В общем прошу помощи )
Есть внутренняя сеть, в ней стоит PBX Oktell за айпишником 192.168.1.106, все это за микротиком 750G.
Включен нат хэлпер на портах 5060,5061. В фаерволле разрешен udp трафик по портам 9000-25000 и 5060, 5061. Удп трафик форвардится на 192.168.1.106, как и порты 5060 что по tcp, что по udp. На udp трафик с 192.168.1.106 (он на отдельном интерфейсе) включен маскарад. В итоге происходит такая магия: включаем проброс удп-трафика на порт 5060 - не работает телефония (удп тафик не проходит). Но регается сервер внутренней связи, находящийся в другом городе и работает. Убираем проброс - телефония работает, а внутренняя связь живет пока живет ее соединение.
Подскажите пожалуйста - как это все красиво исправить?
Фаерволл:
0 ;;; Added by webbox
chain=input action=accept protocol=icmp
1 ;;; Added by webbox
chain=input action=accept connection-state=established
in-interface=ether1-gateway
2 ;;; Added by webbox
chain=input action=accept connection-state=related
in-interface=ether1-gateway
4 ;;; Drop invalid connection packets
chain=input action=drop connection-state=invalid
5 ;;; Added by webbox
chain=input action=drop in-interface=ether1-gateway
6 ;;; SIP IN (UDP)
chain=forward action=accept dst-address-list=Oktell packet-mark=voip
connection-mark=voip_conn
7 ;;; SIP OUT (UDP)
chain=forward action=accept src-address-list=Oktell packet-mark=voip
connection-mark=voip_conn
8 ;;; Allow 5060,5061 > 1.106 (TCP)
chain=forward action=accept protocol=tcp dst-address-list=Oktell
dst-port=5060,5061
9 ;;; Allow OUT 5060,5061 > 1.106 (TCP)
chain=forward action=accept protocol=tcp src-port=5060,5061
10 ;;; Drop invalid connection packets
chain=forward action=drop connection-state=invalid
14 ;;; Added by webbox
chain=forward action=jump jump-target=customer
in-interface=ether1-gateway
15 ;;; Added by webbox
chain=customer action=accept connection-state=established
16 ;;; Added by webbox
chain=customer action=accept connection-state=related
19 ;;; Allow 3389,4050-4055,4059-4066,4086-4089 > 1.106 (TCP)
chain=customer action=accept protocol=tcp dst-address=192.168.1.106
dst-port=3389,4050-4055,4059-4066,4086-4089
20 ;;; Allow 4003-4005 > 1.106 (UDP)
chain=customer action=accept protocol=udp dst-port=4003-4005
21 ;;; 9000-25000 > 1.106 (UDP)
chain=customer action=accept protocol=udp dst-port=9000-25000
24 ;;; Added by webbox
chain=customer action=drop
Нат:
0 ;;; Added by webbox
chain=srcnat action=masquerade to-addresses=0.0.0.0
out-interface=ether1-gateway
14 ;;; Oktell(106) 3389
chain=dstnat action=netmap to-addresses=192.168.1.106 to-ports=3389
protocol=tcp dst-port=55667
15 ;;; Oktell(106) 4050-4055
chain=dstnat action=netmap to-addresses=192.168.1.106 to-ports=4050-4055
protocol=tcp dst-port=4050-4055
16 ;;; Oktell(106) 4059-4066
chain=dstnat action=netmap to-addresses=192.168.1.106 to-ports=4059-4066
protocol=tcp dst-port=4059-4066
17 ;;; Oktell(106) 4086-4089
chain=dstnat action=netmap to-addresses=192.168.1.106 to-ports=4086-4089
protocol=tcp dst-port=4086-4089
18 ;;; Oktell(106) 4003-4005 (UDP)
chain=dstnat action=netmap to-addresses=192.168.1.106 to-ports=4003-4005
protocol=udp dst-port=4003-4005
19 ;;; Oktell(106) 9000-25000 (UDP)
chain=dstnat action=netmap to-addresses=192.168.1.106
to-ports=9000-25000 protocol=udp dst-port=9000-25000
20 ;;; Oktell(106) 5060 (TCP)
chain=dstnat action=netmap to-addresses=192.168.1.106 to-ports=5060
protocol=tcp dst-port=5060
21 X ;;; Oktell(106) 5060 (UDP)
chain=dstnat action=netmap to-addresses=192.168.1.106 to-ports=5060
protocol=udp dst-port=5060
22 ;;; Masquerade Oktell
chain=srcnat action=masquerade protocol=udp dst-address=192.168.1.106
Mangle:
0 chain=prerouting action=mark-connection new-connection-mark=voip_conn
passthrough=yes protocol=udp dst-port=5060
1 chain=prerouting action=mark-connection new-connection-mark=voip_conn
passthrough=yes protocol=udp dst-port=5061
2 chain=prerouting action=mark-packet new-packet-mark=voip passthrough=no
connection-mark=voip_conn
Скажу также, что если отключить нат-хэлпер на 5060 и 5061, то связя остается, но вот UDP пакеты как-то странно начинают маршрутизироваться, что не доходят - слышимости нет.
