Jump to content
Калькуляторы

Asterisk за натом MikroTik

Народ, ситуация следующая - в локалке стоит астер, в локалке телефоны, всё нормально. Возникла необходимость в подключении к атс извне. Поднимать туннели не всегда есть возможность. Чтобы обезопаситься - решил фильтровать по айпи. Подскажите, вот таких правил достаточно или что-то накосячил?

 

/ip firewall filter
add action=accept chain=forward comment="sip allowed" dst-port=5060 in-interface=pppoe-rostelecom protocol=udp src-address-list=sip_trusted
add action=accept chain=forward comment="sip allowed" dst-port=10000-20000 in-interface=pppoe-rostelecom protocol=udp src-address-list=sip_trusted
add action=accept chain=forward comment="sip allowed" out-interface=sfp1-vlan0122-ural protocol=udp

 

/ip firewall nat
add action=dst-nat chain=dstnat comment="sip clients" dst-port=5060 in-interface=pppoe-rostelecom protocol=udp src-address-list=sip_trusted to-addresses=192.168.122.8
add action=dst-nat chain=dstnat comment="sip clients" dst-port=10000-20000 in-interface=pppoe-rostelecom protocol=udp src-address-list=sip_trusted to-addresses=192.168.122.8

 

192.168.122.8 - адрес атс

pppoe-rostelecom - интерфейс в интернет

sfp1-vlan0122-ural - интерфейс на котором висит подсеть с атс

Edited by vnkorol

Share this post


Link to post
Share on other sites

Поднимается vpn сервер на микротике

Телефоны цепляются к этому vpn

Share this post


Link to post
Share on other sites

Телефоны цепляются к этому vpn

 

Телефоны, допустим, SNR. К какому VPN серверу можно ими подключиться?

 

На моих телефонах такой возможности нет.

Edited by vnkorol

Share this post


Link to post
Share on other sites

vnkorolникогда, НИКОГДА и ни при каких обстоятельствах не выставляется астер наружу. Для мобилок идеальным решением будет l2tp(андроид и ios из коробки умеют). Для телефонов PPPtP(не видел телефонов которые не умеют). Если вариантов с VPN нет совсем то включать fail2ban по самому хардкору, всем абонентам ставить сложные логины и пароли(даже внутренним абонентам), всем абонентам включать авторизацию только с их ip или подсети. Много тонких настроек в астере(отключить гостевые звонки, сделать жесткие правила диалплана по выходу в город, включить твики на плевки ошибок сканерам атсок).

Но в целом мой вам совет, лучше всеми правдами и не правдами прячьтесь в VPN, желательно в l2tp, еще желательно абонетам цепляться не по паролям а по сертификатам.

Share this post


Link to post
Share on other sites

dimana90

А в чем проблема, если по айпи режем соединения нежелательные на роутере? Про телефон - навскидку у меня вот такие:

http://shop.nag.ru/catalog/archive/07753.SNR-VP-7010

http://www.gigaset.com/ru_ru/gigaset-a510-ip-black/

http://shop.nag.ru/catalog/archive/10436.SNR-VP-7040-P

и еще старенькие шлюзы дликовские

 

Не умеет ни один :(

Edited by vnkorol

Share this post


Link to post
Share on other sites

dimana90

А в чем проблема, если по айпи режем соединения нежелательные на роутере? Про телефон - навскидку у меня вот такие:

http://shop.nag.ru/catalog/archive/07753.SNR-VP-7010

http://www.gigaset.com/ru_ru/gigaset-a510-ip-black/

http://shop.nag.ru/catalog/archive/10436.SNR-VP-7040-P

и еще старенькие шлюзы дликовские

 

Не умеет ни один :(

Если у вас везде статичные белые внешние IPшники то проблем меньше но не избавит полностью. Астериск на самом деле очень хрупкий, в худшем случае какой нибудь школьник может по приколу поддосить по udp\tcp с подменой source адреса, могут начаться проблемы в виде заиканий звонков, разрывов или вообще отвала модулей астера. В общем лучше придумать способ спрятать весь трафик в vpn, поставить телефон за компом который будет поднимать VPN или купить самый душманский роутер который умеет поднимать VPN(дешевенький длинк с OpenWRT, или самый дешевый микротик). Да и кроме того VPN снизит число гемороев с прохождениями NAT'а и вообще может пригодиться в дальнейшем если потребуется какойнибудь RDP\офисные шары и т.д.

Просто скажу честно что гемороя с прямым соединением намного больше чем работать через VPN.

Share this post


Link to post
Share on other sites

Спасибо за советы. Остановился на туннелях. Но столкнулся с одной проблемой. На роутере, за натом которого астер, поднят pptp сервер, на роутере, на котором телефон - клиент. Соединяется, всё работает, но почему-то адрес телефона подменяется на адрес шлюза атски.

Share this post


Link to post
Share on other sites

...На роутере, за натом которого астер, поднят pptp сервер, на роутере, на котором телефон - клиент...

Эм, что то тут неправильно или не до конца расписано =D

 

Соединяется, всё работает, но почему-то адрес телефона подменяется на адрес шлюза атски.

Может всетаки адрес не шлюза, а из пула vpn клиентов ? ;-)

 

Вообще в целом схема примерно такая:

Дефакто: локальные IP в сетке из 1 пула(например 192.168.10.0\24), VPN клиенты в другом пуле(192.168.20.0\24).

1) На микротике открыт порт для PPTP.

2) На микротике поднят PPTP сервер.

3) На микротике разрулены маршруты для VPN клиентов для доступа только к внутреннему IP астериска и обратно к пулу клиентов VPN.

4) На астериске прописан пул VPN клиентов как локальный.

5) На астериске для всех клиентов которые сидят через VPN указано NAT=no.

Share this post


Link to post
Share on other sites

почему-то адрес телефона подменяется на адрес шлюза атски.

Видимо, у вас где-то закралась ошибка в правило src-nat/masquerade, вот адрес и подменяется. При перенастройке фаервола также удалите уже имеющееся соединение из connection-tracker, иначе оно уже "запомненное" будет натить телефон до перезагрузки роутера.

Share this post


Link to post
Share on other sites

nkusnetsov

 

Вот такое правило

27 ;;; default configuration

chain=srcnat action=masquerade log=no log-prefix=""

 

Видимо, оно и натит через маршрут по туннелю...

Share this post


Link to post
Share on other sites

Добрый день коллеги! Что бы не создавать новую тему продолжу тут. Имеется станция si2000 которая за NAT. Есть микротик у которого выход в интернет и плюс еще адрес из NAT сети в которой станция. У абонента будет шлюз отправлять запрос на микротик а тот уже будет переадресовать на станцию. Прокидывал порты 5060,5061. Но регистрацию так и не получил шлюз.  На микротике выключал что бы он SIP контролировал. Через впн получалось завести а тут как то не хочет.

Share this post


Link to post
Share on other sites

показывайте как прокидывали, и еще правила filter

 

становились torchем на локальный интерфейс, пакеты на станцию бегут?

Share this post


Link to post
Share on other sites
Спойлер

/ip firewall filter
add action=drop chain=input comment="Drop invalid" connection-state=invalid
add action=accept chain=input comment="Allow related" connection-state=related
add action=accept chain=forward connection-state=related
add action=accept chain=input comment="Allow Estabilished" connection-state=established
add action=accept chain=input comment="acces to vlan 2" in-interface=v2_Manag src-address=192.168.0.0/20
add action=accept chain=input comment=Ping protocol=icmp
add action=accept chain=forward protocol=icmp
add action=accept chain=input comment=PPTP dst-port=1723 in-interface=v444_IT log=yes log-prefix=pppt_serv protocol=tcp
add action=accept chain=input comment="acces fron vlan 100" in-interface=v100_iptel src-address=172.23.4.0/22
add action=accept chain=input comment=DNS dst-port=53 in-interface=Office_NW protocol=udp
add action=accept chain=input dst-port=8291,80 in-interface=v2_Manag protocol=tcp src-address=192.168.0.0/20
add action=accept chain=input comment="Access from Office" src-address=192.168.22.0/24
add action=accept chain=input in-interface=v444_IT port=5060 protocol=udp src-address=91.x.x.x
add action=drop chain=input comment="Drop other" log=yes log-prefix=Drop
add action=accept chain=forward
/ip firewall nat
add action=masquerade chain=srcnat comment="Office NAT to Inet" out-interface=v444_IT src-address=192.168.22.0/24 to-addresses=195.x.x.x
add action=masquerade chain=srcnat comment="Office to manag" src-address=192.168.22.0/24
add action=dst-nat chain=dstnat dst-address=195.x.x.x in-interface=v444_IT log=yes log-prefix=iptel protocol=udp src-address=91.x.x.x to-addresses=172.23.5.2
/ip firewall service-port
set ftp disabled=yes
set tftp disabled=yes
set sip disabled=yes

Роутер готовиться на замену старому серверу в офисе.

192.168.22.0 сеть манагеров.

192.168.0.0 сеть некоторого оборудования.

172.23.5.2  станция

172.23.6.254 адрес микротика (на станции прописано что оборудование с номером имеет ip 172.23.6.254)

195.х.х.х микротик во внешке

91.х.х.х клиент

Если шлюз вставить в сеть манагером и сказать что адрес станции 172.23.5.2 то регистрация проходит и все работает.

Edited by arhead

Share this post


Link to post
Share on other sites

А как у вас станция в инет пойдет c 172.23.5.2, если только 22.0/24 маскарадится ?

 

Также второе правило маскарада включает в себя действие первого. Согласно первого правила идет подмена исходного адреса на указанный только для пакетов на указанном out-interface, а согласно второго правила идет подмена исходного адреса на ВСЕХ out-interface, в том числе и "v444_IT".

Share this post


Link to post
Share on other sites
8 часов назад, McSea сказал:

А как у вас станция в инет пойдет c 172.23.5.2, если только 22.0/24 маскарадится ?

Спасибо за подсказку для первых правил. Я микротиком только недавно начал работать. Получается сделать правило маскарадинга для 172.23.5.2 что бы станция видела инет?

Share this post


Link to post
Share on other sites

в правиле srcnat просто укажите out-interface, не указывайте src-address

add action=masquerade chain=srcnat comment="Office NAT to Inet" out-interface=v444_IT

и в правиле Office to manag укажите out-interface

Edited by .None

Share this post


Link to post
Share on other sites
2 часа назад, .None сказал:

в правиле srcnat просто укажите out-interface, не указывайте src-address

Спасибо вроде заработало. :)

Share this post


Link to post
Share on other sites
add action=masquerade chain=srcnat comment="NAT to Inet" out-interface=v444_IT src-address=192.168.22.0/24 to-addresses=195.х.х.х
add action=masquerade chain=srcnat comment="Office to manag" out-interface=v2_Manag src-address=192.168.22.0/24
add action=dst-nat chain=dstnat comment="IpTel" dst-address=195.х.х.х in-interface=v444_IT log-prefix=iptel protocol=udp src-address=91.х.х.х src-port=5060 to-addresses=172.23.5.2 to-ports=5060
add action=masquerade chain=srcnat out-interface=v100_iptel protocol=udp src-address=91.х.х.х src-port=5060 to-addresses=195.х.х.х

Сделал так. Вроде работает но если включено контролирование SIP. Без нее регистрация не проходит.

Edited by arhead

Share this post


Link to post
Share on other sites

не вижу проблемы выставлять звезду наружу, для особых параноиков делается dnat с порта , отличного от 5060

Share this post


Link to post
Share on other sites

умеет, но это там не нужно, при должной настройке звезды

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this