[FAMAS11]

Доброго дня!

 

Имею RB800, 3 интерфейса:

0 R ether1-voip ether 1500 1600 9500

1 R ether2-gateway ether 1500 1600 9500

2 R ether3-local ether 1500 1600 9116

 

адресация:

# ADDRESS NETWORK INTERFACE

0 111.111.111.111/26 111.111.111.107 ether2-gateway

1 192.168.88.1/24 192.168.88.0 ether3-local

2 222.222.222.222/27 222.222.222.212 ether1-voip

 

маршруты:

0 A S 0.0.0.0/0 111.111.111.110 1

1 A S 222.222.0.0/24 222.222.222.212 10

2 A S 222.222.222.0/24 222.222.222.212 10

3 ADC 222.222.222.212/27 222.222.222.222 ether1-voip 0

4 ADC 111.111.111.107/26 111.111.111.111 ether2-gateway 0

5 ADC 192.168.88.0/24 192.168.88.1 ether3-local 0

 

NAT:

0 chain=srcnat action=masquerade out-interface=ether2-gateway log=no

log-prefix=""

 

имею 2 проблемы:

1) уже в этой конфигурации провайдер ругается, что я "подменяю маршрутизатор" в его VOIP сети (222.222.222.212/27) и тушит мне порт. не понимаю, что ему не нравится и как это исправить, внятных объяснений телефонный саппорт не дал.

2) с микротика voip сеть естественно пингуется, всё хорошо, а вот с машин в локальной сети 192.168.88.1/24 устройства за сетями 222.222.0.0/24 и 222.222.222.0/24 не видны. подскажите, как корректно прописать правила ната, чтобы устройства внутри локальной сети 192.168.88.1/24 по умолчанию ходили в интернет через ether2-gateway, а в случае необходимости достучаться до адресов в сетях 222.222.0.0/24 и 222.222.222.212/27 выходили через ether1-voip?

[Tau]

1) уже в этой конфигурации провайдер ругается, что я "подменяю маршрутизатор" в его VOIP сети (222.222.222.212/27) и тушит мне порт. не понимаю, что ему не нравится и как это исправить, внятных объяснений телефонный саппорт не дал.

arp-proxy?

В Winbox в Interfaces, на ether1-voip запись ARP, должно быть Enabled, а не arp-proxy.

[s.lobanov]

Если 3 интерфейса, то одного мало. Надо 3 микротика минимум

[myth]

и еще 4 для их связи между собой))

[FAMAS11]

1) уже в этой конфигурации провайдер ругается, что я "подменяю маршрутизатор" в его VOIP сети (222.222.222.212/27) и тушит мне порт. не понимаю, что ему не нравится и как это исправить, внятных объяснений телефонный саппорт не дал.

arp-proxy?

В Winbox в Interfaces, на ether1-voip запись ARP, должно быть Enabled, а не arp-proxy.

Верно! Поправил, спасибо!

С правилом ната для доступа из локалки в воип подсети подскажет кто?

[nkusnetsov]

FAMAS11, а у вас из локалки много устройств в VoIP-сеть хочет идти? Внутренняя IP-PBX есть? Какой протокол используется, sip?

[FAMAS11]

FAMAS11, а у вас из локалки много устройств в VoIP-сеть хочет идти? Внутренняя IP-PBX есть? Какой протокол используется, sip?

из локалки всего одно, оно же и ip-pbx. Используется sip. Предугадаю следующий вопрос - статический маршрут на самом устройстве прописать не представляется возможным.

[.None]

NAT:

0 chain=srcnat action=masquerade out-interface=ether2-gateway log=no

log-prefix=""

по идее для VoIP такое же правило, только out-interface=ether1-voip

 

или я чего-то не допонял

[eoleg]

По идее всеё должно быть доступно если вы не маркируете пакеты для роутинга?

а трассировку задайте на 222.222.222.212/27 и посмотрите куда вас заносит, в сеть провайдра скорее всего.

[nkusnetsov]

2) с микротика voip сеть естественно пингуется, всё хорошо, а вот с машин в локальной сети 192.168.88.1/24 устройства за сетями 222.222.0.0/24 и 222.222.222.0/24 не видны. подскажите, как корректно прописать правила ната, чтобы устройства внутри локальной сети 192.168.88.1/24 по умолчанию ходили в интернет через ether2-gateway, а в случае необходимости достучаться до адресов в сетях 222.222.0.0/24 и 222.222.222.212/27 выходили через ether1-voip?

Фишка в том, что VoIP провайдер, скорее всего не знает про сеть 192.168.88.0/24. Пакеты пришедшие к нему с этих адресов или прибьются или уйдут в его собственный default route, а значит, к вашему устройству не вернутся и связи не будет.

Выходов два:

1) полуфантастический. договориться с провайдером, чтобы он маршрутизировал пакеты в VoIP-сети для подсети 192.168.88.0/24 на ваш шлюз 222.222.222.212

2) более реальный. Сделать на RB800 только для IP-PBX src-nat и dst-nat в/из сети VoIP. Забрать на свою PBX все номера какие дает VoIP-провайдер. Собственных VoIP-клиентов уже регистрировать на своей IP-PBX.

Изменено 12 сентября, 2016 пользователем nkusnetsov

[nkusnetsov]

из локалки всего одно, оно же и ip-pbx.

Чудесно. Например, даем адрес внутренней IP-PBX 192.168.88.254/24.

Пишем src-nat: "add chain=srcnat action=masquerade out-interface=ether1-gateway log=no protocol=udp src-address=192.168.88.254"

Пишем dst-nat: "add action=dst-nat chain=dstnat in-interface=ether1-gateway protocol=udp to-addresses=192.168.88.254"

Это по-простому. Можно в dst-nat еще src-address-list указать для безопасности.