vnkorol Опубликовано 26 октября, 2016 (изменено) · Жалоба Народ, ситуация следующая - в локалке стоит астер, в локалке телефоны, всё нормально. Возникла необходимость в подключении к атс извне. Поднимать туннели не всегда есть возможность. Чтобы обезопаситься - решил фильтровать по айпи. Подскажите, вот таких правил достаточно или что-то накосячил? /ip firewall filter add action=accept chain=forward comment="sip allowed" dst-port=5060 in-interface=pppoe-rostelecom protocol=udp src-address-list=sip_trusted add action=accept chain=forward comment="sip allowed" dst-port=10000-20000 in-interface=pppoe-rostelecom protocol=udp src-address-list=sip_trusted add action=accept chain=forward comment="sip allowed" out-interface=sfp1-vlan0122-ural protocol=udp /ip firewall nat add action=dst-nat chain=dstnat comment="sip clients" dst-port=5060 in-interface=pppoe-rostelecom protocol=udp src-address-list=sip_trusted to-addresses=192.168.122.8 add action=dst-nat chain=dstnat comment="sip clients" dst-port=10000-20000 in-interface=pppoe-rostelecom protocol=udp src-address-list=sip_trusted to-addresses=192.168.122.8 192.168.122.8 - адрес атс pppoe-rostelecom - интерфейс в интернет sfp1-vlan0122-ural - интерфейс на котором висит подсеть с атс Изменено 26 октября, 2016 пользователем vnkorol Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
DobroFenix Опубликовано 26 октября, 2016 · Жалоба Поднимается vpn сервер на микротике Телефоны цепляются к этому vpn Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
vnkorol Опубликовано 26 октября, 2016 (изменено) · Жалоба Телефоны цепляются к этому vpn Телефоны, допустим, SNR. К какому VPN серверу можно ими подключиться? На моих телефонах такой возможности нет. Изменено 26 октября, 2016 пользователем vnkorol Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
dimana90 Опубликовано 26 октября, 2016 · Жалоба vnkorolникогда, НИКОГДА и ни при каких обстоятельствах не выставляется астер наружу. Для мобилок идеальным решением будет l2tp(андроид и ios из коробки умеют). Для телефонов PPPtP(не видел телефонов которые не умеют). Если вариантов с VPN нет совсем то включать fail2ban по самому хардкору, всем абонентам ставить сложные логины и пароли(даже внутренним абонентам), всем абонентам включать авторизацию только с их ip или подсети. Много тонких настроек в астере(отключить гостевые звонки, сделать жесткие правила диалплана по выходу в город, включить твики на плевки ошибок сканерам атсок). Но в целом мой вам совет, лучше всеми правдами и не правдами прячьтесь в VPN, желательно в l2tp, еще желательно абонетам цепляться не по паролям а по сертификатам. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
vnkorol Опубликовано 26 октября, 2016 (изменено) · Жалоба dimana90 А в чем проблема, если по айпи режем соединения нежелательные на роутере? Про телефон - навскидку у меня вот такие: http://shop.nag.ru/catalog/archive/07753.SNR-VP-7010 http://www.gigaset.com/ru_ru/gigaset-a510-ip-black/ http://shop.nag.ru/catalog/archive/10436.SNR-VP-7040-P и еще старенькие шлюзы дликовские Не умеет ни один :( Изменено 26 октября, 2016 пользователем vnkorol Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
DRiVen Опубликовано 26 октября, 2016 · Жалоба Поставьте защиту от брута по 5060/udp, что-то типа этого. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
dimana90 Опубликовано 26 октября, 2016 · Жалоба dimana90 А в чем проблема, если по айпи режем соединения нежелательные на роутере? Про телефон - навскидку у меня вот такие: http://shop.nag.ru/catalog/archive/07753.SNR-VP-7010 http://www.gigaset.com/ru_ru/gigaset-a510-ip-black/ http://shop.nag.ru/catalog/archive/10436.SNR-VP-7040-P и еще старенькие шлюзы дликовские Не умеет ни один :( Если у вас везде статичные белые внешние IPшники то проблем меньше но не избавит полностью. Астериск на самом деле очень хрупкий, в худшем случае какой нибудь школьник может по приколу поддосить по udp\tcp с подменой source адреса, могут начаться проблемы в виде заиканий звонков, разрывов или вообще отвала модулей астера. В общем лучше придумать способ спрятать весь трафик в vpn, поставить телефон за компом который будет поднимать VPN или купить самый душманский роутер который умеет поднимать VPN(дешевенький длинк с OpenWRT, или самый дешевый микротик). Да и кроме того VPN снизит число гемороев с прохождениями NAT'а и вообще может пригодиться в дальнейшем если потребуется какойнибудь RDP\офисные шары и т.д. Просто скажу честно что гемороя с прямым соединением намного больше чем работать через VPN. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
vnkorol Опубликовано 27 октября, 2016 · Жалоба Спасибо за советы. Остановился на туннелях. Но столкнулся с одной проблемой. На роутере, за натом которого астер, поднят pptp сервер, на роутере, на котором телефон - клиент. Соединяется, всё работает, но почему-то адрес телефона подменяется на адрес шлюза атски. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
dimana90 Опубликовано 27 октября, 2016 · Жалоба ...На роутере, за натом которого астер, поднят pptp сервер, на роутере, на котором телефон - клиент... Эм, что то тут неправильно или не до конца расписано =D Соединяется, всё работает, но почему-то адрес телефона подменяется на адрес шлюза атски. Может всетаки адрес не шлюза, а из пула vpn клиентов ? ;-) Вообще в целом схема примерно такая: Дефакто: локальные IP в сетке из 1 пула(например 192.168.10.0\24), VPN клиенты в другом пуле(192.168.20.0\24). 1) На микротике открыт порт для PPTP. 2) На микротике поднят PPTP сервер. 3) На микротике разрулены маршруты для VPN клиентов для доступа только к внутреннему IP астериска и обратно к пулу клиентов VPN. 4) На астериске прописан пул VPN клиентов как локальный. 5) На астериске для всех клиентов которые сидят через VPN указано NAT=no. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
nkusnetsov Опубликовано 28 октября, 2016 · Жалоба почему-то адрес телефона подменяется на адрес шлюза атски. Видимо, у вас где-то закралась ошибка в правило src-nat/masquerade, вот адрес и подменяется. При перенастройке фаервола также удалите уже имеющееся соединение из connection-tracker, иначе оно уже "запомненное" будет натить телефон до перезагрузки роутера. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
vnkorol Опубликовано 29 октября, 2016 · Жалоба nkusnetsov Вот такое правило 27 ;;; default configuration chain=srcnat action=masquerade log=no log-prefix="" Видимо, оно и натит через маршрут по туннелю... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
arhead Опубликовано 25 декабря, 2017 · Жалоба Добрый день коллеги! Что бы не создавать новую тему продолжу тут. Имеется станция si2000 которая за NAT. Есть микротик у которого выход в интернет и плюс еще адрес из NAT сети в которой станция. У абонента будет шлюз отправлять запрос на микротик а тот уже будет переадресовать на станцию. Прокидывал порты 5060,5061. Но регистрацию так и не получил шлюз. На микротике выключал что бы он SIP контролировал. Через впн получалось завести а тут как то не хочет. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
.None Опубликовано 25 декабря, 2017 · Жалоба показывайте как прокидывали, и еще правила filter становились torchем на локальный интерфейс, пакеты на станцию бегут? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
arhead Опубликовано 25 декабря, 2017 (изменено) · Жалоба Спойлер /ip firewall filter add action=drop chain=input comment="Drop invalid" connection-state=invalid add action=accept chain=input comment="Allow related" connection-state=related add action=accept chain=forward connection-state=related add action=accept chain=input comment="Allow Estabilished" connection-state=established add action=accept chain=input comment="acces to vlan 2" in-interface=v2_Manag src-address=192.168.0.0/20 add action=accept chain=input comment=Ping protocol=icmp add action=accept chain=forward protocol=icmp add action=accept chain=input comment=PPTP dst-port=1723 in-interface=v444_IT log=yes log-prefix=pppt_serv protocol=tcp add action=accept chain=input comment="acces fron vlan 100" in-interface=v100_iptel src-address=172.23.4.0/22 add action=accept chain=input comment=DNS dst-port=53 in-interface=Office_NW protocol=udp add action=accept chain=input dst-port=8291,80 in-interface=v2_Manag protocol=tcp src-address=192.168.0.0/20 add action=accept chain=input comment="Access from Office" src-address=192.168.22.0/24 add action=accept chain=input in-interface=v444_IT port=5060 protocol=udp src-address=91.x.x.x add action=drop chain=input comment="Drop other" log=yes log-prefix=Drop add action=accept chain=forward /ip firewall nat add action=masquerade chain=srcnat comment="Office NAT to Inet" out-interface=v444_IT src-address=192.168.22.0/24 to-addresses=195.x.x.x add action=masquerade chain=srcnat comment="Office to manag" src-address=192.168.22.0/24 add action=dst-nat chain=dstnat dst-address=195.x.x.x in-interface=v444_IT log=yes log-prefix=iptel protocol=udp src-address=91.x.x.x to-addresses=172.23.5.2 /ip firewall service-port set ftp disabled=yes set tftp disabled=yes set sip disabled=yes Роутер готовиться на замену старому серверу в офисе. 192.168.22.0 сеть манагеров. 192.168.0.0 сеть некоторого оборудования. 172.23.5.2 станция 172.23.6.254 адрес микротика (на станции прописано что оборудование с номером имеет ip 172.23.6.254) 195.х.х.х микротик во внешке 91.х.х.х клиент Если шлюз вставить в сеть манагером и сказать что адрес станции 172.23.5.2 то регистрация проходит и все работает. Изменено 25 декабря, 2017 пользователем arhead Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
McSea Опубликовано 25 декабря, 2017 · Жалоба А как у вас станция в инет пойдет c 172.23.5.2, если только 22.0/24 маскарадится ? Также второе правило маскарада включает в себя действие первого. Согласно первого правила идет подмена исходного адреса на указанный только для пакетов на указанном out-interface, а согласно второго правила идет подмена исходного адреса на ВСЕХ out-interface, в том числе и "v444_IT". Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
arhead Опубликовано 26 декабря, 2017 · Жалоба 8 часов назад, McSea сказал: А как у вас станция в инет пойдет c 172.23.5.2, если только 22.0/24 маскарадится ? Спасибо за подсказку для первых правил. Я микротиком только недавно начал работать. Получается сделать правило маскарадинга для 172.23.5.2 что бы станция видела инет? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
.None Опубликовано 26 декабря, 2017 (изменено) · Жалоба в правиле srcnat просто укажите out-interface, не указывайте src-address add action=masquerade chain=srcnat comment="Office NAT to Inet" out-interface=v444_IT и в правиле Office to manag укажите out-interface Изменено 26 декабря, 2017 пользователем .None Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
arhead Опубликовано 26 декабря, 2017 · Жалоба 2 часа назад, .None сказал: в правиле srcnat просто укажите out-interface, не указывайте src-address Спасибо вроде заработало. :) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
arhead Опубликовано 26 декабря, 2017 (изменено) · Жалоба add action=masquerade chain=srcnat comment="NAT to Inet" out-interface=v444_IT src-address=192.168.22.0/24 to-addresses=195.х.х.х add action=masquerade chain=srcnat comment="Office to manag" out-interface=v2_Manag src-address=192.168.22.0/24 add action=dst-nat chain=dstnat comment="IpTel" dst-address=195.х.х.х in-interface=v444_IT log-prefix=iptel protocol=udp src-address=91.х.х.х src-port=5060 to-addresses=172.23.5.2 to-ports=5060 add action=masquerade chain=srcnat out-interface=v100_iptel protocol=udp src-address=91.х.х.х src-port=5060 to-addresses=195.х.х.х Сделал так. Вроде работает но если включено контролирование SIP. Без нее регистрация не проходит. Изменено 26 декабря, 2017 пользователем arhead Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
andpuxa Опубликовано 9 февраля, 2018 · Жалоба не вижу проблемы выставлять звезду наружу, для особых параноиков делается dnat с порта , отличного от 5060 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
zhenya` Опубликовано 10 февраля, 2018 · Жалоба Скорее всего микротик в alg не умеет. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
andpuxa Опубликовано 10 февраля, 2018 · Жалоба умеет, но это там не нужно, при должной настройке звезды Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...