SIP ALG: cos'è e perché conviene disabilitarlo

Se un centralino VoIP perde la registrazione a intervalli regolari, hai audio a senso unico o chiamate che cadono dopo qualche minuto, il primo sospettato è quasi sempre lui: il SIP ALG del router. È una funzione nata per aiutare il VoIP attraverso il NAT, ma che nella maggior parte dei casi va semplicemente disattivata.

Cosa fa il SIP ALG

ALG sta per Application Layer Gateway. Il SIP ALG è un modulo del router che ispeziona il traffico SIP in transito e riscrive "al volo" i pacchetti per adattarli al NAT.

Il problema che cerca di risolvere è reale: il protocollo SIP inserisce indirizzi IP e porte dentro il corpo dei messaggi (negli header SIP e nell'SDP). Quando questi pacchetti attraversano il NAT, l'IP privato scritto all'interno non corrisponde più all'IP pubblico che il mondo esterno vede. Risultato: il flusso audio RTP tenta di raggiungere un indirizzo privato irraggiungibile, e nasce l'audio a senso unico.

Il SIP ALG dovrebbe correggere questi indirizzi interni. In teoria. In pratica, le implementazioni sui router consumer sono quasi tutte difettose.

Perché causa più danni che benefici

Le implementazioni SIP ALG dei router domestici sono note per:

• Riscrivere male i pacchetti: corrompono header SIP, sbagliano la traduzione delle porte RTP, rompono l'SDP.
• Interferire con la registrazione: alterano i tempi e i contenuti dei messaggi REGISTER, causando deregistrazioni periodiche.
• Confliggere con i meccanismi NAT del centralino: i sistemi VoIP moderni gestiscono già il NAT autonomamente (STUN, rport, far-end NAT detection); il SIP ALG ci si mette in mezzo e li sabota.
• Comportarsi in modo imprevedibile con SIP su porte non standard o con TLS.

Il risultato tipico è una telefonia che funziona "a volte": registra e poi cade, una chiamata su tre ha audio mancante, le chiamate si chiudono dopo X minuti.

Come gestirlo correttamente

La regola pratica è semplice: disabilita il SIP ALG e lascia gestire il NAT al centralino o al provider.

• Disattiva il SIP ALG sul router: si trova di solito in WAN/NAT/Advanced. Su alcuni router consumer non è esposto e va disattivato via CLI o, nei casi peggiori, non è disattivabile (motivo per cui non sono ideali per il VoIP).
• Configura il NAT lato centralino: in FreePBX/Asterisk imposta correttamente externip/external_media_address e localnet; sui sistemi cloud è già gestito.
• Usa SIP su TLS e SRTP dove possibile: oltre alla sicurezza, il traffico cifrato non è ispezionabile dall'ALG, che quindi non può corromperlo.
• Apri/inoltra le porte RTP solo se necessario; con un buon keep-alive e rport spesso non serve.

Come verificare se è il colpevole

Sintomi che puntano al SIP ALG:

• Registrazione che cade a intervalli regolari (es. ogni pochi minuti).
• Audio a senso unico: senti tu ma non l'altro, o viceversa.
• Chiamate che si chiudono dopo un tempo fisso.
• Tutto funziona in LAN ma si rompe appena passa per il router.

Per confermare: cattura il traffico SIP (con un client softphone in debug o un dump) e confronta gli IP/porte annunciati dal centralino con quelli che escono dal router. Se sono stati riscritti, l'ALG è attivo.

Quando l'ALG potrebbe servire

In rari scenari con dispositivi VoIP molto basici, dietro NAT semplice e senza alcuna gestione NAT lato endpoint, un ALG funzionante potrebbe aiutare. Ma è l'eccezione: con qualsiasi centralino moderno o trunk SIP gestito, la gestione NAT è già a bordo e l'ALG diventa solo un elemento di disturbo.

In sintesi

Il SIP ALG nasce per buone intenzioni — far passare il SIP attraverso il NAT — ma le implementazioni dei router consumer sono talmente inaffidabili che la best practice di settore è disattivarlo. Lascia che siano il centralino o il provider a gestire il NAT (externip, STUN, rport) e, dove puoi, usa SIP su TLS così l'ALG non può nemmeno toccare il traffico. Nove problemi VoIP "misteriosi" su dieci si risolvono spuntando quella casella.