Избитая тема. Asterisk за MikroTik.

Обсуждение оборудования и его настройки
soh20
Сообщения: 17
Зарегистрирован: 03 дек 2013, 11:37

Эх. Затык. Неужели тема так и останется открытой?


Vladimir22
Сообщения: 561
Зарегистрирован: 09 дек 2012, 17:12

а что на другой стороне , которая тоже за NAT ?
астер или телефон ?!


DJGlooM
Сообщения: 73
Зарегистрирован: 27 ноя 2013, 14:05

soh20 писал(а):

Код: Выделить всё

add action=masquerade chain=srcnat dst-address=192.168.88.0/24

Без этого маскарадинга не работает интернет у 192.168.88.0


А просто замаскарадить WAN?

Код: Выделить всё

add chain=srcnat action=masquerade out-interface=ether1


soh20 писал(а):

Код: Выделить всё

add action=masquerade chain=srcnat src-address=192.168.5.0/24

Без него не работает интернет у клиентов 192.168.5.0 Это удаленные VPN клиенты, которым нужно, чтоб светился именно внешний IP этого провайдера.

А в фильтре есть разрешающие правила для этого диапазона?


soh20 писал(а):Кстати, а как сделать, чтоб при подключении VPN клиента по PPTP, интернет заворачивался через шлюз указанный на локальной машине, а не через роутер, к которому подключаются по VPN?

Подозреваю надо маркировать пакеты приходящие с 192.168.5.0/24 и роутить их на нужную шлюзовую машину


DJGlooM
Сообщения: 73
Зарегистрирован: 27 ноя 2013, 14:05

Астериск за тоннелем получает адрес у микрота в сети 192.168.88.0/24?


soh20
Сообщения: 17
Зарегистрирован: 03 дек 2013, 11:37

Ох. Давайте я лучше схему нарисую. Так будет проще.
Туннель тут не при чем. Туннель создан для других целей. Если хотите, то я вообще прибить его могу :)
Клиент с софтфоном коннектится не через туннель а просто из внешки, без VPN. Схемка вот. nat=yes прописан и на софтфоне и в конфиге sip.conf у клиента. Но клиент, почему-то все равно виден не с тем адресом :(
Был D-LINK DIR320 проблем с этим не было. А сейчас такая беда
Вложения
трабла.JPG
трабла.JPG (114.62 КБ) 3865 просмотров


soh20
Сообщения: 17
Зарегистрирован: 03 дек 2013, 11:37

И вот вдогонку, про что я спрашивал
Вложения
роутинг.JPG
(89.12 КБ) 0 скачиваний


DJGlooM
Сообщения: 73
Зарегистрирован: 27 ноя 2013, 14:05

Начнем с последнего.

С работы с виндов коннектимся домой через vpn? По дефолту на виндах стоит use remote gateway в настройке tcp\ip, этот чекбокс можно убрать, тогда vpn не будет дефолт роутом. Чтобы при этом была видна домашняя сеть пишем на машине роут через адрес который выдает микрот, соответственно со стороны микрота делаем в профиле юзеру статический адрес.


DJGlooM
Сообщения: 73
Зарегистрирован: 27 ноя 2013, 14:05

По voip:
как выглядит профиль для vpn клиентов на микроте? Должен быть vpn-pool или опять же для каждого юзера в его профиле указан адрес локальный (микрота), подозреваю 88.1 и адрес подключаемого юзера. Дальше, чтобы клиент видел остальную 88-ю сеть и она видела его нужно на LAN интерфейсе микрота врубить arp-proxy.


DJGlooM
Сообщения: 73
Зарегистрирован: 27 ноя 2013, 14:05

Кстати лишних натов не надо, достаточно одного, котрый маскарадит пакеты на WAN интерфейсе микрота, src-nat action masquarade.

Если нужно маскарадить все на микроте, то проброса портов через dst мало, надо ещё добавлять src-nat для подсети 88.0.


soh20
Сообщения: 17
Зарегистрирован: 03 дек 2013, 11:37

По последнему - спасибо, а вот по VOiP не понял, при чем тут VPN, если я не через VPN коннекчусь, а прямо к серверу, через портмаппинг, т.е. клиент стучится софтфоном на белый IP роутера с портом 5060 и роутер пробрасывает его на сервер Asterisk, который находится за NAT


Ответить