Jump to content
Калькуляторы

Asterisk за натом MikroTik

Reply to this topic

vnkorol   

vnkorol
Posted (edited)

Народ, ситуация следующая - в локалке стоит астер, в локалке телефоны, всё нормально. Возникла необходимость в подключении к атс извне. Поднимать туннели не всегда есть возможность. Чтобы обезопаситься - решил фильтровать по айпи. Подскажите, вот таких правил достаточно или что-то накосячил?

 

/ip firewall filter
add action=accept chain=forward comment="sip allowed" dst-port=5060 in-interface=pppoe-rostelecom protocol=udp src-address-list=sip_trusted
add action=accept chain=forward comment="sip allowed" dst-port=10000-20000 in-interface=pppoe-rostelecom protocol=udp src-address-list=sip_trusted
add action=accept chain=forward comment="sip allowed" out-interface=sfp1-vlan0122-ural protocol=udp

 

/ip firewall nat
add action=dst-nat chain=dstnat comment="sip clients" dst-port=5060 in-interface=pppoe-rostelecom protocol=udp src-address-list=sip_trusted to-addresses=192.168.122.8
add action=dst-nat chain=dstnat comment="sip clients" dst-port=10000-20000 in-interface=pppoe-rostelecom protocol=udp src-address-list=sip_trusted to-addresses=192.168.122.8

 

192.168.122.8 - адрес атс

pppoe-rostelecom - интерфейс в интернет

sfp1-vlan0122-ural - интерфейс на котором висит подсеть с атс

Edited by vnkorol

Share this post

Link to post
Share on other sites

vnkorol   

vnkorol
Posted (edited)

Телефоны цепляются к этому vpn

 

Телефоны, допустим, SNR. К какому VPN серверу можно ими подключиться?

 

На моих телефонах такой возможности нет.

Edited by vnkorol

Share this post

Link to post
Share on other sites

dimana90   

dimana90
Posted

vnkorolникогда, НИКОГДА и ни при каких обстоятельствах не выставляется астер наружу. Для мобилок идеальным решением будет l2tp(андроид и ios из коробки умеют). Для телефонов PPPtP(не видел телефонов которые не умеют). Если вариантов с VPN нет совсем то включать fail2ban по самому хардкору, всем абонентам ставить сложные логины и пароли(даже внутренним абонентам), всем абонентам включать авторизацию только с их ip или подсети. Много тонких настроек в астере(отключить гостевые звонки, сделать жесткие правила диалплана по выходу в город, включить твики на плевки ошибок сканерам атсок).

Но в целом мой вам совет, лучше всеми правдами и не правдами прячьтесь в VPN, желательно в l2tp, еще желательно абонетам цепляться не по паролям а по сертификатам.

Share this post

Link to post
Share on other sites

vnkorol   

vnkorol
Posted (edited)

dimana90

А в чем проблема, если по айпи режем соединения нежелательные на роутере? Про телефон - навскидку у меня вот такие:

http://shop.nag.ru/catalog/archive/07753.SNR-VP-7010

http://www.gigaset.com/ru_ru/gigaset-a510-ip-black/

http://shop.nag.ru/catalog/archive/10436.SNR-VP-7040-P

и еще старенькие шлюзы дликовские

 

Не умеет ни один :(

Edited by vnkorol

Share this post

Link to post
Share on other sites

dimana90   

dimana90
Posted

dimana90

А в чем проблема, если по айпи режем соединения нежелательные на роутере? Про телефон - навскидку у меня вот такие:

http://shop.nag.ru/catalog/archive/07753.SNR-VP-7010

http://www.gigaset.com/ru_ru/gigaset-a510-ip-black/

http://shop.nag.ru/catalog/archive/10436.SNR-VP-7040-P

и еще старенькие шлюзы дликовские

 

Не умеет ни один :(

Если у вас везде статичные белые внешние IPшники то проблем меньше но не избавит полностью. Астериск на самом деле очень хрупкий, в худшем случае какой нибудь школьник может по приколу поддосить по udp\tcp с подменой source адреса, могут начаться проблемы в виде заиканий звонков, разрывов или вообще отвала модулей астера. В общем лучше придумать способ спрятать весь трафик в vpn, поставить телефон за компом который будет поднимать VPN или купить самый душманский роутер который умеет поднимать VPN(дешевенький длинк с OpenWRT, или самый дешевый микротик). Да и кроме того VPN снизит число гемороев с прохождениями NAT'а и вообще может пригодиться в дальнейшем если потребуется какойнибудь RDP\офисные шары и т.д.

Просто скажу честно что гемороя с прямым соединением намного больше чем работать через VPN.

Share this post

Link to post
Share on other sites

vnkorol   

vnkorol
Posted

Спасибо за советы. Остановился на туннелях. Но столкнулся с одной проблемой. На роутере, за натом которого астер, поднят pptp сервер, на роутере, на котором телефон - клиент. Соединяется, всё работает, но почему-то адрес телефона подменяется на адрес шлюза атски.

Share this post

Link to post
Share on other sites

dimana90   

dimana90
Posted

...На роутере, за натом которого астер, поднят pptp сервер, на роутере, на котором телефон - клиент...

Эм, что то тут неправильно или не до конца расписано =D

 

Соединяется, всё работает, но почему-то адрес телефона подменяется на адрес шлюза атски.

Может всетаки адрес не шлюза, а из пула vpn клиентов ? ;-)

 

Вообще в целом схема примерно такая:

Дефакто: локальные IP в сетке из 1 пула(например 192.168.10.0\24), VPN клиенты в другом пуле(192.168.20.0\24).

1) На микротике открыт порт для PPTP.

2) На микротике поднят PPTP сервер.

3) На микротике разрулены маршруты для VPN клиентов для доступа только к внутреннему IP астериска и обратно к пулу клиентов VPN.

4) На астериске прописан пул VPN клиентов как локальный.

5) На астериске для всех клиентов которые сидят через VPN указано NAT=no.

Share this post

Link to post
Share on other sites

nkusnetsov   

nkusnetsov
Posted

почему-то адрес телефона подменяется на адрес шлюза атски.

Видимо, у вас где-то закралась ошибка в правило src-nat/masquerade, вот адрес и подменяется. При перенастройке фаервола также удалите уже имеющееся соединение из connection-tracker, иначе оно уже "запомненное" будет натить телефон до перезагрузки роутера.

Share this post

Link to post
Share on other sites

vnkorol   

vnkorol
Posted

nkusnetsov

 

Вот такое правило

27 ;;; default configuration

chain=srcnat action=masquerade log=no log-prefix=""

 

Видимо, оно и натит через маршрут по туннелю...

Share this post

Link to post
Share on other sites

arhead   

arhead
Posted

Добрый день коллеги! Что бы не создавать новую тему продолжу тут. Имеется станция si2000 которая за NAT. Есть микротик у которого выход в интернет и плюс еще адрес из NAT сети в которой станция. У абонента будет шлюз отправлять запрос на микротик а тот уже будет переадресовать на станцию. Прокидывал порты 5060,5061. Но регистрацию так и не получил шлюз.  На микротике выключал что бы он SIP контролировал. Через впн получалось завести а тут как то не хочет.

Share this post

Link to post
Share on other sites

arhead   

arhead
Posted (edited)
Спойлер

/ip firewall filter
add action=drop chain=input comment="Drop invalid" connection-state=invalid
add action=accept chain=input comment="Allow related" connection-state=related
add action=accept chain=forward connection-state=related
add action=accept chain=input comment="Allow Estabilished" connection-state=established
add action=accept chain=input comment="acces to vlan 2" in-interface=v2_Manag src-address=192.168.0.0/20
add action=accept chain=input comment=Ping protocol=icmp
add action=accept chain=forward protocol=icmp
add action=accept chain=input comment=PPTP dst-port=1723 in-interface=v444_IT log=yes log-prefix=pppt_serv protocol=tcp
add action=accept chain=input comment="acces fron vlan 100" in-interface=v100_iptel src-address=172.23.4.0/22
add action=accept chain=input comment=DNS dst-port=53 in-interface=Office_NW protocol=udp
add action=accept chain=input dst-port=8291,80 in-interface=v2_Manag protocol=tcp src-address=192.168.0.0/20
add action=accept chain=input comment="Access from Office" src-address=192.168.22.0/24
add action=accept chain=input in-interface=v444_IT port=5060 protocol=udp src-address=91.x.x.x
add action=drop chain=input comment="Drop other" log=yes log-prefix=Drop
add action=accept chain=forward
/ip firewall nat
add action=masquerade chain=srcnat comment="Office NAT to Inet" out-interface=v444_IT src-address=192.168.22.0/24 to-addresses=195.x.x.x
add action=masquerade chain=srcnat comment="Office to manag" src-address=192.168.22.0/24
add action=dst-nat chain=dstnat dst-address=195.x.x.x in-interface=v444_IT log=yes log-prefix=iptel protocol=udp src-address=91.x.x.x to-addresses=172.23.5.2
/ip firewall service-port
set ftp disabled=yes
set tftp disabled=yes
set sip disabled=yes

Роутер готовиться на замену старому серверу в офисе.

192.168.22.0 сеть манагеров.

192.168.0.0 сеть некоторого оборудования.

172.23.5.2  станция

172.23.6.254 адрес микротика (на станции прописано что оборудование с номером имеет ip 172.23.6.254)

195.х.х.х микротик во внешке

91.х.х.х клиент

Если шлюз вставить в сеть манагером и сказать что адрес станции 172.23.5.2 то регистрация проходит и все работает.

Edited by arhead

Share this post

Link to post
Share on other sites

McSea   

McSea
Posted

А как у вас станция в инет пойдет c 172.23.5.2, если только 22.0/24 маскарадится ?

 

Также второе правило маскарада включает в себя действие первого. Согласно первого правила идет подмена исходного адреса на указанный только для пакетов на указанном out-interface, а согласно второго правила идет подмена исходного адреса на ВСЕХ out-interface, в том числе и "v444_IT".

Share this post

Link to post
Share on other sites

arhead   

arhead
Posted
8 часов назад, McSea сказал:

А как у вас станция в инет пойдет c 172.23.5.2, если только 22.0/24 маскарадится ?

Спасибо за подсказку для первых правил. Я микротиком только недавно начал работать. Получается сделать правило маскарадинга для 172.23.5.2 что бы станция видела инет?

Share this post

Link to post
Share on other sites

.None   

.None
Posted (edited)

в правиле srcnat просто укажите out-interface, не указывайте src-address 

add action=masquerade chain=srcnat comment="Office NAT to Inet" out-interface=v444_IT

и в правиле Office to manag укажите out-interface

Edited by .None

Share this post

Link to post
Share on other sites

arhead   

arhead
Posted (edited) 
add action=masquerade chain=srcnat comment="NAT to Inet" out-interface=v444_IT src-address=192.168.22.0/24 to-addresses=195.х.х.х
add action=masquerade chain=srcnat comment="Office to manag" out-interface=v2_Manag src-address=192.168.22.0/24
add action=dst-nat chain=dstnat comment="IpTel" dst-address=195.х.х.х in-interface=v444_IT log-prefix=iptel protocol=udp src-address=91.х.х.х src-port=5060 to-addresses=172.23.5.2 to-ports=5060
add action=masquerade chain=srcnat out-interface=v100_iptel protocol=udp src-address=91.х.х.х src-port=5060 to-addresses=195.х.х.х

Сделал так. Вроде работает но если включено контролирование SIP. Без нее регистрация не проходит.

Edited by arhead

Share this post

Link to post
Share on other sites

andpuxa   

andpuxa
Posted

не вижу проблемы выставлять звезду наружу, для особых параноиков делается dnat с порта , отличного от 5060

Share this post

Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
Followers 0
Go to topic listing Mikrotik коммутаторы и маршрутизаторы