לקוח של לינגנו עבר למשרד חדש, והתקין שם מרכזיה של Avaya. זוהי מרכזיה שעובדת, בפנים, ב-IP, למרות שרוב התקשורת שלה עם העולם היא באמצעות טלפוניה רגילה. כמות הבעיות שהמרכזיה הזו עושה לנו מרשימה.
דבר ראשון, החברה שמנהלת את המרכזיה לא הפנימה את המושג “אבטחת מידע”, או אפילו “ריכוז מידע”. לפני המעבר התבקשנו לרכז את כל הדברים שנצטרך לעשות לאחריו. לקבל אפילו את רשימת הקופסאות שאנחנו עומדים לקבל לא הצלחנו. אחרי עשרות טלפונים הצלחתי להבין שמדובר בקופסא אחת בשרת שאליה מתחברים ב-PcAnywhere, ועוד תוכנות שרצות על המחשבים של האנשים. בדיעבד הסתבר שאפילו זה לא נכון.
אבל החלק הבאמת קשה היה להבין איפה למקם את המרכזיה. החברה רצתה גישת PcAnywhere למחשב של החברה שמריץ את תוכנת הניהול. כאשר הסברתי ללקוח מה זה אומר, באופן לא מאוד מפתיע, הם סירבו לאפשר גישה לכל הרשת הפנימית שלהם.
טכנאי של החברה ניסה להסביר לי שהמקום ההגיוני היחידי לשים את המרכזיה זה בתוך הרשת הפנימית, משהו שלא הייתי מוכן לעשות בשום פנים ואופן. היום הייתי צריך ממש לצעוק עליו עד שהסכים איתי שזה דווקא כן אפשרי לשים את המרכזיה ברשת נפרדת מאשר תחנות העבודה של האנשים (אני אזכיר לכם – לא מדובר בתוכנה שהיא הטלפון, רק בתוכנה שנותנת שירותים נלווים לטלפוניה!).
אחרי נידנודים מסויימים הצלחתי לקבל רשימת פורטים שמשמשים לתקשורת בין התוכנה למרכזיה, אלא שחצי שניה של הסתכלות הראו לי שזו רשימה לא נכונה. אין שום סיבה שהתוכנה, שלא עושה טלפוניה, תתקשר ב-SIP עם המרכזיה.
אם התמדתם עד כאן, אתם יכולים לטעון, במידה רבה של צדק, שהבעיה היא בחברה שנותנת את השירות בארץ, ולא ב-Avaya עצמם.
בסוף אמרתי לו פשוט לשים את התוכנה על מחשב אחד, ועקבתי אחרי השימוש שלו. הנה מה שהסתבר לי:
כאשר מתקשרים ב-UDP או ב-TCP, יש מספרי “port”. תחשבו על זה ככה. אם כתובת ה-IP משולה למספר טלפון, מספר ה-Port משול למספר שלוחה. למרות שאין ב-UDP כל דרישה מפורשת כזו, נהוג שתקשורת שיוצאת מפורט א’ לפורט ב’ תענה ע”י תקשורת מפורט ב’ לפורט א’. רוב הפיירוולים יודעים את העובדה הזו, ומאפשרים לתקשורת לחזור באותו מסלול.
בפרט, נהוג שרק אחד הצדדים משתמש בפורט ידוע. למשל, אם אני צריך לדבר עם מישהו לפורט 69, אני אקבל פורט בעל מספר אקראי (מתוך מאגר פורטים אקראיים). אם קיבלתי, לדוגמא, את 1231, אני אתקשר בתקשורת שיוצאת מפורט 1231 ומיועדת לפורט 69, והתשובות יגיעו מפורט 69 לפורט 1231. כמו שאמרתי, אם תתנהגו כך, חומת האש תיתן לכם לעבור בזכות הבקשה המקורית שהגיעה לפורט 69.
אלא ש-Avaya לא מאמינים בלנהוג ע”פ מה שמקובל. כל פאקט שהם מוציאים יוצר מכתובת אקראית, וממוען לכתובת שממנה יצאה הבקשה המקורית (שלהזכירכם – גם היא אקראית). במילים אחרות, אין לי שום דבר שאני יכול על פיו להגדיר חוק שיאפשר לתנועה לעבור!
והנה, אחרי שצעקתי וכעסתי על הטכנאי, פתאום הוא הסכים להודות שיש בעיות ידועות, הסכים לבדוק אם הבעיה הזו היא אחת מהן, ובכלל פתאום היה הרבה יותר גמיש בהתנהלות שלו.
מסקנות:
א. להשתמש ב-Asterisk. שם, לפחות, אם מישהו עומד לעשות משהו כל כך טיפשי, אפשר לתקן.
ב. צריך לדעת לצעוק.
שחר
נ.ב.
הפתרון – לאפשר למרכזיה לדבר ב-UDP עם כל מאגר הפורטים האקראיים של כל המכונות ברשת הפנימית. קשה לי לקרוא לפתרון הזה אידאלי, אבל זה הכי טוב שאפשר היה לייצר.