SIP телефоны за Натом

Обсуждение ПО и его настройки
klaus
Сообщения: 7
Зарегистрирован: 07 ноя 2018, 15:31

Добрый день имеется такая схема.
В локальной сети за натом 192.168.15.0/21 имеетя 10 Sip телефонов Yelink t21
Который нужно подключить к виртуальной атс Ростелекома которая находится по адресу 2223333.rt.ru
Вопрос: Как правильно осуществить подключение?
Изображение

Пробовал так
add action=masquerade chain=srcnat comment="Allow to 222222.33.rt.ru SIP" \
dst-address-list=VirtATSRT dst-port=5060 log=yes out-interface-list=WAN \
protocol=tcp

add action=masquerade chain=srcnat comment="allow rtp to 944754.20.rt.ru" \
dst-address-list=VirtATSRT dst-port=8192-40960 protocol=udp
/ip firewall service-port
set ftp disabled=yes
set tftp disabled=yes
set sip disabled=yes

Но подключается только 1 телефон, а на остальных висит ошибка регистрации. Помогите гуру куда копать?


kt72ru
Сообщения: 141
Зарегистрирован: 23 июн 2017, 07:55

в приведенном куске конфигурации, ошибок нет. По идее должно работать. Возможно причина в другом.
Снимите снифером трафик с WAN интерфейса, и проверьте есть ли INVITE от вас и ответ сервера РТ.


klaus
Сообщения: 7
Зарегистрирован: 07 ноя 2018, 15:31

kt72ru писал(а): 07 фев 2019, 20:24 в приведенном куске конфигурации, ошибок нет. По идее должно работать. Возможно причина в другом.
Снимите снифером трафик с WAN интерфейса, и проверьте есть ли INVITE от вас и ответ сервера РТ.
Пока посмотреть не удалось. Может я неправильно настроил файрвол? Подскажите как правильно в таком случае настроить правила именно файрволл?


kt72ru
Сообщения: 141
Зарегистрирован: 23 июн 2017, 07:55

конфигурацию покажите


klaus
Сообщения: 7
Зарегистрирован: 07 ноя 2018, 15:31

kt72ru писал(а): 08 фев 2019, 09:02 конфигурацию покажите
add action=accept chain=output comment="Allow rtp to Virtual ATS" \
dst-address-list=VirtATSRT dst-port=8192-40960 protocol=udp src-port=""
add action=accept chain=output comment="Acept 5060 to VirtualATS" \
dst-address-list=VirtATSRT dst-port=5060 log=yes port="" protocol=tcp


kt72ru
Сообщения: 141
Зарегистрирован: 23 июн 2017, 07:55

klaus писал(а): 09 фев 2019, 04:25 add action=accept chain=output comment="Allow rtp to Virtual ATS" \
dst-address-list=VirtATSRT dst-port=8192-40960 protocol=udp src-port=""
add action=accept chain=output comment="Acept 5060 to VirtualATS" \
dst-address-list=VirtATSRT dst-port=5060 log=yes port="" protocol=tcp
эти две строки вообще можно удалить, они ни на что не влияют, только проц грузят.

покажите полный /ip firewall filter


klaus
Сообщения: 7
Зарегистрирован: 07 ноя 2018, 15:31

kt72ru писал(а): 10 фев 2019, 19:12
klaus писал(а): 09 фев 2019, 04:25 add action=accept chain=output comment="Allow rtp to Virtual ATS" \
dst-address-list=VirtATSRT dst-port=8192-40960 protocol=udp src-port=""
add action=accept chain=output comment="Acept 5060 to VirtualATS" \
dst-address-list=VirtATSRT dst-port=5060 log=yes port="" protocol=tcp
эти две строки вообще можно удалить, они ни на что не влияют, только проц грузят.

покажите полный /ip firewall filter
/ip firewall filter
add action=accept chain=input comment="Accept input esteblishment & releated" \
connection-state=established,related
add action=accept chain=forward comment=\
"Accept forward esteblishment & releated" connection-state=\
established,related
add action=accept chain=forward comment="Allow DNS for DomainControllers" \
disabled=yes dst-port=53 protocol=tcp src-address-list=DomainControllers
add action=accept chain=forward comment="Allow NTP for Domain Controllers" \
disabled=yes dst-port=123 protocol=udp src-address-list=DomainControllers
add action=accept chain=input comment="Accept input LAN" src-address=\
192.168.0.0/20
add action=accept chain=forward comment="Accept forward LAN" src-address=\
192.168.0.0/20
add action=accept chain=forward comment="Accept pop3" dst-port=110 protocol=\
tcp
add action=accept chain=forward comment="Accept smtp 25,2525" dst-port=\
25,2525 protocol=tcp
add action=accept chain=input comment="Allow PPTP " connection-state="" \
dst-port=1723 in-interface-list=WAN protocol=tcp
add action=accept chain=input comment="Allow GRE ( for PPTP)" protocol=gre
add action=accept chain=forward comment="Accept Imap " dst-port=143 protocol=\
tcp
add action=accept chain=forward comment="Accept smtps 465(safely smtp)" \
dst-port=465 protocol=tcp
add action=accept chain=forward comment="Accept Imaps" dst-port=993 protocol=\
tcp
add action=accept chain=forward comment="Accept pop3s " dst-port=995 \
protocol=tcp
add action=accept chain=forward comment="Accept RDP" dst-port=3389 protocol=\
tcp
add action=accept chain=forward comment="Accept Radmin" dst-port=4899 \
protocol=tcp
add action=accept chain=forward comment=\
"Accept forward to IP LDK 300 ( \C2 \C8\EC\EF\E5\F0\E8\E8)" dst-port=\
5002,5103 protocol=tcp
add action=accept chain=forward comment="Accept forward Napoleon" dst-port=\
8888 protocol=tcp
add action=accept chain=forward comment="Accept forward Napoleon FTP" \
connection-type=ftp dst-port=56000-56999 protocol=tcp
add action=accept chain=output comment="Allow rtp to Virtual ATS" \
dst-address-list=VirtATSRT dst-port=8192-40960 protocol=udp src-port=""
add action=accept chain=output comment="Acept 5060 to VirtualATS" \
dst-address-list=VirtATSRT dst-port=5060 log=yes port="" protocol=tcp
add action=accept chain=forward comment="Accept output" dst-address=8.8.4.4 \
protocol=icmp
# RostelecomPPOE not ready
add action=drop chain=output comment="Drop ping from RTC to 8.8.4.4" \
dst-address=8.8.4.4 out-interface=RostelecomPPOE protocol=icmp
add action=drop chain=input comment="Drop 5060 from Wan" disabled=yes \
dst-port=5060 in-interface-list=WAN protocol=tcp
add action=drop chain=input comment="Drop invalid input" connection-state=\


klaus
Сообщения: 7
Зарегистрирован: 07 ноя 2018, 15:31

Проблема в том, что при текущей конфигурации, подключается по нату. Только один телефон, остальные висят с ошибкой регистрации


kt72ru
Сообщения: 141
Зарегистрирован: 23 июн 2017, 07:55

У РТ сигнализация работает по TCP? На UDP нельзя перейти?
Снимите дамп обмена между ТА и РТ.


klaus
Сообщения: 7
Зарегистрирован: 07 ноя 2018, 15:31

kt72ru писал(а): 11 фев 2019, 07:19 У РТ сигнализация работает по TCP? На UDP нельзя перейти?
Снимите дамп обмена между ТА и РТ.
Вроде как по тсп тоже работает. Сей час попробую дамп снять


Ответить