SIP за NAT

Обсуждение оборудования и его настройки
anatoly321
Сообщения: 11
Зарегистрирован: 15 авг 2017, 19:00

Добрый день!
Изломал голову уже...

В локальной сети есть АТС (avaya 430)
В интернете есть провайдер (uiscom)

Между ними sip-транк,
Ранее транк ходил через cisco asa, волею звёзд asa скончалась.
Делаю проброс на микротике (2011UiAS) но никак не выходит каменный цветок.
Причём исходящие звонки есть, а вот входа вообще никакого нет.

На cisco asa вот такая конфигурация отлично отрабатывала sip:

Код: Выделить всё

ASA Version 8.4(5)
!
object network uiscom
 host 195.211.120.9
object network voip_internal_subnet
 subnet 192.168.90.0 255.255.255.0
object network avaya_ip
 host 192.168.90.3
object-group network sip-servers
 network-object host 195.211.120.9
access-list voip_access extended permit udp object-group sip-servers object avaya_ip eq sip
access-list CA extended permit udp any host 192.168.90.3
!
object network voip_internal_subnet
 nat (inside,outside) dynamic interface
!
object network avaya_ip
 nat (inside,outside) static interface service udp sip sip
!
access-group voip_access in interface outside
!
route outside 0.0.0.0 0.0.0.0 (наш gw) 1
route inside 192.168.90.0 255.255.255.0 172.16.0.1 1
!
timeout xlate 3:00:00
timeout pat-xlate 0:00:30
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:40:00 h323 0:10:00 h225 1:00:00 mgcp 0:10:00 mgcp-pat 0:10:00
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
timeout sip-provisional-media 0:02:00 uauth 0:05:00 absolute
timeout tcp-proxy-reassembly 0:01:00
timeout floating-conn 0:00:00
!
dynamic-access-policy-record DfltAccessPolicy
!
class-map inspection_default
 match default-inspection-traffic
!
!
policy-map type inspect dns preset_dns_map
 parameters
  message-length maximum client auto
  message-length maximum 512
policy-map global_policy
 class inspection_default
  inspect dns preset_dns_map
  inspect ftp
  inspect h323 h225
  inspect h323 ras
  inspect rsh
  inspect rtsp
  inspect esmtp
  inspect sqlnet
  inspect skinny
  inspect sunrpc
  inspect xdmcp
  inspect sip
  inspect netbios
  inspect tftp
  inspect ip-options
  inspect icmp


На микротике как отключал sip helper, так и включал - результата нет (почти везде говорят надо всё же выключать, т.к. микрот не умеет сам сип корректно обрабатывать, в плане транков, а не просто внутри сип-телефон, а в интернете сип-провайдер)

Сделал просто проброс 5060 и сигнальных портов 10000-20000.
Ничего не помогает, связь одностронняя.

Однако сниффером вижу вот такую картину sip сессии при входящем звонке, не знаю она корректна или нет.
Скажите какую информацию ещё предоставить?


enzain
Сообщения: 291
Зарегистрирован: 26 дек 2017, 22:30

Не очень понимаю зачем вам транк ....
К провайдеру СИП обычно делают просто сип регистрацию.... по крайней мере у меня куча еастар атс цепляется к провам сип без проблем через нат ...


anatoly321
Сообщения: 11
Зарегистрирован: 15 авг 2017, 19:00

А если регистрация без авторизации, ограничение просто по ip.
При входящем звонке вот такая картина, мне кажется где-то проблема. Может что-то ещё нужно на микротике настроить?
Изображение


enzain
Сообщения: 291
Зарегистрирован: 26 дек 2017, 22:30

у вас типа не линия а канал с планом набора через этот канал? ...


anatoly321
Сообщения: 11
Зарегистрирован: 15 авг 2017, 19:00

enzain писал(а):у вас типа не линия а канал с планом набора через этот канал? ...

Да, наверно я не правильно выразился. В принципе так и получается, что набор на ip провайдера через диалплан.


kt72ru
Сообщения: 141
Зарегистрирован: 23 июн 2017, 07:55

1.Нужна конфигурация firewall вашего микротика
2.Выложите дамп входящего звонка.Приведенная картинка не информативна.
3.SIP ALG выключить.


anatoly321
Сообщения: 11
Зарегистрирован: 15 авг 2017, 19:00

1. убрал лишнее, прикрепил
2. два дампа, исходящий - ок и входящий - проблема
3. выключен

Что-то мне кажется проблема с пробросом rtp
Т.к. в конфигурации бывшей cisco asa. было такое:

Код: Выделить всё

object network voip_internal_subnet
 nat (inside,outside) dynamic interface

voip_internal_subnet = 192.168.90.0.24, в этой подсети только voip оборудование.

т.к. я пробрасываю в основном 192.168.90.3
Однако rtp идёт от 192.168.90.2 (это кажется ещё один интерфейс avaya)

PS файлы не крепятся, я через обменник,
http://dropmefiles.com/wedlF
пароль на архив 4321@


kt72ru
Сообщения: 141
Зарегистрирован: 23 июн 2017, 07:55

сразу бросается в глаза

Код: Выделить всё

add action=dst-nat chain=dstnat dst-port=5060 in-interface=ether6-INTERNET protocol=udp src-address=195.211.120.9 to-addresses=192.168.90.3 to-ports=5060
add action=dst-nat chain=dstnat dst-port=5024-9999,5000-5021,10000-20000 in-interface=ether6-INTERNET protocol=udp to-addresses=192.168.90.2


192.168.90.3 - это адрес для сигнализации
192.168.90.2 - это для RTP
второе правило составлено неправильно, достаточно указать только диапазон RTP портов

Код: Выделить всё

add action=dst-nat chain=dstnat dst-port=10000-20000 in-interface=ether6-INTERNET protocol=udp to-addresses=192.168.90.2 to-ports=10000-20000

и то это при условии что ваша авайя гоняет RTP по этим портам.


anatoly321
Сообщения: 11
Зарегистрирован: 15 авг 2017, 19:00

Нашёл в мануале, что данная авайя гоняет RTP по такому диапазону портов
2048-65535
сейчас переделаю


anatoly321
Сообщения: 11
Зарегистрирован: 15 авг 2017, 19:00

Вот переделал, и всё равно нет входящего звонка ...

Код: Выделить всё

/ip firewall address-list
add address=46.39.35.197 list=SIP
add address=195.211.120.9 list=SIP
add address=192.168.90.2 list=SIP
add address=192.168.90.3 list=SIP

/ip firewall filter
add chain=forward comment="for sip" in-interface=ether6-INTERNET protocol=udp \
    src-address=195.211.120.9
add chain=input comment="for sip" in-interface=ether6-INTERNET protocol=udp \
    src-address=195.211.120.9
add chain=forward comment="for sip" in-interface=ether5-LAN protocol=udp \
    src-address=192.168.90.3
add chain=input comment="input from LAN" in-interface=ether5-LAN
add chain=input comment="Allow DNS" dst-port=53 in-interface=!ether6-INTERNET \
    protocol=udp
add chain=input comment="Allow DNS request" in-interface=ether6-INTERNET \
    protocol=udp src-address=176.74.8.33 src-port=53
add chain=input comment="Allow DNS request" in-interface=ether6-INTERNET \
    protocol=udp src-address=176.74.9.1 src-port=53
add chain=input comment="Allow DNS request" in-interface=ether6-INTERNET \
    protocol=udp src-address=8.8.8.8 src-port=53
add action=reject chain=forward comment=DeniedSites content=vk.cm log=yes \
    log-prefix=DeniedSite-vk.com protocol=tcp reject-with=tcp-reset \
    src-address=172.16.0.0/16
add action=drop chain=input comment="Drop Another INPUT" dst-address-list=\
    !SIP log=yes log-prefix=DROP src-address-list=!SIP

/ip firewall mangle
add action=mark-routing chain=prerouting dst-address=!172.16.0.1-172.16.5.255 \
    new-routing-mark=from-178 src-address=192.168.20.20

/ip firewall nat
add action=dst-nat chain=dstnat comment=sip dst-port=5060 in-interface=\
    ether6-INTERNET log=yes log-prefix=SIP protocol=udp src-address=\
    195.211.120.9 to-addresses=192.168.90.3 to-ports=5060
add action=dst-nat chain=dstnat comment=sip dst-port=2048-65535 in-interface=\
    ether6-INTERNET log=yes log-prefix="SIP RTP" protocol=udp src-address=\
    195.211.120.9 to-addresses=192.168.90.2 to-ports=2048-65535
add action=masquerade chain=srcnat comment="office global nat" log-prefix=\
    "\CE\C1\D9\C8\C9 NAT" out-interface=ether6-INTERNET
add action=dst-nat chain=dstnat comment="25 smtp" dst-address=5.134.219.178 \
    dst-port=25 in-interface=ether6-INTERNET log=yes log-prefix=SMTP \
    protocol=tcp to-addresses=192.168.20.20 to-ports=25

/ip firewall service-port
set h323 disabled=yes
set sip disabled=yes ports=5060 sip-timeout=5m

/ip route
add distance=1 gateway=5.134.219.177 pref-src=5.134.219.178 routing-mark=\
    from-163
add distance=1 gateway=176.74.14.161
add distance=1 dst-address=192.168.0.0/24 gateway=172.16.0.3
add distance=1 dst-address=192.168.1.0/24 gateway=172.16.0.3
add distance=1 dst-address=192.168.2.0/24 gateway=172.16.0.3
add distance=1 dst-address=192.168.8.0/24 gateway=172.16.0.3
add disabled=yes distance=1 dst-address=195.211.120.9/32 gateway=172.16.0.6


Ответить