Microtik CCR-1016-12G+Asterisk+3 Неофона Ростелеком

Обсуждение оборудования и его настройки
Ответить
suharik
Сообщения: 2
Зарегистрирован: 14 ноя 2013, 20:43

15 ноя 2013, 19:07

Доброе время суток гуру Mikrotik. В сетях я не очень силен, а микротик для меня вообще темный лес. Столкнулся с такой проблемой. За микротиком на котором поднят NAT, DHCP, Firewall. Стоят два сервер с Asterisk'ом. На первом два неофоновских сип аккаунта на втором один. Они долбятся на сервер ростелекома делая дыру в нате. Но обратно все как то очень странно возвращается. А имеено транк может не регистрироваться либо терятся RTP. Может кто-нибудь подскажет как грамотно это можно сделать. Сейчас на форварде портов через пень колоду работает. Но в скором времени будут подключаться внешние клиенты. И как избежать проблем ума не приложу. Приму любые предложения и критику в свой адрес.

За ранее спасибо всем откликнувшимся!


QWE
Сообщения: 12
Зарегистрирован: 19 дек 2011, 17:37

16 ноя 2013, 05:03

1. Астериск настроен для работы за НАТом? опция externip и localnet в sip.conf ?
2. tcpdump вам в помощь на астериске и за mikrotik, во внешнем мире.
3. Астериск стоит на реальном железе или в виртуалке? перенесите на железку если что.
4. На микротике нужно пробрасывать порты для сигнализации и возможно для RTP трафика если микротик не умеет динамически на основании SDP вертеть дырки. Используемые астером порты для RTP трафика задаются в rtp.conf
5. re-invite бывает нужно отключить

от микротика в данном случае нужно только правильно настроить правила.
Сам не настраивал микротик для данной задачи но видимо как то так это делается http://habrahabr.ru/post/182166/ http://forum.nag.ru/forum/index.php?showtopic=89694
т.е. Вам нужно создать статические правила и один в один пробросить порт 5060 и те которые будут в rtp.conf с паблик IP на локал IP астериска

почитайте спец форумы про астер за натом

http://www.asterisk-pbx.ru/wiki/doku.ph ... reepbx_nat
http://www.asterisk-pbx.ru/wiki/doku.php/nat


suharik
Сообщения: 2
Зарегистрирован: 14 ноя 2013, 20:43

18 ноя 2013, 18:20

Это конечно здорово. Но все эти рецепты работают в рамках одного физического сервера. А у нас их два. И скоро будет больше. А проблема как была так и осталась. Сегодня дали совет разнести неофоны по разным портам. Будем пробовать. Сегодня пришлось все аккаунты на один сервер свести. А так все выходные входящие звонки скакали по всем сип аккаунтам. Проблема сохраняется. Пакет предназначенный для первого сервера первого сип аккаунта каким то необычайным образом способен попасть на второй сервер третьему сип аккаунту.
Я ждал каких либо рецептов по маркировке пакетов, vlan и т.д.


vqd
Модератор
Сообщения: 3359
Зарегистрирован: 26 сен 2013, 14:20
Откуда: НСК
Контактная информация:

18 ноя 2013, 18:33

Ну так вынесите ваши астериски в DMZ
Микротиком кстати можно будет так же трафик фильтровать. Например SSH прикрыть и т.п.


Есть интересная задача и бюджет? http://mikrotik.site
QWE
Сообщения: 12
Зарегистрирован: 19 дек 2011, 17:37

18 ноя 2013, 20:37

suharik писал(а):Это конечно здорово. Но все эти рецепты работают в рамках одного физического сервера. А у нас их два. И скоро будет больше. А проблема как была так и осталась. Сегодня дали совет разнести неофоны по разным портам. Будем пробовать. Сегодня пришлось все аккаунты на один сервер свести. А так все выходные входящие звонки скакали по всем сип аккаунтам. Проблема сохраняется. Пакет предназначенный для первого сервера первого сип аккаунта каким то необычайным образом способен попасть на второй сервер третьему сип аккаунту.
Я ждал каких либо рецептов по маркировке пакетов, vlan и т.д.


Как вариант, да разнесите. очень вероятно что это должно помочь. и лучше статикой NAT порты эти прибейте к разным приватным IP адресам. и с RTP трафиком получается тоже - сделайте диапазоны портов разными для каждого приватного IP, т.е. астериска


Ответить