Доступ извне к SIP АТС в локальной сети через микротик

[Sergey.Kovaliov]

Здравствуйте,
есть такая схема сети:



/export

 

[admin@MikroTik] > /export
# jul/30/2018 14:50:16 by RouterOS 6.27
# software id = FMLF-KKU3
#
/interface bridge
add disabled=yes name=bridge1
/interface ethernet
set [ find default-name=ether1 ] name=inet
set [ find default-name=ether2 ] name=lan172
/ip neighbor discovery
set inet discover=no
/interface ethernet
set [ find default-name=ether3 ] master-port=lan172 name=ether3-slave-local
set [ find default-name=ether4 ] master-port=lan172 name=ether4-slave-local
set [ find default-name=ether5 ] master-port=lan172 name=ether5-slave-local
/ip pool
add name=dhcp ranges=172.65.120.245-172.65.120.247
/interface bridge port
add bridge=bridge1 disabled=yes interface=lan172
/ip dhcp-client
add default-route-distance=0 dhcp-options=hostname,clientid disabled=no \
interface=lan172
add default-route-distance=0 dhcp-options=hostname,clientid disabled=no \
interface=inet
/ip dns
set allow-remote-requests=yes servers=192.168.0.1,172.65.120.2
/ip dns static
add address=192.168.88.1 name=router
/ip firewall filter
add chain=forward comment="default configuration" connection-state=\
established,related disabled=yes
add action=drop chain=forward comment="default configuration" connection-state=\
invalid disabled=yes
add action=drop chain=forward comment="default configuration" \
connection-nat-state=!dstnat connection-state=new disabled=yes \
in-interface=inet
add chain=input disabled=yes protocol=icmp
add chain=input connection-state=established disabled=yes
add chain=input connection-state=related disabled=yes
add action=drop chain=input disabled=yes in-interface=inet
add chain=forward dst-address=192.68.0.108 dst-port=5060 protocol=udp
/ip firewall nat
add action=masquerade chain=srcnat comment="default configuration" \
out-interface=all-ethernet
add action=dst-nat chain=dstnat dst-address=192.168.0.108 protocol=udp \
src-port=5060 to-addresses=172.65.120.7 to-ports=5060
/ip firewall service-port
set sip disabled=yes
/ip route
add distance=1 gateway=192.168.0.1
/system clock
set time-zone-name=Europe/Kiev
/system routerboard settings
set cpu-frequency=850MHz protected-routerboot=disabled
/tool mac-server
set [ find default=yes ] disabled=yes
add interface=lan172
/tool mac-server mac-winbox
set [ find default=yes ] disabled=yes
add interface=lan172
[admin@MikroTik] >

задача при помощи любого (3G,4G..) интернета подключиться к АТС SIP
как ни прописываю проброс портов не получается
interface lan172 локальная сеть с DHCP
interface=inet выход в интернет

с микротиками впервые, два дня читаю инструкции не получается

[Erik_U]

"Роутер 192.168.0.1" у вас какой модели?

[Sergey.Kovaliov]

"Роутер 192.168.0.1" у вас какой модели?

TP-LINK WR720N
проброс на нем сделал

[Erik_U]

Больше нигде и не нужно.

У вас на границе с интернетом - TP-LINK, НАТ поднят на нем.
Микротики стоят внутри сети, и только маршрутизируют. SIP пакеты прекрасно маршрутизируются, никаких портов для этого пробрасывать не нужно.
Если у вашей АТС есть доступ в интернет (или пинг до TP-LINK), значит маршрутизация настроена.
Если нет - настройте маршрутизацию (на каждом маршрутизаторе добавьте маршруты до каждой IP сети вашего офиса).

А доступ снаружи будет работать только если у вас есть выделенный "белый" IP адрес.
Если его нет - по сеансовому ничего работать не будет, нужно заставить оператора сделать проброс портов. Дешевле купить белый IP.

[Sergey.Kovaliov]

IP внешний статический
в соединениях микротика(2)



вижу что при попытке соединится с АТС соединение устанавливается но я так понимаю не перебрасывается на интерфейс локальной сети

Мне нужно чтобы с интерфейса inet пакеты по порту 5060 шли в интерфейс lan172 на IP АТС

[Erik_U]

Вы на микротике внутри сети подняли нат?

[Sergey.Kovaliov]

Да, но не уверен что правильно

/ip firewall nat
add action=masquerade chain=srcnat comment="default configuration" \
out-interface=all-ethernet
add action=dst-nat chain=dstnat dst-address=192.168.0.108 protocol=udp \
src-port=5060 to-addresses=172.65.120.7 to-ports=5060

[Erik_U]

Зачем?

TP-LINK в режиме моста все бросает на микротик2?

Если нет, из 172.65.120.х до TP-LINK пинги проходят?

[Sergey.Kovaliov]

на TP-link проброс портов на микротик

[Erik_U]

Выключите везде проброс SIP порта.

И расскажите, какая у вас конфигурация сети.

НАТ для всей сети поднят где? На микротике2, или на TP-LINK?

Если на TP-LINK, то настройте на микротиках только маршрутизацию, НАТ не поднимайте.
А на TP-LINK проброс SIP порта сделайте сразу на адрес АТС.