[MetrS]

Здравствуйте уважаемые коллеги!

 

Нужен совет по решению проблемы:

 

Не идет трафик при заворачивании маршрута провайдерSIP на туннель openvpn.

 

Имеем следующую схему:

 

Ubuntu Server 12.04 LTS с настроенным и рабочим openvpn сервером -> Микротик (openvpn client) -> в локальной сети сервер телефонии Астериск

 

Задача в том, чтобы трафик до одного IP адреса (назовем его провайдерSIP) от Астериска шел через туннель на ubuntu server.

Сейчас ситуация такая, что микротик данное правило игнорит и все идет через основного провайдера, подключенного на микротике (проверяю через Wireshark, подключенный к микротику через пакет сниффер).

 

Заворот трафика на провайдерSIP идет через маркировку пакетов в mangle и затем, в роутах маркированные пакеты направляются на openvpn туннель.

 

Пробовал заворачивать сайты - IP подменяется, проблем нет, трафик идет через туннель. А вот с SIP - проблема. Микротик игнорит заворот и все идет через провайдера на микротике.

 

Слушал tcpdump-ом на ubuntu server - ни одного пакета не приходит при завороте провайдерSIP на туннель. Притом, что когда проверяю другие сайты, которые заворачиваю на туннель - смотрю tcpdump-ом на ubuntu server - udp пакетики ходют туда-сюда.

 

Читал что микротик не умеет в UDP, но это же касается только реализации туннеля (сейчас настроен через TCP). Неужели это касается и пропуска RTP трафика?

Изменено 21 сентября, 2016 пользователем MetrS

[nkusnetsov]

MetrS, отключите service-ports в ip-firewall, сбросьте состояние соединений в connection-tracker.

Если на микротике поднят Nat - он запоминает в connection-tracker направление соединения (исходящий интерфейс) и гонит остальные пакеты через него. Это свойство многих Liux-based систем с Nat'ом per-connection

[MetrS]

MetrS, отключите service-ports в ip-firewall, сбросьте состояние соединений в connection-tracker.

Если на микротике поднят Nat - он запоминает в connection-tracker направление соединения (исходящий интерфейс) и гонит остальные пакеты через него. Это свойство многих Liux-based систем с Nat'ом per-connection

Соединение пошло через туннель, спасибо, но пока SIP не подключается. Буду думать дальше.

Изменено 21 сентября, 2016 пользователем MetrS

[MetrS]

Проверил все настройки еще раз, нашел ошибку в маркировке пакетов, запустил снова - ЗАРАБОТАЛО!

 

Сервис порты если отключаю, то телефония вообще не работает, транки не подключаются. Оставил сервиспорт 5060to5061.

 

Дело значит было только в "сохраненном" соединении. Спасибо!

[nkusnetsov]

MetrS, пожалуйста! Сам когда-то давно так подкололся именно с телефонией.

Имейте ввиду, что если туннель упадет, роутер может попытаться снова завернуть трафик через WAN-порт на провайдера, и запомнить это соединение. Тогда при поднятии туннеля вновь возможны глюки.

[starik-i-more]

Можно добавить маршрут blackhole с таким же destination и routing-mark. Distance у него будет больше чем у маршрута через туннель. Таким образом когда туннель в статусе down, пакеты полетят в blackhole и не создадут nat connection через wan интерфейс.

[MetrS]

MetrS, пожалуйста! Сам когда-то давно так подкололся именно с телефонией.

Имейте ввиду, что если туннель упадет, роутер может попытаться снова завернуть трафик через WAN-порт на провайдера, и запомнить это соединение. Тогда при поднятии туннеля вновь возможны глюки.

так и происходит...

приходится следить постоянно. пробовал запрещать ходить на IP провайдера через интернет основного провайдера - все равно идет :)

[MetrS]

Можно добавить маршрут blackhole с таким же destination и routing-mark. Distance у него будет больше чем у маршрута через туннель. Таким образом когда туннель в статусе down, пакеты полетят в blackhole и не создадут nat connection через wan интерфейс.

Спасибо, сделал. Проблема решилась.

 

Благодарю!

Изменено 11 октября, 2016 пользователем MetrS