Избитая тема. Asterisk за MikroTik.
-
- Сообщения: 17
- Зарегистрирован: 03 дек 2013, 11:37
Эх. Затык. Неужели тема так и останется открытой?
-
- Сообщения: 561
- Зарегистрирован: 09 дек 2012, 17:12
а что на другой стороне , которая тоже за NAT ?
астер или телефон ?!
астер или телефон ?!
-
- Сообщения: 73
- Зарегистрирован: 27 ноя 2013, 14:05
soh20 писал(а):Код: Выделить всё
add action=masquerade chain=srcnat dst-address=192.168.88.0/24
Без этого маскарадинга не работает интернет у 192.168.88.0
А просто замаскарадить WAN?
Код: Выделить всё
add chain=srcnat action=masquerade out-interface=ether1
soh20 писал(а):Код: Выделить всё
add action=masquerade chain=srcnat src-address=192.168.5.0/24
Без него не работает интернет у клиентов 192.168.5.0 Это удаленные VPN клиенты, которым нужно, чтоб светился именно внешний IP этого провайдера.
А в фильтре есть разрешающие правила для этого диапазона?
soh20 писал(а):Кстати, а как сделать, чтоб при подключении VPN клиента по PPTP, интернет заворачивался через шлюз указанный на локальной машине, а не через роутер, к которому подключаются по VPN?
Подозреваю надо маркировать пакеты приходящие с 192.168.5.0/24 и роутить их на нужную шлюзовую машину
-
- Сообщения: 73
- Зарегистрирован: 27 ноя 2013, 14:05
Астериск за тоннелем получает адрес у микрота в сети 192.168.88.0/24?
-
- Сообщения: 17
- Зарегистрирован: 03 дек 2013, 11:37
Ох. Давайте я лучше схему нарисую. Так будет проще.
Туннель тут не при чем. Туннель создан для других целей. Если хотите, то я вообще прибить его могу :)
Клиент с софтфоном коннектится не через туннель а просто из внешки, без VPN. Схемка вот. nat=yes прописан и на софтфоне и в конфиге sip.conf у клиента. Но клиент, почему-то все равно виден не с тем адресом :(
Был D-LINK DIR320 проблем с этим не было. А сейчас такая беда
Туннель тут не при чем. Туннель создан для других целей. Если хотите, то я вообще прибить его могу :)
Клиент с софтфоном коннектится не через туннель а просто из внешки, без VPN. Схемка вот. nat=yes прописан и на софтфоне и в конфиге sip.conf у клиента. Но клиент, почему-то все равно виден не с тем адресом :(
Был D-LINK DIR320 проблем с этим не было. А сейчас такая беда
- Вложения
-
- трабла.JPG (114.62 КБ) 3884 просмотра
-
- Сообщения: 17
- Зарегистрирован: 03 дек 2013, 11:37
-
- Сообщения: 73
- Зарегистрирован: 27 ноя 2013, 14:05
Начнем с последнего.
С работы с виндов коннектимся домой через vpn? По дефолту на виндах стоит use remote gateway в настройке tcp\ip, этот чекбокс можно убрать, тогда vpn не будет дефолт роутом. Чтобы при этом была видна домашняя сеть пишем на машине роут через адрес который выдает микрот, соответственно со стороны микрота делаем в профиле юзеру статический адрес.
С работы с виндов коннектимся домой через vpn? По дефолту на виндах стоит use remote gateway в настройке tcp\ip, этот чекбокс можно убрать, тогда vpn не будет дефолт роутом. Чтобы при этом была видна домашняя сеть пишем на машине роут через адрес который выдает микрот, соответственно со стороны микрота делаем в профиле юзеру статический адрес.
-
- Сообщения: 73
- Зарегистрирован: 27 ноя 2013, 14:05
По voip:
как выглядит профиль для vpn клиентов на микроте? Должен быть vpn-pool или опять же для каждого юзера в его профиле указан адрес локальный (микрота), подозреваю 88.1 и адрес подключаемого юзера. Дальше, чтобы клиент видел остальную 88-ю сеть и она видела его нужно на LAN интерфейсе микрота врубить arp-proxy.
как выглядит профиль для vpn клиентов на микроте? Должен быть vpn-pool или опять же для каждого юзера в его профиле указан адрес локальный (микрота), подозреваю 88.1 и адрес подключаемого юзера. Дальше, чтобы клиент видел остальную 88-ю сеть и она видела его нужно на LAN интерфейсе микрота врубить arp-proxy.
-
- Сообщения: 73
- Зарегистрирован: 27 ноя 2013, 14:05
Кстати лишних натов не надо, достаточно одного, котрый маскарадит пакеты на WAN интерфейсе микрота, src-nat action masquarade.
Если нужно маскарадить все на микроте, то проброса портов через dst мало, надо ещё добавлять src-nat для подсети 88.0.
Если нужно маскарадить все на микроте, то проброса портов через dst мало, надо ещё добавлять src-nat для подсети 88.0.
-
- Сообщения: 17
- Зарегистрирован: 03 дек 2013, 11:37
По последнему - спасибо, а вот по VOiP не понял, при чем тут VPN, если я не через VPN коннекчусь, а прямо к серверу, через портмаппинг, т.е. клиент стучится софтфоном на белый IP роутера с портом 5060 и роутер пробрасывает его на сервер Asterisk, который находится за NAT