Teams: Direct Sip Routing / Get your Environment Ready



(English version Below)

La mise en place de direct Sip Routing demande qu’un certain nombre de conditions environnementales soient réunies pour permettre la communication entre les services Microsoft et les services Teams. Dans cette partie nous présenterons ce que vous devez préparer pour être en mesure de paramétrer les appels téléphoniques depuis Teams en utilisant votre passerelle Sonus locale.

Version logicielle de la passerelle

Le paramétrage de la passerelle pour l’interconnexion Teams demande une version minimale qui est pour les passerelles de la marque Sonus la version 8.1.0 build 526 pour les modèles SBC 1000 et SBC 2000. En vous connectant sur la passerelle, vous pouvez visualiser ce numéro de version en allant sur l’onglet System de votre passerelle Sonus.

Autorité de certification Microsoft

Les flux entre votre passerelle et les services Microsoft vont devoir utiliser le chiffrement TLS 1.2 et vont donc être chiffrés. La passerelle Sonus par défaut ne possède pas d’autorité racine de confiance. Il faut donc ajouter manuellement l’autorité de confiance utilisée par les services Microsoft

Pour ce faire

  1. Connectez-vous à la passerelle de communication
  2. Sélectionnez l’onglet settings
  3. Allez dans le menu security/Sbc Certificate / Trusted CA certificate
  4. Ajouter le certificat de l’autorité de certification Microsoft que vous trouverez sur le lien suivant : https://cacert.omniroot.com/bc2025.crt

Seconde Adresse IP

Bien que cela ne soit pas obligatoire, il est conseillé surtout si vous envisagez de faire du Media ByPass d’ajouter une seconde adresse IP à votre passerelle. Cela permettra de distinguer les flux internes et les flux externes.

Pour ajouter une seconde adresse IP à votre passerelle procédez comme ceci

  1. Connectez-vous sur la passerelle
  2. Sélectionnez le menu Setting
  3. Naviguez dans le menu vers Node Interface/ Logical Interface
  4. Puis Modifier l’adresse IP Ethernet 2 et ajouter une adresse secondaire

L’adresse secondaire sera « natté » via le pare feu d’entrée de votre société. Pour cela vous pouvez soit créer un réseau spécifique ou simplement « nater » une adresse IP publique vers une adresse IP privée de votre réseau. L’important pour le Media By Pass est que votre passerelle possède deux adresses distinctes.

Certificat Numérique public

Votre passerelle Sonus / ribbon doit être accessible depuis l’extérieur (Interne) via un FQDN qui doit correspondre à un enregistrement A dans la Zone DNS Publique. Un certificat numérique doit correspondre à ce nom public et être installé sur la passerelle.

Pour générer ce certificat vous devez générer une demande de certificat (CSR). Vous pouvez, soit faire cette demande directement depuis la passerelle, soit en vous servant de n’importe quel ordinateur. Pour le faire depuis la passerelle

  1. Allez dans le menu Security / SBC Certificates/ Generate SBC Edge CSR
  2. Remplissez les champs puis cliquez sur OK pour générer la requête

Si vous possédez un certificat *.votrenomdedomainepublic il peut être utilisé pour permettre le chiffrement des flux de communication. Dans ce cas, installez dans la passerelle l’autorité de certification numérique ayant servi à générer ce certificat étoile ainsi que les autorités secondaires (Security / SBC Certificates/Trusted Ca Certificates) et importer votre certificat numérique générique (*.votrenomdedomainepublic) (Security / SBC Certificates/SBC Supplementary Certificate)

Attention tout de meme votre certificat public doit être généré par les autorités de certification suivante :

  • AffirmTrust
  • Racine de l’autorité de certification externe AddTrust
  • Certificat racine de CyberTrust Baltimore
  • Buypass
  • Cybertrust
  • Autorité de certification principale publique de classe 3
  • Comodo de l’autorité de certification racine sécurisée
  • Deutsche Telekom
  • Autorité de certification racine globale DigiCert
  • CA racine EV haute garantie DigiCert
  • Entrust
  • GlobalSign
  • Go Daddy
  • GeoTrust
  • VeriSign, Inc.
  • SSL.com
  • Starfield
  • Racine de l’application mobile Symantec entreprise pour Microsoft
  • SwissSign
  • Autorité de certification Thawte d’horodatage
  • Trustwave
  • TeliaSonera
  • T-Systems International GmbH (Deutsche Telekom)
  • QuoVadis

Ouvertures des ports de communication de signalisation vers/depuis Microsoft

Votre passerelle de communication va générer et recevoir des flux de communication provenant de plusieurs services chez Microsoft. La communication liée à la signalisation va s’établir vers et depuis les noms de domaines suivants

  • Sip.pstnhub.Microsoft.com
  • sip2.pstnhub.Microsoft.com
  • sip3.pstnhub.Microsoft.com

Ces noms correspondent à ces plages de réseaux publics

  • 52.114.148.0
  • 52.114.132.46
  • 52.114.75.24
  • 52.114.76.76
  • 52.114.7.24
  • 52.114.14.70

La table des ouvertures de ports pour les flux de signalisation est donc la suivante

Trafic De À Port source Port de destination
SIP/TLS Proxy SIP (Microsoft) Sonus Ribbon (SBC) 1024 – 65535 5061
SIP/TLS SBC Proxy SIP Définie sur l’SBC 5061

Ouverture des flux média

Votre passerelle de communication va générer des flux de communication vers / depuis les services de relai (Processeur de média ) Microsoft Teams. Ces relais sont accessibles depuis les réseaux IP suivants

  • 52.112.0.0/14 (adresses IP de 52.112.0.1 à 52.115.255.254).
  • 52.120.0.0/14 (adresses IP de 52.120.0.1 à 52.123.255.254)

Les plages de port à ouvrir vers / depuis ces adresses sont donc les suivants

Trafic De À Port source Port de destination
UDP/SRTP Processeur de média SBC 3478-3481 et 49152-53247 16384 – 17584 (Sonus 1000)

16384 – 19384 (Sonus 2000)

16384 – 21384 (Sonus Swe Lite)

UDP/SRTP SBC Processeur de média Définie sur l’SBC 3478-3481 et 49152-53247

Autres Flux de communication

Votre passerelle puisqu’elle communique vers l’extérieur doit être en mesure de résoudre les noms de domaine externes. Ceci est possible en permettant a la passerelle de se connecter à travers le port 53 UDP/TCP vers les services DNS d’Internet. Autre solution choisissez d’utiliser vos serveurs DNS internes si ceux-ci savent résoudre les ressources externes.

Voila ! vous avez terminé la phase de préparation. Cela doit ressembler a peu de choses près a ceci.


The implementation of Direct Sip Routing requires that a number of environmental conditions be met to allow communication between Microsoft services and Teams services. In this section we will present what you need to prepare in order to be able to set up phone calls from Teams using your local Sonus gateway.

Gateway software version

The configuration of the gateway for the Teams interconnection requires a minimum version which for Sonus brand gateways is version 8.1.0 build 526 for the SBC 1000 and SBC 2000 models. When logging in to the gateway, you can view this version number by going to the System tab of your Sonus gateway.

Microsoft Certificate Authority

Flows between your gateway and Microsoft services will need to use TLS 1.2 encryption and will therefore be encrypted. The default Sonus gateway does not have a trusted root authority. You must therefore manually add the trusted authority used by Microsoft services.

In order to do so

  1. Connect to the communication gateway
  2. Select the settings tab
  3. Go to the menu security/Sbc Certificate / Trusted CA certificate
  4. Add the Microsoft Certificate Authority certificate that you can find at the following link: https://cacert.omniroot.com/bc2025.crt

Second IP Address

Although it is not mandatory, it is advisable, especially if you plan to use Media ByPass, to add a second IP address to your gateway. This will allow you to distinguish between internal and external streams.

To add a second IP address to your gateway, proceed as follows

  1. Login to the gateway
  2. Select the Setting menu
  3. 3. Navigate in the menu to Node Interface/ Logical Interface
  4. Then Change the Ethernet 2 IP address and add a secondary address

The secondary address will be « nated » through your company’s entrance firewall. To do this you can either create a specific network or simply « nat » a public IP address to a private IP address on your network. The important thing for the Media By Pass is that your gateway has two distinct addresses.

Public Digital Certificate

Your Sonus / ribbon gateway must be accessible from the outside (Internal) via an FQDN that must match an A record in the Public DNS Zone. A digital certificate must match this public name and be installed on the gateway.

To generate this certificate, you need to generate a certificate request (CSR). You can either make this request directly from the gateway or using any computer. To do this from the gateway

  1. Go to the Security / SBC Certificates/ Generate SBC Edge CSR menu.
  2. Fill in the fields then click OK to generate the query

If you have a *.yourpublicdomainname certificate it can be used to enable encryption of communication flows. In this case, install in the gateway the digital certificate authority used to generate this star certificate and the secondary authorities (Security / SBC Certificates/Trusted Ca Certificates) and import your generic digital certificate (*.yourpublicdomainname) (Security / SBC Certificates/SBC Supplementary Certificate).

Please note that your public certificate must be generated by the following certification authorities:

  • AffirmTrust
  • AddTrust External Certificate Authority Root
  • CyberTrust Baltimore Root Certificate
  • Buypass
  • Cybertrust
  • Class 3 Public Lead Certification Authority
  • Secure Root Certificate Authority Comodo
  • Deutsche Telekom
  • DigiCert Global Root Certificate Authority
  • Root CA EV high guarantee DigiCert
  • Entrust
  • GlobalSign
  • Go Daddy
  • GeoTrust
  • VeriSign, Inc.
  • SSL.com
  • Starfield
  • Symantec Enterprise Mobile Application Root for Microsoft
  • SwissSign
  • Thawte Time Stamp Certification Authority
  • Trustwave
  • TeliaSonera
  • T-Systems International GmbH (Deutsche Telekom)
  • QuoVadis

Openings of signaling communication ports to/from Microsoft

Your communication gateway will generate and receive communication flows from several services at Microsoft. Signalling communication will be established to and from the following domain names

  1. Sip.pstnhub.Microsoft.com
  2. sip2.pstnhub.Microsoft.com
  3. sip3.pstnhub.Microsoft.com

These names correspond to these public network ranges

  • 52.114.148.0
  • 52.114.132.46
  • 52.114.75.24
  • 52.114.76.76
  • 52.114.7.24
  • 52.114.14.70

The table of port openings for signal flows is therefore as follows

Trafic From Ro Source port Destination port
SIP/TLS Proxy SIP (Microsoft) Sonus Ribbon (SBC) 1024 – 65535 5061
SIP/TLS SBC Proxy SIP Définie sur l’SBC 5061

Opening of media streams

Your communication gateway will generate communication flows to/from Microsoft Teams relay services (Media Processor). These relays are accessible from the following IP networks

  • 52.112.0.0/14 (IP addresses from 52.112.0.1 to 52.115.255.254).
  • 52.120.0.0/14 (IP addresses from 52.120.0.1 to 52.123.255.254)

The port ranges to be opened to / from these addresses are therefore as follows

Trafic From To Source Port Dest Port
UDP/SRTP Media Processor SBC 3478-3481 et 49152-53247 16384 – 17584 (Sonus 1000)

16384 – 19384 (Sonus 2000)

16384 – 21384 (Sonus Swe Lite)

UDP/SRTP SBC Media Processor Défined on SBC 3478-3481 et 49152-53247

Other Communication Flows

Your gateway, since it communicates to the outside world, must be able to resolve external domain names. This is possible by allowing the gateway to connect through port 53 UDP/TCP to the Internet’s DNS services. Alternatively, choose to use your internal DNS servers if they know how to resolve external resources.

Voila! you have completed the preparation phase. It should look something like this.


Votre commentaire

Choisissez une méthode de connexion pour poster votre commentaire:

Logo WordPress.com

Vous commentez à l’aide de votre compte WordPress.com. Déconnexion /  Changer )

Photo Google

Vous commentez à l’aide de votre compte Google. Déconnexion /  Changer )

Image Twitter

Vous commentez à l’aide de votre compte Twitter. Déconnexion /  Changer )

Photo Facebook

Vous commentez à l’aide de votre compte Facebook. Déconnexion /  Changer )

Connexion à %s