Проблема с Conntrack или чем-то ещё?

Обсуждение оборудования и его настройки
Ответить
OrNix
Сообщения: 4
Зарегистрирован: 09 дек 2013, 06:14

Приветствую.
Схема такая: IPтелефон=>mikrotik RB951<<PPTP через провайдера>>linux-router=>SIP-сервер.

На микротике на PPTP-интерфейсе включен NAT. IP-телефон перестал подключаться к сип-серверу. Смотрю tcpdump на линукс-роутере:

11:41:18.448188 IP 172.20.0.48.5060 > 172.21.0.101.5060: SIP, length: 558
11:41:18.449870 IP 172.21.0.101 > 172.20.0.48: ICMP 172.21.0.101 udp port 5060 unreachable, length 556
11:41:22.444186 IP 172.21.0.101.5060 > 192.168.5.249.5060: SIP, length: 411
11:41:22.446011 IP 172.20.0.48.5060 > 172.21.0.101.5060: SIP, length: 558
11:41:22.447731 IP 172.21.0.101 > 172.20.0.48: ICMP 172.21.0.101 udp port 5060 unreachable, length 556
11:41:26.445420 IP 172.21.0.101.5060 > 192.168.5.249.5060: SIP, length: 411
11:41:26.448273 IP 172.20.0.48.5060 > 172.21.0.101.5060: SIP, length: 558
11:41:26.449974 IP 172.21.0.101 > 172.20.0.48: ICMP 172.21.0.101 udp port 5060 unreachable, length 556

172.20.0.48 - sip-сервер.
172.21.0.101 - адрес, который выдаётся микротику на PPTP.

конфиг:
 конфиг
# jan/02/1970 02:46:43 by RouterOS 6.13
# software id = QLNP-8ITC
#
/interface bridge
add admin-mac=00:0C:42:FA:7D:2D auto-mac=no l2mtu=1598 name=bridge-local
/interface wireless
set [ find default-name=wlan1 ] band=2ghz-b/g/n channel-width=20/40mhz-ht-above disabled=no distance=indoors frequency=auto l2mtu=2290 mode=ap-bridge ssid=kw_109 wireless-protocol=802.11
/interface ethernet
set [ find default-name=ether1 ] mac-address=90:FB:A6:A9:B4:14 name=ether1-gateway
set [ find default-name=ether2 ] name=ether2-master-local
set [ find default-name=ether3 ] master-port=ether2-master-local name=ether3-slave-local
set [ find default-name=ether4 ] master-port=ether2-master-local name=ether4-slave-local
set [ find default-name=ether5 ] master-port=ether2-master-local name=ether5-slave-local
/ip neighbor discovery
set ether1-gateway discover=no
/interface wireless security-profiles
set [ find default=yes ] authentication-types=wpa-psk,wpa2-psk mode=dynamic-keys wpa-pre-shared-key=365908365908 wpa2-pre-shared-key=365908365908
/ip hotspot user profile
set [ find default=yes ] idle-timeout=none keepalive-timeout=2m mac-cookie-timeout=3d
/ip pool
add name=dhcp ranges=192.168.109.10-192.168.109.254
/ip dhcp-server
add address-pool=dhcp disabled=no interface=bridge-local lease-time=10m name=default
/interface pptp-client
add add-default-route=no allow=pap,chap,mschap1,mschap2 connect-to=219.z777.ru dial-on-demand=no disabled=no keepalive-timeout=disabled max-mru=1450 max-mtu=1400 mrru=disabled name=kwazar password=7094610 profile=\
default-encryption user=ornix
/interface bridge port
add bridge=bridge-local interface=ether2-master-local
add bridge=bridge-local interface=wlan1
/ip address
add address=192.168.109.1/24 comment="default configuration" interface=ether2-master-local network=192.168.109.0
/ip dhcp-client
add comment="default configuration" dhcp-options=hostname,clientid disabled=no interface=ether1-gateway
/ip dhcp-server lease
add address=192.168.109.254 client-id=1:0:19:5b:3f:ef:b6 mac-address=00:19:5B:3F:EF:B6 server=default
/ip dhcp-server network
add address=192.168.109.0/24 comment="default configuration" dns-server=192.168.109.1 gateway=192.168.109.1 netmask=24
/ip dns
set allow-remote-requests=yes
/ip dns static
add address=192.168.88.1 name=router
/ip firewall filter
add chain=input dst-port=80 protocol=tcp
add chain=input dst-port=22 protocol=tcp
add chain=input comment="default configuration" protocol=icmp
add chain=input comment="default configuration" connection-state=established
add chain=input comment="default configuration" connection-state=related
add action=drop chain=input comment="default configuration" in-interface=ether1-gateway
add chain=forward comment="default configuration" connection-state=established
add chain=forward comment="default configuration" connection-state=related
add action=drop chain=forward comment="default configuration" connection-state=invalid
add chain=input protocol=igmp
add chain=forward dst-port=1234 protocol=udp
/ip firewall nat
add action=masquerade chain=srcnat comment="default configuration" out-interface=ether1-gateway
add action=masquerade chain=srcnat out-interface=kwazar
add action=dst-nat chain=dstnat dst-port=9999 in-interface=ether1-gateway protocol=tcp src-port="" to-addresses=192.168.109.254 to-ports=9999
/ip route
add distance=1 dst-address=172.20.0.0/24 gateway=kwazar
add distance=1 dst-address=192.168.5.0/24 gateway=kwazar
/ip upnp
set allow-disable-external-interface=no
/routing igmp-proxy interface
add interface=bridge-local
add alternative-subnets=0.0.0.0/0 interface=ether1-gateway upstream=yes
/system leds
set 0 interface=wlan1
/system routerboard settings
set cpu-frequency=400MHz
/tool mac-server
set [ find default=yes ] disabled=yes
add interface=ether2-master-local
add interface=ether3-slave-local
add interface=ether4-slave-local
add interface=ether5-slave-local
add interface=wlan1
add interface=bridge-local
/tool mac-server mac-winbox
set [ find default=yes ] disabled=yes
add interface=ether2-master-local
add interface=ether3-slave-local
add interface=ether4-slave-local
add interface=ether5-slave-local
add interface=wlan1
add interface=bridge-local
Последний раз редактировалось OrNix 14 июл 2014, 17:31, всего редактировалось 2 раза.


Аватара пользователя
podarok66
Модератор
Сообщения: 4355
Зарегистрирован: 11 фев 2012, 18:49
Откуда: МО

Третий пункт правил где? Будьте любезны, добавьте...


Мануалы изучил и нигде не ошибся? Фаервол отключил? Очереди погасил? Витая пара проверена? ... Тогда Netinstal'ом железку прошей и настрой ее заново. Что, все равно не фурычит? Тогда к нам. Если не подскажем, хоть посочувствуем...
OrNix
Сообщения: 4
Зарегистрирован: 09 дек 2013, 06:14

Пардон. Добавил конфиг.


Аватара пользователя
podarok66
Модератор
Сообщения: 4355
Зарегистрирован: 11 фев 2012, 18:49
Откуда: МО

Ну весь конфиг пусть спецы просматривают, но...

Код: Выделить всё

add chain=input protocol=igmp

Эту строку надо поднять выше

Код: Выделить всё

add action=drop chain=input comment="default configuration" in-interface=ether1-gateway

чем вот эту. В логах же написано:
IP 172.21.0.101 > 172.20.0.48: ICMP 172.21.0.101 udp port 5060 unreachable, length 556

Вообще, на первоначальном этапе настройки, если не проходит сигнал, надо фаервол на Микротике отключать. По умолчанию все разрешено. Потом уж включать правила и смотреть, какое тормозит.


Мануалы изучил и нигде не ошибся? Фаервол отключил? Очереди погасил? Витая пара проверена? ... Тогда Netinstal'ом железку прошей и настрой ее заново. Что, все равно не фурычит? Тогда к нам. Если не подскажем, хоть посочувствуем...
Ответить