体育会系NetworkEngineerの備忘録

ネットワーク機器(Cisco、Juniper、FortiGate、BIG-IPなど)の設定方法や検証レポートを紹介します。プライベートの内容も少しあります。

【FortiGate】テレビ電話、テレビ会議、ビデオ会議システム等の接続不具合

FortiGateとPolycom製品のVideo Border Proxy Plus シリーズ(以下VBP)を接続した際に正常に通信ができない事象が発生したので検証した結果、回避できたのでその設定方法を記します。

【事象概要】
PolycomのVBPは外部のユーザーが会議室用ビデオ会議システム、個人用ビデオ会議システム、モバイルデバイスなどの内部のユーザーとの間の会議にセキュアに参加し、コミュニケーションを図れるようにします。
よりセキュアにするためにSIPを使用したテレビ電話システムなどVoIP機器をFortigate配下に設置し、外部からアクセスされるポートをすべてVIPやポリシーでアクセス許可を行っても、クライアントとサーバ間で正常に通信ができません。

【構成】
f:id:fantasista7s:20180830153451p:plain

【結論】
Fortigateには、Default設定でSIPをサポートする機能がありますが、この機能が逆に不具合の原因となることがあります。

【設定】
まずは通常通り上記構成の通信を許可する設定をします。

Destination NATの設定
「ポリシー&オブジェクト」>「バーチャルIP」>「新規作成」
f:id:fantasista7s:20180830151650j:plain

②ポリシーの設定
「ポリシー&オブジェクト」>「IPv4ポリシー」>「新規作成」
※ALLで許可していますがポート番号や送信元が特定でていればよりセキュアになります。
f:id:fantasista7s:20180830151658j:plain
◎同様にLAN→WANの通信も許可するようにしてください。

[参考]Polycom製品の通信を許可する際の設定例は下記公式サイトで確認できます。
Example Scenario: Using FortiGate services to support Audio/Visual Conferencing

====================================
ここまでは通常の設定ですが今回の事象を回避するには以下の設定が必要です。
====================================

SIPH.323 セッションヘルパー機能を無効にします。(CLIのみ)

# conf sys session-helper

(session-helper) # show         ←セッションヘルパーの設定内容を確認
config system session-helper
   edit 1
       set name pptp
       set port 1723
       set protocol 6
   next
   edit 2
       set name h323
       set port 1720
       set protocol 6
   next
   edit 3
       set name ras
       set port 1719
       set protocol 17
   next

   edit 13
       set name sip
       set port 5060
       set protocol 17
   next

(session-helper) # delete 13       ←SIPのセッションヘルパーを削除(無効)

(session-helper) # delete 2        ←H.323のセッションヘルパーを削除(無効)

(session-helper) # end

# config system settings

(settings) # set sip-helper disable       ←SIPのセッションヘルパーを無効

(settings) # set sip-nat-trace disable     ←SIPのNATトレースを無効

(settings) # end

※それでも通信できない場合は "edit 3" のrasも無効にしてください。

これで通信が可能となるはずです。