¿Se puede realizar NAT en el tráfico H323 si las funciones ALG están deshabilitadas (en última instancia, capacidades de inspección de tráfico H323 deshabilitadas), o se requiere esa característica para realizar NAT en dicho tráfico?
Respuesta1
No, no es necesario. De hecho, tuve que desactivarlo el año pasado para que algunas unidades Polycom HDX funcionaran correctamente a través de NAT. En mi opinión, hace que funcione un poco más, ya que es necesario abrir puertos altos adicionales, pero aún así. Sin embargo, se recomienda mantenerlo encendido a menos que experimente problemas como los que se describen en el artículo de KB a continuación. O la alternativa es abrir los puertos reales utilizados por su tráfico H323 (sin utilizar el servicio H323 integrado, sino creando un servicio personalizado con un alto número de puertos abiertos y necesarios).
De hecho, hay un artículo de Juniper KB que lo describe:
Resumen: Las conexiones SIP, H.323 y RTSP no funcionan y la interfaz Trust está configurada en modo NAT (NAT basada en interfaz)
Problema u Meta: Medio Ambiente:
SIP
H.323
RTSP
Cualquier aplicación que utilice SIP, H.323 o RTSP no funcionará correctamente si se configura NAT basada en interfaz. El ALG no traducirá la IP correctamente en la carga útil.
Solución:
Estas aplicaciones VoIP solo funcionarán correctamente cuando utilicen NAT basada en políticas. Esto también afecta a las VPN IPSec.
Para resolver este problema, se recomienda encarecidamente utilizar NAT (traducción de direcciones de red de origen dentro de la política) basada en políticas en las políticas por las que pasa el tráfico SIP, H.323 y RTSP. Normalmente, cuando se utiliza NAT basada en políticas, la interfaz de confianza o de origen se cambia al modo de ruta y todas las políticas (que deben ser NAT) se configuran para usar NAT basada en políticas. Sin embargo, está bien que la interfaz de confianza o de origen aún permanezca en modo NAT, siempre y cuando SIP, H.323 pase a través de una política con NAT habilitado en la política.