У вас двойной NAT. Чтобы проброс портов работал, нужно их пробрасывать на вышестоящем маршрутизаторе. И не факт, что получится.
Именно поэтому я вам и писал про туннель.
Но вы же упорно утверждаете, что Длинк и Тплинк работает. И они тоже с двойным НАТом работают??? Подозреваю, что с ними с двойным НАТом и инета не будет. Размер пакета растет.
Попробуйте сделать все заново и по шагам, а не пытаться все в одну кучу намешать.
настройка 2011
-
- Сообщения: 24
- Зарегистрирован: 25 дек 2015, 15:07
так, оптику дали, с основными настройками разобрался. всё вроде работает, но по какой то причине не работают правила фаервола
создаю правила в фильтре в настоящий момент дропать для диапазона 192.168.0.19-192.168.0.39 интернет 80 и 443 порты, но естественно дыбы почта, аськи и прочее нужное оставить.
подскажите, где ошибка?
по этой же причине не могу добиться дропов пакетов на АТС, пришлось пока фильтровать NATом, хотя читал что эт неправильно.
создаю правила в фильтре в настоящий момент дропать для диапазона 192.168.0.19-192.168.0.39 интернет 80 и 443 порты, но естественно дыбы почта, аськи и прочее нужное оставить.
подскажите, где ошибка?
по этой же причине не могу добиться дропов пакетов на АТС, пришлось пока фильтровать NATом, хотя читал что эт неправильно.
-
- Модератор
- Сообщения: 3348
- Зарегистрирован: 01 окт 2012, 14:48
1. Важен порядок правил. Поднимайте запрещающие правила выше в начало списка.
2. У вас там куча других правил. Они точно нужны??? Оставьте только то, что нужно и которые вы сами четко понимаете.
3. Уберите source port, оставьте только dst, в качестве порта направления укажите порт WAN.
Можно вообще порты Ether или WAN не указывать, что-то вроде вот такого
ip firewall filters add chain=forward protocol=tcp dst-port=1025-65536 action=drop src-address=192.168.0.0/24 comment="drop tcp 1025-65536"
ip firewall filters add chain=forward protocol=udp dst-port=1025-65536 action=drop src-address=192.168.0.0/24 comment="drop udp 1025-65536"
2. У вас там куча других правил. Они точно нужны??? Оставьте только то, что нужно и которые вы сами четко понимаете.
3. Уберите source port, оставьте только dst, в качестве порта направления укажите порт WAN.
Можно вообще порты Ether или WAN не указывать, что-то вроде вот такого
ip firewall filters add chain=forward protocol=tcp dst-port=1025-65536 action=drop src-address=192.168.0.0/24 comment="drop tcp 1025-65536"
ip firewall filters add chain=forward protocol=udp dst-port=1025-65536 action=drop src-address=192.168.0.0/24 comment="drop udp 1025-65536"
-
- Сообщения: 24
- Зарегистрирован: 25 дек 2015, 15:07
да, убрал саурс порт, и заработало. благодарю.
-
- Сообщения: 24
- Зарегистрирован: 25 дек 2015, 15:07
с основными настройками разобрался. осталось одна неприятная бяка.
пока АТС подключена просто как обычный ПК и на неё просто транслирую порты.
1 вызов с аппарата всё хорошо, кладем трубку, набираем сразу - молчок в течении 6-10 сек, но если мы набираем с другого аппарата тот же номер, то идут сразу
сигналы занято. следовательно, по каким то причинам, наш маршрутизатор не сразу пропускает UDP пакеты которые у нас прописаны в правиле фаервола и НАТ.
для эксперимента отключал весь фаервол, убирал привязку к IP в нате - эффекта нет.
подскажите, куда копать?
или как правильно транслировать АТС?
неудобство в том, что АТС физически расположены в разных городах, и экспериментировать в рабочее время мне никто не даст.
я понимаю, что трафик АТС толковее гонять по ВПН, но пока на второй АТС подобной железяки нет. как разберусь с этой, буду подымать ВПН.
пока АТС подключена просто как обычный ПК и на неё просто транслирую порты.
1 вызов с аппарата всё хорошо, кладем трубку, набираем сразу - молчок в течении 6-10 сек, но если мы набираем с другого аппарата тот же номер, то идут сразу
сигналы занято. следовательно, по каким то причинам, наш маршрутизатор не сразу пропускает UDP пакеты которые у нас прописаны в правиле фаервола и НАТ.
для эксперимента отключал весь фаервол, убирал привязку к IP в нате - эффекта нет.
подскажите, куда копать?
или как правильно транслировать АТС?
неудобство в том, что АТС физически расположены в разных городах, и экспериментировать в рабочее время мне никто не даст.
я понимаю, что трафик АТС толковее гонять по ВПН, но пока на второй АТС подобной железяки нет. как разберусь с этой, буду подымать ВПН.
-
- Модератор
- Сообщения: 3348
- Зарегистрирован: 01 окт 2012, 14:48
Может проблема не в микротике???
Вот когда не проходит звонок, если перезагрузить микротик, звонок пойдет???
Скорее всего проблема в таймингах на АТС. А может быть АТС вообще не видит, что трубку положили?? Отбой не проходит.
Нужно смотреть логи на АТС. Может не все порты прокинули??? А может АТС нужен не только UDP трафик, может нужно еще и TCP по этим же портам пропускать???
Туннель во всех отношениях предпочтительнее.
Посмотрите, может быть удаленная АТС умеет сама поднимать туннель??? PPPoE клиент в ней точно должен быть.
Вот когда не проходит звонок, если перезагрузить микротик, звонок пойдет???
Скорее всего проблема в таймингах на АТС. А может быть АТС вообще не видит, что трубку положили?? Отбой не проходит.
Нужно смотреть логи на АТС. Может не все порты прокинули??? А может АТС нужен не только UDP трафик, может нужно еще и TCP по этим же портам пропускать???
Туннель во всех отношениях предпочтительнее.
Посмотрите, может быть удаленная АТС умеет сама поднимать туннель??? PPPoE клиент в ней точно должен быть.
-
- Сообщения: 24
- Зарегистрирован: 25 дек 2015, 15:07
атс простенькие, LG IP LDK60 не умеют они ничего с трафиком делать.
в техпо говорят, что достаточно транслировать только диапазон UDP 2048-4096 и два ТСР 1720 16000 тут документ, в котором есть ещё пара UDP 5588 и 6254, попробую завтра и их протранслировать, но те же товарищи из техпо утверждают, что не в них дело.
АТС изначально рабочие, сейчас просто одну которая стоит у меня, я пересаживаю с обычной линии ADSL с маршрутизатором д-линк за 1000 рублей, который просто выставлен в ДМЗ на атс и по сути просто авторизует её по PPoE. на этой линии вообще никаких проблем со звонками нет. просто отключают эту линию, так как мол есть оптика.
Опять же повторюсь, не проходит этот звонок только первые 7-10 секунд, потом идёт, тоесть, вначале тишина, ждём, и потом - прорывается. было бы проще, если бы не шел изначально.
заметил в логах соединение по 1720 порту висит с меткой time wait как то может влиять? примерно такое же время. есть тут возможность на этом порту уменьшить это значение? например до секунды?
в техпо говорят, что достаточно транслировать только диапазон UDP 2048-4096 и два ТСР 1720 16000 тут документ, в котором есть ещё пара UDP 5588 и 6254, попробую завтра и их протранслировать, но те же товарищи из техпо утверждают, что не в них дело.
АТС изначально рабочие, сейчас просто одну которая стоит у меня, я пересаживаю с обычной линии ADSL с маршрутизатором д-линк за 1000 рублей, который просто выставлен в ДМЗ на атс и по сути просто авторизует её по PPoE. на этой линии вообще никаких проблем со звонками нет. просто отключают эту линию, так как мол есть оптика.
Опять же повторюсь, не проходит этот звонок только первые 7-10 секунд, потом идёт, тоесть, вначале тишина, ждём, и потом - прорывается. было бы проще, если бы не шел изначально.
заметил в логах соединение по 1720 порту висит с меткой time wait как то может влиять? примерно такое же время. есть тут возможность на этом порту уменьшить это значение? например до секунды?
-
- Модератор
- Сообщения: 3348
- Зарегистрирован: 01 окт 2012, 14:48
И 7-10 секунд вас напрягает???? Я думал совсем связи нету.
Забейте!!!!
У меня служебная IP связь, так до 20 секунд вызов может инициализироваться.
А по поводу соединения по порту, попробуйте звонить и прибивать его вручную. Может и правда дело в нем.
Тайминги эти можно править http://wiki.mikrotik.com/wiki/Manual:IP ... n_tracking
Забейте!!!!
У меня служебная IP связь, так до 20 секунд вызов может инициализироваться.
А по поводу соединения по порту, попробуйте звонить и прибивать его вручную. Может и правда дело в нем.
Тайминги эти можно править http://wiki.mikrotik.com/wiki/Manual:IP ... n_tracking
-
- Сообщения: 24
- Зарегистрирован: 25 дек 2015, 15:07
спасибо, завтра попробую поиграть с таймингами.
пока настраиваю без народа, мне там нескем поговорить =)
боюсь, что раз поток идет, то с той стороны народ будут алекать, а мы отвечть не будем эти 10 секунд, и народ будет бросать трубки и звонить мне же, и ныть что не работает, не говоря про директора, который тут же
пока настраиваю без народа, мне там нескем поговорить =)
боюсь, что раз поток идет, то с той стороны народ будут алекать, а мы отвечть не будем эти 10 секунд, и народ будет бросать трубки и звонить мне же, и ныть что не работает, не говоря про директора, который тут же
-
- Сообщения: 24
- Зарегистрирован: 25 дек 2015, 15:07
выставил в 2 секунды, эта проблема отпала.
но блин не все беды.
пришли люди в тот офис, мы им звоним - все отлично - они к нам не могут дозвониться.
не пускает видать роутер входящий поток.
все правила NAT проверял, подменял порт - пускает, правила фаервола - так же подменял только порт - пускает, вешаю АТС - никак.
но блин не все беды.
пришли люди в тот офис, мы им звоним - все отлично - они к нам не могут дозвониться.
не пускает видать роутер входящий поток.
все правила NAT проверял, подменял порт - пускает, правила фаервола - так же подменял только порт - пускает, вешаю АТС - никак.