【FortiGate】テレビ電話、テレビ会議、ビデオ会議システム等の接続不具合
FortiGateとPolycom製品のVideo Border Proxy Plus シリーズ(以下VBP)を接続した際に正常に通信ができない事象が発生したので検証した結果、回避できたのでその設定方法を記します。
【事象概要】
PolycomのVBPは外部のユーザーが会議室用ビデオ会議システム、個人用ビデオ会議システム、モバイルデバイスなどの内部のユーザーとの間の会議にセキュアに参加し、コミュニケーションを図れるようにします。
よりセキュアにするためにSIPを使用したテレビ電話システムなどVoIP機器をFortigate配下に設置し、外部からアクセスされるポートをすべてVIPやポリシーでアクセス許可を行っても、クライアントとサーバ間で正常に通信ができません。
【構成】
【結論】
Fortigateには、Default設定でSIPをサポートする機能がありますが、この機能が逆に不具合の原因となることがあります。
【設定】
まずは通常通り上記構成の通信を許可する設定をします。
①Destination NATの設定
「ポリシー&オブジェクト」>「バーチャルIP」>「新規作成」
②ポリシーの設定
「ポリシー&オブジェクト」>「IPv4ポリシー」>「新規作成」
※ALLで許可していますがポート番号や送信元が特定でていればよりセキュアになります。
◎同様にLAN→WANの通信も許可するようにしてください。
[参考]Polycom製品の通信を許可する際の設定例は下記公式サイトで確認できます。
Example Scenario: Using FortiGate services to support Audio/Visual Conferencing
====================================
ここまでは通常の設定ですが今回の事象を回避するには以下の設定が必要です。
====================================
③SIP、H.323 セッションヘルパー機能を無効にします。(CLIのみ)
# conf sys session-helper (session-helper) # show ←セッションヘルパーの設定内容を確認 config system session-helper edit 1 set name pptp set port 1723 set protocol 6 next edit 2 set name h323 set port 1720 set protocol 6 next edit 3 set name ras set port 1719 set protocol 17 next edit 13 set name sip set port 5060 set protocol 17 next (session-helper) # delete 13 ←SIPのセッションヘルパーを削除(無効) (session-helper) # delete 2 ←H.323のセッションヘルパーを削除(無効) (session-helper) # end # config system settings (settings) # set sip-helper disable ←SIPのセッションヘルパーを無効 (settings) # set sip-nat-trace disable ←SIPのNATトレースを無効 (settings) # end
※それでも通信できない場合は "edit 3" のrasも無効にしてください。
これで通信が可能となるはずです。