vnkorol Posted October 26, 2016 Posted October 26, 2016 (edited) Народ, ситуация следующая - в локалке стоит астер, в локалке телефоны, всё нормально. Возникла необходимость в подключении к атс извне. Поднимать туннели не всегда есть возможность. Чтобы обезопаситься - решил фильтровать по айпи. Подскажите, вот таких правил достаточно или что-то накосячил? /ip firewall filter add action=accept chain=forward comment="sip allowed" dst-port=5060 in-interface=pppoe-rostelecom protocol=udp src-address-list=sip_trusted add action=accept chain=forward comment="sip allowed" dst-port=10000-20000 in-interface=pppoe-rostelecom protocol=udp src-address-list=sip_trusted add action=accept chain=forward comment="sip allowed" out-interface=sfp1-vlan0122-ural protocol=udp /ip firewall nat add action=dst-nat chain=dstnat comment="sip clients" dst-port=5060 in-interface=pppoe-rostelecom protocol=udp src-address-list=sip_trusted to-addresses=192.168.122.8 add action=dst-nat chain=dstnat comment="sip clients" dst-port=10000-20000 in-interface=pppoe-rostelecom protocol=udp src-address-list=sip_trusted to-addresses=192.168.122.8 192.168.122.8 - адрес атс pppoe-rostelecom - интерфейс в интернет sfp1-vlan0122-ural - интерфейс на котором висит подсеть с атс Edited October 26, 2016 by vnkorol Вставить ник Quote
DobroFenix Posted October 26, 2016 Posted October 26, 2016 Поднимается vpn сервер на микротике Телефоны цепляются к этому vpn Вставить ник Quote
vnkorol Posted October 26, 2016 Author Posted October 26, 2016 (edited) Телефоны цепляются к этому vpn Телефоны, допустим, SNR. К какому VPN серверу можно ими подключиться? На моих телефонах такой возможности нет. Edited October 26, 2016 by vnkorol Вставить ник Quote
dimana90 Posted October 26, 2016 Posted October 26, 2016 vnkorolникогда, НИКОГДА и ни при каких обстоятельствах не выставляется астер наружу. Для мобилок идеальным решением будет l2tp(андроид и ios из коробки умеют). Для телефонов PPPtP(не видел телефонов которые не умеют). Если вариантов с VPN нет совсем то включать fail2ban по самому хардкору, всем абонентам ставить сложные логины и пароли(даже внутренним абонентам), всем абонентам включать авторизацию только с их ip или подсети. Много тонких настроек в астере(отключить гостевые звонки, сделать жесткие правила диалплана по выходу в город, включить твики на плевки ошибок сканерам атсок). Но в целом мой вам совет, лучше всеми правдами и не правдами прячьтесь в VPN, желательно в l2tp, еще желательно абонетам цепляться не по паролям а по сертификатам. Вставить ник Quote
vnkorol Posted October 26, 2016 Author Posted October 26, 2016 (edited) dimana90 А в чем проблема, если по айпи режем соединения нежелательные на роутере? Про телефон - навскидку у меня вот такие: http://shop.nag.ru/catalog/archive/07753.SNR-VP-7010 http://www.gigaset.com/ru_ru/gigaset-a510-ip-black/ http://shop.nag.ru/catalog/archive/10436.SNR-VP-7040-P и еще старенькие шлюзы дликовские Не умеет ни один :( Edited October 26, 2016 by vnkorol Вставить ник Quote
DRiVen Posted October 26, 2016 Posted October 26, 2016 Поставьте защиту от брута по 5060/udp, что-то типа этого. Вставить ник Quote
dimana90 Posted October 26, 2016 Posted October 26, 2016 dimana90 А в чем проблема, если по айпи режем соединения нежелательные на роутере? Про телефон - навскидку у меня вот такие: http://shop.nag.ru/catalog/archive/07753.SNR-VP-7010 http://www.gigaset.com/ru_ru/gigaset-a510-ip-black/ http://shop.nag.ru/catalog/archive/10436.SNR-VP-7040-P и еще старенькие шлюзы дликовские Не умеет ни один :( Если у вас везде статичные белые внешние IPшники то проблем меньше но не избавит полностью. Астериск на самом деле очень хрупкий, в худшем случае какой нибудь школьник может по приколу поддосить по udp\tcp с подменой source адреса, могут начаться проблемы в виде заиканий звонков, разрывов или вообще отвала модулей астера. В общем лучше придумать способ спрятать весь трафик в vpn, поставить телефон за компом который будет поднимать VPN или купить самый душманский роутер который умеет поднимать VPN(дешевенький длинк с OpenWRT, или самый дешевый микротик). Да и кроме того VPN снизит число гемороев с прохождениями NAT'а и вообще может пригодиться в дальнейшем если потребуется какойнибудь RDP\офисные шары и т.д. Просто скажу честно что гемороя с прямым соединением намного больше чем работать через VPN. Вставить ник Quote
vnkorol Posted October 27, 2016 Author Posted October 27, 2016 Спасибо за советы. Остановился на туннелях. Но столкнулся с одной проблемой. На роутере, за натом которого астер, поднят pptp сервер, на роутере, на котором телефон - клиент. Соединяется, всё работает, но почему-то адрес телефона подменяется на адрес шлюза атски. Вставить ник Quote
dimana90 Posted October 27, 2016 Posted October 27, 2016 ...На роутере, за натом которого астер, поднят pptp сервер, на роутере, на котором телефон - клиент... Эм, что то тут неправильно или не до конца расписано =D Соединяется, всё работает, но почему-то адрес телефона подменяется на адрес шлюза атски. Может всетаки адрес не шлюза, а из пула vpn клиентов ? ;-) Вообще в целом схема примерно такая: Дефакто: локальные IP в сетке из 1 пула(например 192.168.10.0\24), VPN клиенты в другом пуле(192.168.20.0\24). 1) На микротике открыт порт для PPTP. 2) На микротике поднят PPTP сервер. 3) На микротике разрулены маршруты для VPN клиентов для доступа только к внутреннему IP астериска и обратно к пулу клиентов VPN. 4) На астериске прописан пул VPN клиентов как локальный. 5) На астериске для всех клиентов которые сидят через VPN указано NAT=no. Вставить ник Quote
nkusnetsov Posted October 28, 2016 Posted October 28, 2016 почему-то адрес телефона подменяется на адрес шлюза атски. Видимо, у вас где-то закралась ошибка в правило src-nat/masquerade, вот адрес и подменяется. При перенастройке фаервола также удалите уже имеющееся соединение из connection-tracker, иначе оно уже "запомненное" будет натить телефон до перезагрузки роутера. Вставить ник Quote
vnkorol Posted October 29, 2016 Author Posted October 29, 2016 nkusnetsov Вот такое правило 27 ;;; default configuration chain=srcnat action=masquerade log=no log-prefix="" Видимо, оно и натит через маршрут по туннелю... Вставить ник Quote
arhead Posted December 25, 2017 Posted December 25, 2017 Добрый день коллеги! Что бы не создавать новую тему продолжу тут. Имеется станция si2000 которая за NAT. Есть микротик у которого выход в интернет и плюс еще адрес из NAT сети в которой станция. У абонента будет шлюз отправлять запрос на микротик а тот уже будет переадресовать на станцию. Прокидывал порты 5060,5061. Но регистрацию так и не получил шлюз. На микротике выключал что бы он SIP контролировал. Через впн получалось завести а тут как то не хочет. Вставить ник Quote
.None Posted December 25, 2017 Posted December 25, 2017 показывайте как прокидывали, и еще правила filter становились torchем на локальный интерфейс, пакеты на станцию бегут? Вставить ник Quote
arhead Posted December 25, 2017 Posted December 25, 2017 (edited) Спойлер /ip firewall filter add action=drop chain=input comment="Drop invalid" connection-state=invalid add action=accept chain=input comment="Allow related" connection-state=related add action=accept chain=forward connection-state=related add action=accept chain=input comment="Allow Estabilished" connection-state=established add action=accept chain=input comment="acces to vlan 2" in-interface=v2_Manag src-address=192.168.0.0/20 add action=accept chain=input comment=Ping protocol=icmp add action=accept chain=forward protocol=icmp add action=accept chain=input comment=PPTP dst-port=1723 in-interface=v444_IT log=yes log-prefix=pppt_serv protocol=tcp add action=accept chain=input comment="acces fron vlan 100" in-interface=v100_iptel src-address=172.23.4.0/22 add action=accept chain=input comment=DNS dst-port=53 in-interface=Office_NW protocol=udp add action=accept chain=input dst-port=8291,80 in-interface=v2_Manag protocol=tcp src-address=192.168.0.0/20 add action=accept chain=input comment="Access from Office" src-address=192.168.22.0/24 add action=accept chain=input in-interface=v444_IT port=5060 protocol=udp src-address=91.x.x.x add action=drop chain=input comment="Drop other" log=yes log-prefix=Drop add action=accept chain=forward /ip firewall nat add action=masquerade chain=srcnat comment="Office NAT to Inet" out-interface=v444_IT src-address=192.168.22.0/24 to-addresses=195.x.x.x add action=masquerade chain=srcnat comment="Office to manag" src-address=192.168.22.0/24 add action=dst-nat chain=dstnat dst-address=195.x.x.x in-interface=v444_IT log=yes log-prefix=iptel protocol=udp src-address=91.x.x.x to-addresses=172.23.5.2 /ip firewall service-port set ftp disabled=yes set tftp disabled=yes set sip disabled=yes Роутер готовиться на замену старому серверу в офисе. 192.168.22.0 сеть манагеров. 192.168.0.0 сеть некоторого оборудования. 172.23.5.2 станция 172.23.6.254 адрес микротика (на станции прописано что оборудование с номером имеет ip 172.23.6.254) 195.х.х.х микротик во внешке 91.х.х.х клиент Если шлюз вставить в сеть манагером и сказать что адрес станции 172.23.5.2 то регистрация проходит и все работает. Edited December 25, 2017 by arhead Вставить ник Quote
McSea Posted December 25, 2017 Posted December 25, 2017 А как у вас станция в инет пойдет c 172.23.5.2, если только 22.0/24 маскарадится ? Также второе правило маскарада включает в себя действие первого. Согласно первого правила идет подмена исходного адреса на указанный только для пакетов на указанном out-interface, а согласно второго правила идет подмена исходного адреса на ВСЕХ out-interface, в том числе и "v444_IT". Вставить ник Quote
arhead Posted December 26, 2017 Posted December 26, 2017 8 часов назад, McSea сказал: А как у вас станция в инет пойдет c 172.23.5.2, если только 22.0/24 маскарадится ? Спасибо за подсказку для первых правил. Я микротиком только недавно начал работать. Получается сделать правило маскарадинга для 172.23.5.2 что бы станция видела инет? Вставить ник Quote
.None Posted December 26, 2017 Posted December 26, 2017 (edited) в правиле srcnat просто укажите out-interface, не указывайте src-address add action=masquerade chain=srcnat comment="Office NAT to Inet" out-interface=v444_IT и в правиле Office to manag укажите out-interface Edited December 26, 2017 by .None Вставить ник Quote
arhead Posted December 26, 2017 Posted December 26, 2017 2 часа назад, .None сказал: в правиле srcnat просто укажите out-interface, не указывайте src-address Спасибо вроде заработало. :) Вставить ник Quote
arhead Posted December 26, 2017 Posted December 26, 2017 (edited) add action=masquerade chain=srcnat comment="NAT to Inet" out-interface=v444_IT src-address=192.168.22.0/24 to-addresses=195.х.х.х add action=masquerade chain=srcnat comment="Office to manag" out-interface=v2_Manag src-address=192.168.22.0/24 add action=dst-nat chain=dstnat comment="IpTel" dst-address=195.х.х.х in-interface=v444_IT log-prefix=iptel protocol=udp src-address=91.х.х.х src-port=5060 to-addresses=172.23.5.2 to-ports=5060 add action=masquerade chain=srcnat out-interface=v100_iptel protocol=udp src-address=91.х.х.х src-port=5060 to-addresses=195.х.х.х Сделал так. Вроде работает но если включено контролирование SIP. Без нее регистрация не проходит. Edited December 26, 2017 by arhead Вставить ник Quote
andpuxa Posted February 9, 2018 Posted February 9, 2018 не вижу проблемы выставлять звезду наружу, для особых параноиков делается dnat с порта , отличного от 5060 Вставить ник Quote
zhenya` Posted February 10, 2018 Posted February 10, 2018 Скорее всего микротик в alg не умеет. Вставить ник Quote
andpuxa Posted February 10, 2018 Posted February 10, 2018 умеет, но это там не нужно, при должной настройке звезды Вставить ник Quote
.png.5d2afa2996cc6a85d0f2c09b92dd0a28.png)
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.