Configuration de pare-feu

Cette page fournit aux administrateurs de pare-feu les informations nécessaires afin de pouvoir permettre un accès sécurisé aux services voix et image offerts par RENATER.

RENAVISIO et RENAvisio+

  • Les services de visioconférence utilisent les protocoles H.323 ou SIP pour la signalisation et RTP pour le transport.
    • TCP 1720 (H323) (Codian/Scopia)
    • TCP et UDP 5060 (SIP) (Codian/Scopia)
    • TCP et UDP >= 1024 (Codian/Scopia)
    • TCP 80 et 443 ( Scopia Desktop, ce n'est pas du HTTP sur ces ports )
  • Tous les serveurs sont dans les sous-réseaux suivants :
    • 194.214.202.128/26 (H.323 SCOPIA et CODIAN)
    • 195.98.238.109 (SIP TCP/UDP 5060)
    • 195.98.238.110 (SIP TCP/UDP 5060)
    • 195.98.238.111 (SIP TCP/UDP 5060)
    • 195.98.238.112 (SIP TCP/UDP 5060)
    • 195.98.238.113 (SIP TCP/UDP 5060)
    • 195.98.238.114 (SIP TCP/UDP 5060)
    • 195.98.238.115 (SIP TCP/UDP 5060)
    • 195.98.238.116 (SIP TCP/UDP 5060)

Voici un exemple de règles pour PF qui permettent à des clients situés derrière votre pare-feu de se connecter à RENAvisio:

pass proto tcp to 194.214.202.128/26 port 1720
pass proto { tcp, udp } to 194.214.202.128/26 port >= 1024

Pour permettre les connexions en sens contraire, c'est-à-dire de RENAvisio vers votre équipement, nous vous conseillons d'ouvrir tous les ports TCP et UDP >= 1024:

pass proto { tcp, udp } from 194.214.202.128/26 to a.b.c.d port >= 1024

… où “a.b.c.d” est l'adresse IP de votre équipement.

Il peut être techniquement complexe de faire fonctionner les protocoles H.323 et SIP à travers un NAT. Nous recommandons donc fortement d'éviter le NAT et d'assigner des adresses IP globales à vos clients H.323 et SIP.

Rendez-vous

Les adresses IP des serveurs de conférence :

  • 194.57.3.58
  • 194.57.3.60
  • 194.57.3.61
  • 194.57.3.62
  • 194.57.3.63
  • 194.57.3.64

Les adresses IP des serveurs de médias sont les suivantes :

  • 193.49.158.135,
  • 193.49.158.136,
  • 193.49.158.138,
  • 193.49.158.139,
  • 193.49.158.140,
  • 193.49.158.141,
  • 193.49.158.144,
  • 193.49.158.153,
  • 193.49.158.154,
  • 193.49.158.155,
  • 193.49.158.146,
  • 193.49.158.147,
  • 193.49.158.145,
  • 193.49.158.148,
  • 193.49.158.150,
  • 193.49.158.149,
  • 193.49.158.151,
  • 193.49.158.152,
  • 193.49.158.158,
  • 193.49.158.157,
  • 193.49.158.160,
  • 193.49.158.159,
  • 193.49.158.161,
  • 193.49.158.162,
  • 193.49.158.164,
  • 193.49.158.165,
  • 193.49.158.166,
  • 193.49.158.167,
  • 193.49.158.168,
  • 193.49.158.169,
  • 193.49.158.170,
  • 193.49.158.171,
  • 193.49.158.172,
  • 193.49.158.173,
  • 193.49.158.174,
  • 193.49.158.175

IP des serveurs TURN utilisés pour notre test de connexion

  • 195.98.238.29,
  • 195.98.238.22,
  • 2001:660:3001:4003::29,
  • 2001:660:3001:4003::22

Ports - Protocols utilisés par les serveurs de conférence:

  • 80/tcp - HTTP
  • 443/tcp - HTTPS

Ports - Protocols utilisés par les serveurs de médias:

  • 443/tcp - SSL / STUN / TLS-SRTP
  • 10000-20000/udp - STUN / DTLS-SRTP
  • 3478/udp - STUN pour le serveur de test de connexion

Pour une qualité optimum il faut que le trafic média udp (STUN et DTLS-SRTP sur port 10000 à 20000) soit autorisé.