Netscreen / Juniper Firewalls mit ScreenOS: Wie konfiguriert man DIP, damit VoIP SIP Protokol hinter einer NAT sauber funktioniert?

So konfiguriert man einen DIP Pool auf dem Untrus Interface, damit für eingehende SIP Anrufe eine NAT genutzt wird.

  1. Zuerst wird ein DIP Pool angelegt.
  2. Danach wird eine Regel erstellt, die den Traffic aus der Untrust Zone in die Trust Zone erlaubt und auf den DIP Pool verweist.
  3. Dann muss noch eine Regel von Trust nach Untrust erstellt werden, die es den Client im privaten Netz ermöglicht, sich an einem externen SIP Proxy anzumelden.
set interface "ethernet1" zone "Trust"
 set interface "ethernet3" zone "Untrust"
 set interface ethernet1 ip 192.168.1.1/24
 set interface ethernet1 route
 set interface ethernet3 ip 1.1.1.1/29
 set interface ethernet3 route
 set interface ethernet3 dip 4 1.1.1.5 1.1.1.10 incoming

 set policy id 1 from "Trust" to "Untrust"  "Any" "Any" "SIP" nat src dip-id 4 permit 
 set policy id 1
 exit
 set policy id 2 from "Untrust" to "Trust"  "Any" "DIP(4)" "SIP" permit 
 set policy id 2
 exit

http://kb.juniper.net/InfoCenter/index?page=content&id=KB9093