence :

Port Transport Application
80 tcp HTTP
443 tcp HTTPS, WSS

Vers et depuis les serveurs de médias:

Port Transport Application
10000 udp STUN,DTLS-SRTP

Vers et depuis les serveurs TURN:

Port Transport Application
443 tcp STUN
443 tcp SSL
3478 udp STUN

Nous vous déconseillons fortement l'utilisation d'un VPN ou d'un proxy pour vous connecter à notre service. En effet leur utilisation peut entraîner des instabilités et de la latence dans les connexions média.

Pour une qualité optimum, il faut privilégier le trafic média udp (STUN et DTLS-SRTP sur port 10000).