Jump to content

Не идет RTP (UDP) через OpenVPN

MetrS
 Share

Recommended Posts

MetrS

MetrS

Posted
Posted (edited)

Здравствуйте уважаемые коллеги!

 

Нужен совет по решению проблемы:

 

Не идет трафик при заворачивании маршрута провайдерSIP на туннель openvpn.

 

Имеем следующую схему:

 

Ubuntu Server 12.04 LTS с настроенным и рабочим openvpn сервером -> Микротик (openvpn client) -> в локальной сети сервер телефонии Астериск

 

Задача в том, чтобы трафик до одного IP адреса (назовем его провайдерSIP) от Астериска шел через туннель на ubuntu server.

Сейчас ситуация такая, что микротик данное правило игнорит и все идет через основного провайдера, подключенного на микротике (проверяю через Wireshark, подключенный к микротику через пакет сниффер).

 

Заворот трафика на провайдерSIP идет через маркировку пакетов в mangle и затем, в роутах маркированные пакеты направляются на openvpn туннель.

 

Пробовал заворачивать сайты - IP подменяется, проблем нет, трафик идет через туннель. А вот с SIP - проблема. Микротик игнорит заворот и все идет через провайдера на микротике.

 

Слушал tcpdump-ом на ubuntu server - ни одного пакета не приходит при завороте провайдерSIP на туннель. Притом, что когда проверяю другие сайты, которые заворачиваю на туннель - смотрю tcpdump-ом на ubuntu server - udp пакетики ходют туда-сюда.

 

Читал что микротик не умеет в UDP, но это же касается только реализации туннеля (сейчас настроен через TCP). Неужели это касается и пропуска RTP трафика?

Edited by MetrS
nkusnetsov

nkusnetsov

Posted
Posted

MetrS, отключите service-ports в ip-firewall, сбросьте состояние соединений в connection-tracker.

Если на микротике поднят Nat - он запоминает в connection-tracker направление соединения (исходящий интерфейс) и гонит остальные пакеты через него. Это свойство многих Liux-based систем с Nat'ом per-connection

MetrS

MetrS

Posted
  • Author
Posted (edited)

MetrS, отключите service-ports в ip-firewall, сбросьте состояние соединений в connection-tracker.

Если на микротике поднят Nat - он запоминает в connection-tracker направление соединения (исходящий интерфейс) и гонит остальные пакеты через него. Это свойство многих Liux-based систем с Nat'ом per-connection

Соединение пошло через туннель, спасибо, но пока SIP не подключается. Буду думать дальше.

Edited by MetrS
MetrS

MetrS

Posted
  • Author
Posted

Проверил все настройки еще раз, нашел ошибку в маркировке пакетов, запустил снова - ЗАРАБОТАЛО!

 

Сервис порты если отключаю, то телефония вообще не работает, транки не подключаются. Оставил сервиспорт 5060to5061.

 

Дело значит было только в "сохраненном" соединении. Спасибо!

nkusnetsov

nkusnetsov

Posted
Posted

MetrS, пожалуйста! Сам когда-то давно так подкололся именно с телефонией.

Имейте ввиду, что если туннель упадет, роутер может попытаться снова завернуть трафик через WAN-порт на провайдера, и запомнить это соединение. Тогда при поднятии туннеля вновь возможны глюки.

starik-i-more

starik-i-more

Posted
Posted

Можно добавить маршрут blackhole с таким же destination и routing-mark. Distance у него будет больше чем у маршрута через туннель. Таким образом когда туннель в статусе down, пакеты полетят в blackhole и не создадут nat connection через wan интерфейс.

  • 3 weeks later...
MetrS

MetrS

Posted
  • Author
Posted

MetrS, пожалуйста! Сам когда-то давно так подкололся именно с телефонией.

Имейте ввиду, что если туннель упадет, роутер может попытаться снова завернуть трафик через WAN-порт на провайдера, и запомнить это соединение. Тогда при поднятии туннеля вновь возможны глюки.

так и происходит...

приходится следить постоянно. пробовал запрещать ходить на IP провайдера через интернет основного провайдера - все равно идет :)

MetrS

MetrS

Posted
  • Author
Posted (edited)

Можно добавить маршрут blackhole с таким же destination и routing-mark. Distance у него будет больше чем у маршрута через туннель. Таким образом когда туннель в статусе down, пакеты полетят в blackhole и не создадут nat connection через wan интерфейс.

Спасибо, сделал. Проблема решилась.

 

Благодарю!

Edited by MetrS

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
 Share
Go to topic listing
×
×
  • Create New...
На сайте используются файлы cookie и сервисы аналитики для корректной работы форума и улучшения качества обслуживания. Продолжая использовать сайт, вы соглашаетесь с использованием файлов cookie и с Политикой конфиденциальности.