Mikrotik RB1100AHx2 + SIP

[M1chA]

Подскажите пожалуйста,как можно реализовать такую схему.
В локалке есть SIP сервер. Данный сервер стучится из локалки на определенный IP (на скриншоте последнее правило) и авторизуется там.
Провайдер дает SIP на IP *.*.*.20:5060 (на скриншоте 3-е соединение снизу).

Имеются две проблемы.
1. Проброс с IP *.*.*.20:5060 на порт 10.163.4.245:5060 не происходит.
2. Остальных соединений быть не должно,а они есть (суслики,блин).

Помогите пожалуйста.

NAT

Код: Выделить всё

Flags: X - disabled, I - invalid, D - dynamic 
 0   ;;; Закрепляем IP *.*.*.11 на постоянку для интернет-серфинга
     chain=srcnat action=src-nat to-addresses=*.*.*.11 out-interface=ether11 

 1   ;;; Пробрасываем SIP поступающий от провайдера на наш внутренний SIP сервер
     chain=dstnat action=dst-nat to-addresses=10.163.4.245 to-ports=5060 protocol=udp src-address=*.*.*.58 dst-address=*.*.*.20 dst-port=5060 

 2   ;;; Публикация сервера ОПР в Интернете по всем TCP портам
     chain=dstnat action=dst-nat to-addresses=10.163.4.133 to-ports=0-65535 protocol=tcp dst-address=*.*.*.11 dst-port=0-65535 

 3   ;;; Даем Интернет в локальную сеть офиса
     chain=srcnat action=masquerade src-address=10.163.4.0/24 

Скриншот:


Все адреса в Src.Address кроме локального не должны по идее иметь коннекта с моими IP по SIP протоколу.

[vqd]

надо было в коде поставить все звездочки (шифроваться так уж капитально) а потом просить помощи в решении проблемы.

Конфиг по человечески покажите а то мы тоже будем отвечать "Решение проблемы в ****** **** *** ** и вот *** еще надо **** ***** ***т** в**п***"

[M1chA]

Шифрую только свои IP )))
Что вам выложить?

Скриншот сделан с вкладки Connections

[vqd]

все. А ИП свои вы можете на фейковые заменить что бы понятно было че куда

Я так понял что в

1 ;;; Пробрасываем SIP поступающий от провайдера на наш внутренний SIP сервер
chain=dstnat action=dst-nat to-addresses=10.163.4.245 to-ports=5060 protocol=udp src-address=*.*.*.58 dst-address=*.*.*.20 dst-port=5060

У вас проблема.
Включите в этом правиле легирование и смотрите уже лог. Если правило не отрабатывает то смотрите фильтры, если в логах цепочка верна то смотрите на оконечной железке.

[M1chA]

Как включить в правиле логирование?

[vqd]

в акшен указать ЛОГ

[M1chA]

Включил логирование.
Счетчики не работают. правило не работает,хотя все нормально настроено.

"Поправил" таблицу NAT

Код: Выделить всё

Flags: X - disabled, I - invalid, D - dynamic
 0   ;;; Закрепляем IP *.*.*.11 на постоянку для интернет-серфинга
     chain=srcnat action=src-nat to-addresses=185.185.185.11 out-interface=ether11

 1   ;;; Пробрасываем SIP поступающий от провайдера на наш внутренний SIP сервер
     chain=dstnat action=dst-nat to-addresses=10.163.4.245 to-ports=5060 protocol=udp src-address=200.200.200.58 dst-address=185.185.185.20 dst-port=5060

 2   ;;; Публикация сервера ОПР в Интернете по всем TCP портам
     chain=dstnat action=dst-nat to-addresses=10.163.4.133 to-ports=0-65535 protocol=tcp dst-address=185.185.185.11 dst-port=0-65535

 3   ;;; Даем Интернет в локальную сеть офиса
     chain=srcnat action=masquerade src-address=10.163.4.0/24 

[vqd]

ну если счетчики не срабатывают значит ищите выше