[Résolu] Polycom PVX et IpCop

par **groumph** » 16 Jan 2008 17:48

Bonjour,
Y en a-t-il parmi vous qui utilise une visio Polycom derrière un Ipcop ?
J'ai des soucis de connexion ...

Merci d'avance.

par **ccnet** » 16 Jan 2008 18:38

Comment voulez vous que quiconque vous aide ? En gros vous nous dites : j'ai ipcop et ca ne marche pas comme je veux. Aucune information technique, pas de constat factuel des problèmes observés (logs etc ...). Votre question, en l'état actuel c'est a peu près : Quel âge avait Henri IV ? Pas facile !

par **jdh** » 16 Jan 2008 20:25

On peut quand même dire quelque chose ....

Très vraisemblablement, la visioconférence utilise H323 qui nécessite un module iptables spécifique h323.

Est-il présent dans IPCOP ? Est-il installable ?

Mais c'est sur, une petite description : ma config, mes zones, ma machine de videoconf, ce que je veux faire, ce que j'ai essayé, ce qui n'a pas fonctionné, des "infos que je ne comprends pas mais qui doivent servir", ... Tout cela aurait "posé" le contexte. Et, comme on dit, un problème bien posé est à moitié résolu !

par **groumph** » 17 Jan 2008 11:03

ccnet a écrit:Comment voulez vous que quiconque vous aide ? En gros vous nous dites : j'ai ipcop et ca ne marche pas comme je veux. Aucune information technique, pas de constat factuel des problèmes observés (logs etc ...). Votre question, en l'état actuel c'est a peu près : Quel âge avait Henri IV ? Pas facile !

Houla, ben ça rigole pas là !!!

Primo, je ne souhaite pas vous poluer avec ma config si personne n'utilise de visio sur architecture IpCop.
Secundo, Polycom PVX utilise les normes H323 et H264 et je n'étais pas certain d'être sur le bon forum pour discuter de ça.

Comme il semble quand y avoir des personnes curieuses ici, c'est super.
Mon architecture réseau est standard :

Internet ----- modem ---- IpCop (1.4.18) ---- LAN ---- poste visio
|
DMZ

Tout fonctionne super bien pour la sécurité.
Le poste de visio est placé dans le LAN. Les ports utilisés par l'outil de visio sont redirigés dans la partie tranferts d'IpCop (puisque pas d'UPnP dans IpCop) vers le poste de visio. L'outil de visio est une visio point à point sur IP standard (H323 et H264) sans besoin de serveur intermédiaire.
Hélas, pour l'instant je n'arrive pas à me appeler ou recevoir des appels depuis le client de visio.

JDH : tu parles d'iptables. Il faudrait tripatouiller la-dedans ? Le transfert de port ne suffirai pas ?

Je vais refaire des tests sans passer par Ipcop pour voir. Puis peut-être mettre le poste en DMZ. A suivre.

A++

par **ccnet** » 17 Jan 2008 11:39

C'est déjà une bonne idée de faire un test sans ipcop. Cela dit autres infos :
Le modem est connecté en pont ou en routeur ou autrement à ipcop ?
Il y a t il des traces dans les logs qui indiqueraient qu'ipcop rejette un traffic propre à cette application ?
Ce serait une indication.

par **jdh** » 17 Jan 2008 11:52

Fouuh !

La visioconférence, pour ce que j'en connais, utilise des protocoles comme H323 (et H264 et autres).

Sur un réseau LAN, pas de problème (sauf firewall). Depuis l'extérieur, on peut souhaiter accéder à la visioconférence.

OR ce protocole n'est pas connu pour sa simplicité. On peut le comparer à FTP qui est connu par 21/tcp (et 20/tcp) mais qui peut ensuite utiliser n'importe quel port. A cette fin, iptables fourni un (deux) "sous"-module de suivi de session ftp (appelé ip_conntrack_ftp). Il en existe un pour h323.

Je ne dispose pas d'IPCOP, il faudrait peut-être commencer par regarder si un module existe ...

Un site de référence : http://www.frameip.com/voip/#6.1_-_Protocole_H323

(Je pense, comme ccnet, que le problème aurait gagné à être décrit, dès le départ, beaucoup plus complètement : ma config, mes zones, les adressages, la version, les outils, ce que je veux faire, les essais que j'ai fait, les échecs, les messages d'erreurs, des infos que je ne comprends pas mais qui vont donner des pistes, ...)

par **groumph** » 17 Jan 2008 12:08

ccnet a écrit:C'est déjà une bonne idée de faire un test sans ipcop. Cela dit autres infos :
Le modem est connecté en pont ou en routeur ou autrement à ipcop ?
Il y a t il des traces dans les logs qui indiqueraient qu'ipcop rejette un traffic propre à cette application ?
Ce serait une indication.

Merci de ta réponse,
Le modem est en pont (si cela signifie bien qu'il n'est pas piloté par IpCop).
Dans les logs, je n'ai rien.... enfin si j'ai une trace sur entrant : Jan 16 16:20:21 xxxxxx kernel: martian source aa.aaa.aaa.235 from 0.1.0.5, on dev eth0 mais je ne trouve rien d'autre ensuite (log fw ou autres...).

Ca doit coincer quelque part...

par **jdh** » 17 Jan 2008 12:19

QU'EST CE QUE TU VEUX FAIRE ? COMMENT TU T'Y PRENDS ?

C'est pas difficile de rédiger quelque chose sur ces sujets !

par **groumph** » 17 Jan 2008 12:45

jdh a écrit:QU'EST CE QUE TU VEUX FAIRE ? COMMENT TU T'Y PRENDS ?

C'est pas difficile de rédiger quelque chose sur ces sujets !

Alors, ce que je veux faire : établir une visio conférence sur IP point à point entre deux sites distants connectés sur Internet. Pour cela, j'utilise la solution logicielle de visio Polycom PVX.

Pour mon test, le point distant A de connexion n'est pas sécurisé (le temps du test), donc tout passe.
Le point B de connexion est situé sur mon LAN, lui même derrière un IpCop (1.4.18).

Pour que mon Ipcop laisse passer la visio, j'ai tranféré les ports et protocoles recommandés par l'éditeur vers la machine de visio de mon LAN.
Mais hélas, pour l'instant, impossible d'appeler ou de recevoir des appels... et peu ou pas de traces dans les logs que je regarde : (messages, firewall).

Tout ce que je vois c'est un log de l'IP de la machine distante lorsqu'elle appelle (cf post précédent). Donc je me dis que le client distant trouve l'IP publique de mon site de réception. MAIS arrive-t-il jusqu'au poste de visio ??? apparemment non et donc ou est-il bloqué ? surement sur IpCop.

Donc je cherche dans les logs mais lesquels ?
Je vais essayer d'effectuer la connexion sans ipcop pour commencer à la base.
Ensuite, je peux essayer en mettant la machine cliente B dans la DMZ.

voilà, voilà...
quel suspens.... Merci de votre aide en tous cas

par **jdh** » 17 Jan 2008 12:55

Bon, bien. (C'est pas "plus documenté" non ?)

Les ports indiqués ? 1702 ? ... à détailler.
(Bien évidemment, est-il besoin de le préciser, le PC côté Red doit essayer de joindre la machine de visio avec comme adresse l'ip Red d'IPCOP.)

Je suis à peu près sur qu'il faut que ip_conntrack_h323 soit chargé : un "lsmod" en ligne de commande devrait indiquer si ce module est chargé.

J'essaierais avec un client directement face au Red d'IPCOP. Je regarderai avec un tcpdump simple au niveau d'IPCOP (tcpdump 'host xxx.xxx.xxx' avec xxx.xxx.xxx.xxx ip du client ou ip de la machine visio).

par **groumph** » 17 Jan 2008 13:07

jdh a écrit:Les ports indiqués ? 1702 ? ... à détailler.

Houla, il a pas moins d'une douzaine de ports utilisés... Suivant la notice (RTFM), j'ai tout redirigé.

jdh a écrit:Je suis à peu près sur qu'il faut que ip_conntrack_h323 soit chargé : un "lsmod" en ligne de commande devrait indiquer si ce module est chargé.

Je confirme :
ip_conntrack_h323 2153 1

jdh a écrit:J'essaierais avec un client directement face au Red d'IPCOP. Je regarderai avec un tcpdump simple au niveau d'IPCOP (tcpdump 'host xxx.xxx.xxx' avec xxx.xxx.xxx.xxx ip du client ou ip de la machine visio).

Yes, on the way, heu disons que je vais tester et me mettre en tail messages -f pour voir aussi.

par **jdh** » 17 Jan 2008 13:29

(1720 et non 1702 !).

J'ai regardé un peu le logiciel Polycom PVX. Je pense qu'il est fait pour travailler avec les autres produits Polycom type "boite" pour videoconférence.

La doc (en anglais) semble assez claire pourtant : http://www.polycom.com/common/documents ... alling.pdf (notamment page 9)

Il y a bien d'autres possibilités (qui fonctionnerait déjà) pour faire de la vidéoconférence de webcam à webcam : pour citer un produit non-libre, skype.

Une autre possibilité serait de mettre en route un vpn (zerina bien sur).

par **groumph** » 17 Jan 2008 13:43

jdh a écrit:J'ai regardé un peu le logiciel Polycom PVX. Je pense qu'il est fait pour travailler avec les autres produits Polycom type "boite" pour videoconférence.

Hum, non, je l'ai déjà testé de PVX à PVX est le résultat est (pour l'instant) supérieur au skype ou autre msn.

par **Franck78** » 17 Jan 2008 14:03

Mais hélas, pour l'instant, impossible d'appeler ou de recevoir des appels... et peu ou pas de traces dans les logs que je regarde : (messages, firewall).

pour ce genre de debugging, c'est pas vraiment les logs qui sont utiles mais un bon tcpdump.

Grosso modo le log retient les evts anormaux. Donc si une règle 'normale' droppe ton protocole, tu ne le verras pas....

Pour l'instant, tu n'as même pas confirmé que la machine distante retourne un début de dialogue quand le client en GREEN sollicite une liaison... Je dis ca dès fois que le NAT intervienne.

bye

par **groumph** » 17 Jan 2008 14:31

Bon alors... Ca marche... mais je ne sais pas pourquoi (enfin pas vraiment).

J'ai effectué les tests hors ipcop et les machines se sont tout de suite connectées, tout fonctionne bien.

Je rebranche ma machine cliente dans mon LAN, derrière mon IpCop... Et ça marche...

Seule différence : le client detecte bien l'adresse publique automatiquement (red) alors que je devais lui spécifier en dur auparavant.

Donc le soucis venait plutôt du client et non d'IpCop. Le tranfert de ports suffit !!!

Merci pour votre aide, ça m'a stimulé pour trouver une solution.

A++