проброска портов и маркировка пакетов

Обсуждение ПО и его настройки
Oleg
Сообщения: 6
Зарегистрирован: 02 окт 2013, 16:07

имеется микротик 2011UAS. к нему подключены два провайдера (порт 6 и 7). остальные порты объединены в бридж и смотрят в локальную сеть. в локальной сети есть три устройства, к которым надо прокинуть порты из-вне: ip-атс, внешний накопитель и сервер со спецпрограммой. все внешние запросы идут через одного провайдера. соотвественно, чтобы ответные пакеты улетали через него - прописал в Mangle их маркировку и настроил маршрутизацию маркированных пакетов.

получилось вот так в итоге:

# jan/02/1970 04:42:18 by RouterOS 6.1
# software id = N00X-Y690
#
/interface bridge
add l2mtu=1598 name=bridge1
add name=bridge2
/interface ethernet
set 0 comment=WAN name="Port 6 DIALOG INTERNET"
set 1 name="Port 7 DSL internet"
set 2 comment=LAN
/ip neighbor discovery
set "Port 6 DIALOG INTERNET" comment=WAN
set ether1 comment=LAN
/ip hotspot user profile
set [ find default=yes ] idle-timeout=none keepalive-timeout=2m \
mac-cookie-timeout=3d
/ip pool
add name=dhcp_pool1 ranges=192.168.1.200-192.168.1.254
/ip dhcp-server
add address-pool=dhcp_pool1 disabled=no interface=bridge1 name=dhcp1
/port
set 0 name=serial0
/interface bridge port
add bridge=bridge1 interface=ether1
add bridge=bridge1 interface=ether8
add bridge=bridge1 interface=ether9
add bridge=bridge1 interface=ether10
add bridge=bridge1 interface=ether2
add bridge=bridge1 interface=ether3
add bridge=bridge1 interface=ether4
add bridge=bridge1 interface=ether5
/ip address
add address=192.168.3.186/30 interface="Port 6 DIALOG INTERNET" network=\
192.168.3.184
add address=192.168.1.1/24 interface=bridge1 network=192.168.1.0
add address=192.168.1.1/24 interface=ether1 network=192.168.1.0
add address=192.168.5.2/24 interface="Port 7 DSL internet" network=\
192.168.5.0
/ip dhcp-server network
add address=192.168.1.0/24 gateway=192.168.1.1
/ip dns
set allow-remote-requests=yes servers=8.8.8.8
/ip firewall mangle
add action=mark-routing chain=prerouting new-routing-mark=hdd protocol=tcp \
src-address=192.168.1.41 src-port=8080
add action=mark-routing chain=prerouting new-routing-mark=atc protocol=udp \
src-address=192.168.1.55 src-port=5060
add action=mark-routing chain=prerouting new-routing-mark=loxone protocol=tcp \
src-address=192.168.1.100 src-port=88
/ip firewall nat
add action=masquerade chain=srcnat src-address=192.168.1.0/24
add action=dst-nat chain=dstnat dst-address=192.168.3.186 dst-port=8080 \
protocol=tcp to-addresses=192.168.1.41 to-ports=8080
add action=dst-nat chain=dstnat dst-address=192.168.3.186 dst-port=5060 \
protocol=udp to-addresses=192.168.1.55 to-ports=5060
add action=dst-nat chain=dstnat dst-address=192.168.3.186 dst-port=88 \
protocol=tcp to-addresses=192.168.1.100 to-ports=88
/ip route
add distance=1 gateway=192.168.3.185 routing-mark=hdd
add distance=1 gateway=192.168.3.185 routing-mark=loxone
add distance=1 gateway=192.168.3.185 routing-mark=atc
add distance=1 gateway=\
192.168.3.185,192.168.3.185,192.168.3.185,192.168.3.185,192.168.5.1
/ip service
set telnet disabled=yes
set ftp disabled=yes
set www disabled=yes
set ssh disabled=yes
set api disabled=yes
set api-ssl disabled=yes
/tool sniffer
set filter-direction=any

сетка 192.168.1.0/24 - локалка
сетка 192.168.3.184/30 - первый провайдер (.186 - порт на микротике, .185 - шлюз провайдера)
сетка 192.168.5.0/24 - второй провайдер (.2 - порт на микротике, .1 - порт АДСЛ-модема)

IP 192.168.1.41:8080 - вебморда накопителя
IP 192.168.1.55:5060 - SIP IP-АТС
IP 192.168.1.100:88 - сервер спецпроги

Теперь проблемы:
1) как включаю маршрутизацию маркированных пакетов, то есть вот это:
add distance=1 gateway=192.168.3.185 routing-mark=hdd
add distance=1 gateway=192.168.3.185 routing-mark=loxone
add distance=1 gateway=192.168.3.185 routing-mark=atc
пропадает доступ из-вне к устройствам. выключаю - все работает...

2) при подключении из инета к IP-АТС - соединение устанавливается, дозвон идет, но оба абонента друг друга не слышат.
возможно еще что-то прописать надо, кроме проброса по порту 5060? при этом если я подключаюсь к атс через внешний шлюз из локалки - все работает нормально...


vqd
Модератор
Сообщения: 3605
Зарегистрирован: 26 сен 2013, 14:20
Откуда: НСК
Контактная информация:

по первому надо сидеть ваш конфиг разребать
по второму. Для голоса используется диапазон UDP 10000 - 20000


Есть интересная задача и бюджет? http://mikrotik.site
Oleg
Сообщения: 6
Зарегистрирован: 02 окт 2013, 16:07

первый вопрос снят. все работает из инета. как оказалось не работает доступ из локалки на внешний шлюз. с этим тоже придется разбираться, но пока терпит.

vqd писал(а):о второму. Для голоса используется диапазон UDP 10000 - 20000

то есть их нужно точно также прокинуть, как и 5060, я правильно понял?


vqd
Модератор
Сообщения: 3605
Зарегистрирован: 26 сен 2013, 14:20
Откуда: НСК
Контактная информация:

Да, из вне на вашу АТС
Ну и если у вас астериск то в нем тоже должен быть сделан ряд настроек в случае работы за НАТ


Есть интересная задача и бюджет? http://mikrotik.site
Oleg
Сообщения: 6
Зарегистрирован: 02 окт 2013, 16:07

АТС АгатUX - завтра буду на работе - посмотрю есть такая возможность или нет, но с лету что-то не вспоминается.

пробросил диапазон адресов udp 10000-20000, промаркировал, маршрут настроил - нет слышимости :(


vqd
Модератор
Сообщения: 3605
Зарегистрирован: 26 сен 2013, 14:20
Откуда: НСК
Контактная информация:

Посмотрите, должна быть такая опция. Так же там в настройках указывается с какова внешнего ИП работает АТС.


Есть интересная задача и бюджет? http://mikrotik.site
Oleg
Сообщения: 6
Зарегистрирован: 02 окт 2013, 16:07

нашел настройки в АТС. выставил выставил IP внутренего шлюза и IP порта, который смотрит в инет. заодно прокинул в НАТе порт udp9000 (Базовый порт RTP (SIP/H.323). Теперь, если звоню из инета на внутренний номер, меня слышат. а вот я их нет...


vqd
Модератор
Сообщения: 3605
Зарегистрирован: 26 сен 2013, 14:20
Откуда: НСК
Контактная информация:

Посмотрите сетевую активность при звонке. возможно надо еще открыть порты. Обычно для голоса используется диапазон UDP 10000 - 20000


Есть интересная задача и бюджет? http://mikrotik.site
Oleg
Сообщения: 6
Зарегистрирован: 02 окт 2013, 16:07

поставил SIP-клиент на локальной машине и просканировал сниффером. получил стабильно 2 строки при звонках:

UDP 192.168.1.50 192.168.1.55 5060 5060
UDP 192.168.1.50 192.168.1.55 20000 9000

1.50 - адрес ПК с установленным клиентом, 1.55 - адрес АТС. Первая строка - это соединение сип-клиента с атс, вторая - непосредственно разговор.

UDP 192.168.1.50 192.168.1.55 20000 9006
а это при звонке с интернета на внутренний сип-клиент.


получается неопходимо прокинуть в нате с 20000 порта внешнего шлюза на диапазон 9000-9100 атс?


vqd
Модератор
Сообщения: 3605
Зарегистрирован: 26 сен 2013, 14:20
Откуда: НСК
Контактная информация:

Немного не понял. Чего куда, особенно при внешнем звонке. Куда ломится АТС по каким портам, и на какие порты приходит ответ от оператора?


Есть интересная задача и бюджет? http://mikrotik.site
Ответить