Jump to content
Калькуляторы

Не идет RTP (UDP) через OpenVPN

Здравствуйте уважаемые коллеги!

 

Нужен совет по решению проблемы:

 

Не идет трафик при заворачивании маршрута провайдерSIP на туннель openvpn.

 

Имеем следующую схему:

 

Ubuntu Server 12.04 LTS с настроенным и рабочим openvpn сервером -> Микротик (openvpn client) -> в локальной сети сервер телефонии Астериск

 

Задача в том, чтобы трафик до одного IP адреса (назовем его провайдерSIP) от Астериска шел через туннель на ubuntu server.

Сейчас ситуация такая, что микротик данное правило игнорит и все идет через основного провайдера, подключенного на микротике (проверяю через Wireshark, подключенный к микротику через пакет сниффер).

 

Заворот трафика на провайдерSIP идет через маркировку пакетов в mangle и затем, в роутах маркированные пакеты направляются на openvpn туннель.

 

Пробовал заворачивать сайты - IP подменяется, проблем нет, трафик идет через туннель. А вот с SIP - проблема. Микротик игнорит заворот и все идет через провайдера на микротике.

 

Слушал tcpdump-ом на ubuntu server - ни одного пакета не приходит при завороте провайдерSIP на туннель. Притом, что когда проверяю другие сайты, которые заворачиваю на туннель - смотрю tcpdump-ом на ubuntu server - udp пакетики ходют туда-сюда.

 

Читал что микротик не умеет в UDP, но это же касается только реализации туннеля (сейчас настроен через TCP). Неужели это касается и пропуска RTP трафика?

Edited by MetrS

Share this post


Link to post
Share on other sites

MetrS, отключите service-ports в ip-firewall, сбросьте состояние соединений в connection-tracker.

Если на микротике поднят Nat - он запоминает в connection-tracker направление соединения (исходящий интерфейс) и гонит остальные пакеты через него. Это свойство многих Liux-based систем с Nat'ом per-connection

Share this post


Link to post
Share on other sites

MetrS, отключите service-ports в ip-firewall, сбросьте состояние соединений в connection-tracker.

Если на микротике поднят Nat - он запоминает в connection-tracker направление соединения (исходящий интерфейс) и гонит остальные пакеты через него. Это свойство многих Liux-based систем с Nat'ом per-connection

Соединение пошло через туннель, спасибо, но пока SIP не подключается. Буду думать дальше.

Edited by MetrS

Share this post


Link to post
Share on other sites

Проверил все настройки еще раз, нашел ошибку в маркировке пакетов, запустил снова - ЗАРАБОТАЛО!

 

Сервис порты если отключаю, то телефония вообще не работает, транки не подключаются. Оставил сервиспорт 5060to5061.

 

Дело значит было только в "сохраненном" соединении. Спасибо!

Share this post


Link to post
Share on other sites

MetrS, пожалуйста! Сам когда-то давно так подкололся именно с телефонией.

Имейте ввиду, что если туннель упадет, роутер может попытаться снова завернуть трафик через WAN-порт на провайдера, и запомнить это соединение. Тогда при поднятии туннеля вновь возможны глюки.

Share this post


Link to post
Share on other sites

Можно добавить маршрут blackhole с таким же destination и routing-mark. Distance у него будет больше чем у маршрута через туннель. Таким образом когда туннель в статусе down, пакеты полетят в blackhole и не создадут nat connection через wan интерфейс.

Share this post


Link to post
Share on other sites

MetrS, пожалуйста! Сам когда-то давно так подкололся именно с телефонией.

Имейте ввиду, что если туннель упадет, роутер может попытаться снова завернуть трафик через WAN-порт на провайдера, и запомнить это соединение. Тогда при поднятии туннеля вновь возможны глюки.

так и происходит...

приходится следить постоянно. пробовал запрещать ходить на IP провайдера через интернет основного провайдера - все равно идет :)

Share this post


Link to post
Share on other sites

Можно добавить маршрут blackhole с таким же destination и routing-mark. Distance у него будет больше чем у маршрута через туннель. Таким образом когда туннель в статусе down, пакеты полетят в blackhole и не создадут nat connection через wan интерфейс.

Спасибо, сделал. Проблема решилась.

 

Благодарю!

Edited by MetrS

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.