Избитая тема. Asterisk за MikroTik.

Обсуждение оборудования и его настройки
DJGlooM
Сообщения: 73
Зарегистрирован: 27 ноя 2013, 14:05

Ну потому что ты милчел запутал со своим VPN :D

Ещё раз:

на микроте проброшены UDP порты до астериска, у клиента настроено обращаться на внешний адрес микрота, так?

У астериска дефолтным гейтом что стоит? Должен быть микрот и без левых маршрутов.

NAT должен быть один - маскарад пакетов на внешнем интерфейсе микрота, остальные убрать.
Ну и два правила dst-nat, указать нужные порты, указать интерфейс - WAN, action - netmap, указать адрес астериска и порты.


Ещё можно посмотреть на ip firewall filter


soh20
Сообщения: 17
Зарегистрирован: 03 дек 2013, 11:37

Ну потому что ты милчел запутал со своим VPN :D

Ещё раз:

на микроте проброшены UDP порты до астериска, у клиента настроено обращаться на внешний адрес микрота, так?

Так

Код: Выделить всё

add action=dst-nat chain=dstnat dst-port=5178 in-interface=ether1 protocol=udp to-addresses=192.168.88.100 to-ports=5178
add action=dst-nat chain=dstnat dst-port=19900-20000 in-interface=ether1 protocol=udp to-addresses=192.168.88.100 to-ports=19900-20000

Первое это SIP, второе это RTP

У астериска дефолтным гейтом что стоит? Должен быть микрот и без левых маршрутов.

Код: Выделить всё

auto eth0
iface eth0 inet static
address 192.168.88.100
netmask 255.255.255.0
network 192.168.88.0
broadcast 192.168.88.255
gateway 192.168.88.1
# dns-* options are implemented by the resolvconf package, if installed
dns-nameservers 8.8.8.8



NAT должен быть один - маскарад пакетов на внешнем интерфейсе микрота, остальные убрать.
Ну и два правила dst-nat, указать нужные порты, указать интерфейс - WAN, action - netmap, указать адрес астериска и порты.

Блин. Я сейчас сижу на работе через канал домашний. Если убираю

Код: Выделить всё

add action=masquerade chain=srcnat src-address=192.168.5.0/24

то интернет у меня по VPN пропадает. Как мне прописать маскарадинг так, чтоб инет был у сети 192.168.5.0/24 был инет, как и у 192.168.88.0/24?

Ещё можно посмотреть на ip firewall filter

А что я должен на нем увидеть?


soh20
Сообщения: 17
Зарегистрирован: 03 дек 2013, 11:37

Ещё можно посмотреть на ip firewall filter

Все! Всем спасибо. Тема закрыта. Посмотрел в фильтр и нашел там пустоту :)

Соответственно прописал

Код: Выделить всё

chain=forward action=accept protocol=udp dst-address=192.168.88.100 in-interface=ether1 out-interface=ether2

И все заработало


DJGlooM
Сообщения: 73
Зарегистрирован: 27 ноя 2013, 14:05

Ну я бы не стал так весь UDP пускать, а то по 53 порту будут всякие чушки приставать и не только.

Про VPN либо с рабочей машины убирать дефолт роут на тоннель и писать статик роут в домашнюю подсеть, либо на домашнем микроте маскарадить тоннельный интерфейс и всё. Только тогда не забывай если хочешь с работы по VPN ломиться к себе в подсеть или на микрот - правила фильтра, а так же dst-nat правила. Причём NAT находится ДО фильтра, то есть если пробрасываем порт 8080 на 80, то разрешть в фильтре надо 80-й.


soh20
Сообщения: 17
Зарегистрирован: 03 дек 2013, 11:37

Ну я бы не стал так весь UDP пускать, а то по 53 порту будут всякие чушки приставать и не только.


А так пойдет?

Код: Выделить всё

add chain=forward dst-address=192.168.88.100 dst-port=19900-20000 in-interface=ether1 out-interface=ether2 protocol=udp src-port=19900-20000


DJGlooM
Сообщения: 73
Зарегистрирован: 27 ноя 2013, 14:05

soh20 писал(а):А так пойдет?

Код: Выделить всё

add chain=forward dst-address=192.168.88.100 dst-port=19900-20000 in-interface=ether1 out-interface=ether2 protocol=udp src-port=19900-20000


Не пойму только зачем указывать src порт и исходящий интерфейс?

Пришёл запрос на NAT, форварднулся, затем обрабатывается фильтром.

Вот эта часть имхо ни к чему

Код: Выделить всё

out-interface=ether2 src-port=19900-20000


Vladimir22
Сообщения: 561
Зарегистрирован: 09 дек 2012, 17:12

Код: Выделить всё

src-port=19900-20000


позвольте поинтересоваться , а что в RTP.conf

тут могут быть проблемы :-)


soh20
Сообщения: 17
Зарегистрирован: 03 дек 2013, 11:37

Vladimir22 писал(а):

Код: Выделить всё

src-port=19900-20000


позвольте поинтересоваться , а что в RTP.conf

тут могут быть проблемы :-)


Код: Выделить всё

rtpstart=19900
rtpend=20000


soh20
Сообщения: 17
Зарегистрирован: 03 дек 2013, 11:37

DJGlooM писал(а):Ну я бы не стал так весь UDP пускать, а то по 53 порту будут всякие чушки приставать и не только.

А тогда эту проблему как решить?


DJGlooM
Сообщения: 73
Зарегистрирован: 27 ноя 2013, 14:05

soh20 писал(а):А тогда эту проблему как решить?


Какую проблему то? Цель - добросить порты через микрот до астериска, так? dst-nat с указанием порта НАЗНАЧЕНИЯ и входящего интерфейса, зачем указывать ему с какого порта должен приходить запрос и на какой интерфейс уходить то?

Код: Выделить всё

 chain=dstnat action=netmap to-addresses=192.168.88.100 to-ports=19900-20000 protocol=udp in-interface=ether1 dst-port=19900-20000
chain=forward action=accept protocol=udp dst-port=19900-20000


Ответить