MetrS Posted September 21, 2016 (edited) · Report post Здравствуйте уважаемые коллеги! Нужен совет по решению проблемы: Не идет трафик при заворачивании маршрута провайдерSIP на туннель openvpn. Имеем следующую схему: Ubuntu Server 12.04 LTS с настроенным и рабочим openvpn сервером -> Микротик (openvpn client) -> в локальной сети сервер телефонии Астериск Задача в том, чтобы трафик до одного IP адреса (назовем его провайдерSIP) от Астериска шел через туннель на ubuntu server. Сейчас ситуация такая, что микротик данное правило игнорит и все идет через основного провайдера, подключенного на микротике (проверяю через Wireshark, подключенный к микротику через пакет сниффер). Заворот трафика на провайдерSIP идет через маркировку пакетов в mangle и затем, в роутах маркированные пакеты направляются на openvpn туннель. Пробовал заворачивать сайты - IP подменяется, проблем нет, трафик идет через туннель. А вот с SIP - проблема. Микротик игнорит заворот и все идет через провайдера на микротике. Слушал tcpdump-ом на ubuntu server - ни одного пакета не приходит при завороте провайдерSIP на туннель. Притом, что когда проверяю другие сайты, которые заворачиваю на туннель - смотрю tcpdump-ом на ubuntu server - udp пакетики ходют туда-сюда. Читал что микротик не умеет в UDP, но это же касается только реализации туннеля (сейчас настроен через TCP). Неужели это касается и пропуска RTP трафика? Edited September 21, 2016 by MetrS Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
nkusnetsov Posted September 21, 2016 · Report post MetrS, отключите service-ports в ip-firewall, сбросьте состояние соединений в connection-tracker. Если на микротике поднят Nat - он запоминает в connection-tracker направление соединения (исходящий интерфейс) и гонит остальные пакеты через него. Это свойство многих Liux-based систем с Nat'ом per-connection Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
MetrS Posted September 21, 2016 (edited) · Report post MetrS, отключите service-ports в ip-firewall, сбросьте состояние соединений в connection-tracker. Если на микротике поднят Nat - он запоминает в connection-tracker направление соединения (исходящий интерфейс) и гонит остальные пакеты через него. Это свойство многих Liux-based систем с Nat'ом per-connection Соединение пошло через туннель, спасибо, но пока SIP не подключается. Буду думать дальше. Edited September 21, 2016 by MetrS Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
MetrS Posted September 21, 2016 · Report post Проверил все настройки еще раз, нашел ошибку в маркировке пакетов, запустил снова - ЗАРАБОТАЛО! Сервис порты если отключаю, то телефония вообще не работает, транки не подключаются. Оставил сервиспорт 5060to5061. Дело значит было только в "сохраненном" соединении. Спасибо! Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
nkusnetsov Posted September 22, 2016 · Report post MetrS, пожалуйста! Сам когда-то давно так подкололся именно с телефонией. Имейте ввиду, что если туннель упадет, роутер может попытаться снова завернуть трафик через WAN-порт на провайдера, и запомнить это соединение. Тогда при поднятии туннеля вновь возможны глюки. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
starik-i-more Posted September 25, 2016 · Report post Можно добавить маршрут blackhole с таким же destination и routing-mark. Distance у него будет больше чем у маршрута через туннель. Таким образом когда туннель в статусе down, пакеты полетят в blackhole и не создадут nat connection через wan интерфейс. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
MetrS Posted October 10, 2016 · Report post MetrS, пожалуйста! Сам когда-то давно так подкололся именно с телефонией. Имейте ввиду, что если туннель упадет, роутер может попытаться снова завернуть трафик через WAN-порт на провайдера, и запомнить это соединение. Тогда при поднятии туннеля вновь возможны глюки. так и происходит... приходится следить постоянно. пробовал запрещать ходить на IP провайдера через интернет основного провайдера - все равно идет :) Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
MetrS Posted October 10, 2016 (edited) · Report post Можно добавить маршрут blackhole с таким же destination и routing-mark. Distance у него будет больше чем у маршрута через туннель. Таким образом когда туннель в статусе down, пакеты полетят в blackhole и не создадут nat connection через wan интерфейс. Спасибо, сделал. Проблема решилась. Благодарю! Edited October 11, 2016 by MetrS Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...