Перейти к содержимому
Калькуляторы

Asterisk за натом MikroTik

Народ, ситуация следующая - в локалке стоит астер, в локалке телефоны, всё нормально. Возникла необходимость в подключении к атс извне. Поднимать туннели не всегда есть возможность. Чтобы обезопаситься - решил фильтровать по айпи. Подскажите, вот таких правил достаточно или что-то накосячил?

 

/ip firewall filter
add action=accept chain=forward comment="sip allowed" dst-port=5060 in-interface=pppoe-rostelecom protocol=udp src-address-list=sip_trusted
add action=accept chain=forward comment="sip allowed" dst-port=10000-20000 in-interface=pppoe-rostelecom protocol=udp src-address-list=sip_trusted
add action=accept chain=forward comment="sip allowed" out-interface=sfp1-vlan0122-ural protocol=udp

 

/ip firewall nat
add action=dst-nat chain=dstnat comment="sip clients" dst-port=5060 in-interface=pppoe-rostelecom protocol=udp src-address-list=sip_trusted to-addresses=192.168.122.8
add action=dst-nat chain=dstnat comment="sip clients" dst-port=10000-20000 in-interface=pppoe-rostelecom protocol=udp src-address-list=sip_trusted to-addresses=192.168.122.8

 

192.168.122.8 - адрес атс

pppoe-rostelecom - интерфейс в интернет

sfp1-vlan0122-ural - интерфейс на котором висит подсеть с атс

Изменено пользователем vnkorol

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Поднимается vpn сервер на микротике

Телефоны цепляются к этому vpn

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Телефоны цепляются к этому vpn

 

Телефоны, допустим, SNR. К какому VPN серверу можно ими подключиться?

 

На моих телефонах такой возможности нет.

Изменено пользователем vnkorol

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

vnkorolникогда, НИКОГДА и ни при каких обстоятельствах не выставляется астер наружу. Для мобилок идеальным решением будет l2tp(андроид и ios из коробки умеют). Для телефонов PPPtP(не видел телефонов которые не умеют). Если вариантов с VPN нет совсем то включать fail2ban по самому хардкору, всем абонентам ставить сложные логины и пароли(даже внутренним абонентам), всем абонентам включать авторизацию только с их ip или подсети. Много тонких настроек в астере(отключить гостевые звонки, сделать жесткие правила диалплана по выходу в город, включить твики на плевки ошибок сканерам атсок).

Но в целом мой вам совет, лучше всеми правдами и не правдами прячьтесь в VPN, желательно в l2tp, еще желательно абонетам цепляться не по паролям а по сертификатам.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

dimana90

А в чем проблема, если по айпи режем соединения нежелательные на роутере? Про телефон - навскидку у меня вот такие:

http://shop.nag.ru/catalog/archive/07753.SNR-VP-7010

http://www.gigaset.com/ru_ru/gigaset-a510-ip-black/

http://shop.nag.ru/catalog/archive/10436.SNR-VP-7040-P

и еще старенькие шлюзы дликовские

 

Не умеет ни один :(

Изменено пользователем vnkorol

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Поставьте защиту от брута по 5060/udp, что-то типа этого.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

dimana90

А в чем проблема, если по айпи режем соединения нежелательные на роутере? Про телефон - навскидку у меня вот такие:

http://shop.nag.ru/catalog/archive/07753.SNR-VP-7010

http://www.gigaset.com/ru_ru/gigaset-a510-ip-black/

http://shop.nag.ru/catalog/archive/10436.SNR-VP-7040-P

и еще старенькие шлюзы дликовские

 

Не умеет ни один :(

Если у вас везде статичные белые внешние IPшники то проблем меньше но не избавит полностью. Астериск на самом деле очень хрупкий, в худшем случае какой нибудь школьник может по приколу поддосить по udp\tcp с подменой source адреса, могут начаться проблемы в виде заиканий звонков, разрывов или вообще отвала модулей астера. В общем лучше придумать способ спрятать весь трафик в vpn, поставить телефон за компом который будет поднимать VPN или купить самый душманский роутер который умеет поднимать VPN(дешевенький длинк с OpenWRT, или самый дешевый микротик). Да и кроме того VPN снизит число гемороев с прохождениями NAT'а и вообще может пригодиться в дальнейшем если потребуется какойнибудь RDP\офисные шары и т.д.

Просто скажу честно что гемороя с прямым соединением намного больше чем работать через VPN.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Спасибо за советы. Остановился на туннелях. Но столкнулся с одной проблемой. На роутере, за натом которого астер, поднят pptp сервер, на роутере, на котором телефон - клиент. Соединяется, всё работает, но почему-то адрес телефона подменяется на адрес шлюза атски.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

...На роутере, за натом которого астер, поднят pptp сервер, на роутере, на котором телефон - клиент...

Эм, что то тут неправильно или не до конца расписано =D

 

Соединяется, всё работает, но почему-то адрес телефона подменяется на адрес шлюза атски.

Может всетаки адрес не шлюза, а из пула vpn клиентов ? ;-)

 

Вообще в целом схема примерно такая:

Дефакто: локальные IP в сетке из 1 пула(например 192.168.10.0\24), VPN клиенты в другом пуле(192.168.20.0\24).

1) На микротике открыт порт для PPTP.

2) На микротике поднят PPTP сервер.

3) На микротике разрулены маршруты для VPN клиентов для доступа только к внутреннему IP астериска и обратно к пулу клиентов VPN.

4) На астериске прописан пул VPN клиентов как локальный.

5) На астериске для всех клиентов которые сидят через VPN указано NAT=no.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

почему-то адрес телефона подменяется на адрес шлюза атски.

Видимо, у вас где-то закралась ошибка в правило src-nat/masquerade, вот адрес и подменяется. При перенастройке фаервола также удалите уже имеющееся соединение из connection-tracker, иначе оно уже "запомненное" будет натить телефон до перезагрузки роутера.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

nkusnetsov

 

Вот такое правило

27 ;;; default configuration

chain=srcnat action=masquerade log=no log-prefix=""

 

Видимо, оно и натит через маршрут по туннелю...

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Добрый день коллеги! Что бы не создавать новую тему продолжу тут. Имеется станция si2000 которая за NAT. Есть микротик у которого выход в интернет и плюс еще адрес из NAT сети в которой станция. У абонента будет шлюз отправлять запрос на микротик а тот уже будет переадресовать на станцию. Прокидывал порты 5060,5061. Но регистрацию так и не получил шлюз.  На микротике выключал что бы он SIP контролировал. Через впн получалось завести а тут как то не хочет.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

показывайте как прокидывали, и еще правила filter

 

становились torchем на локальный интерфейс, пакеты на станцию бегут?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Спойлер

/ip firewall filter
add action=drop chain=input comment="Drop invalid" connection-state=invalid
add action=accept chain=input comment="Allow related" connection-state=related
add action=accept chain=forward connection-state=related
add action=accept chain=input comment="Allow Estabilished" connection-state=established
add action=accept chain=input comment="acces to vlan 2" in-interface=v2_Manag src-address=192.168.0.0/20
add action=accept chain=input comment=Ping protocol=icmp
add action=accept chain=forward protocol=icmp
add action=accept chain=input comment=PPTP dst-port=1723 in-interface=v444_IT log=yes log-prefix=pppt_serv protocol=tcp
add action=accept chain=input comment="acces fron vlan 100" in-interface=v100_iptel src-address=172.23.4.0/22
add action=accept chain=input comment=DNS dst-port=53 in-interface=Office_NW protocol=udp
add action=accept chain=input dst-port=8291,80 in-interface=v2_Manag protocol=tcp src-address=192.168.0.0/20
add action=accept chain=input comment="Access from Office" src-address=192.168.22.0/24
add action=accept chain=input in-interface=v444_IT port=5060 protocol=udp src-address=91.x.x.x
add action=drop chain=input comment="Drop other" log=yes log-prefix=Drop
add action=accept chain=forward
/ip firewall nat
add action=masquerade chain=srcnat comment="Office NAT to Inet" out-interface=v444_IT src-address=192.168.22.0/24 to-addresses=195.x.x.x
add action=masquerade chain=srcnat comment="Office to manag" src-address=192.168.22.0/24
add action=dst-nat chain=dstnat dst-address=195.x.x.x in-interface=v444_IT log=yes log-prefix=iptel protocol=udp src-address=91.x.x.x to-addresses=172.23.5.2
/ip firewall service-port
set ftp disabled=yes
set tftp disabled=yes
set sip disabled=yes

Роутер готовиться на замену старому серверу в офисе.

192.168.22.0 сеть манагеров.

192.168.0.0 сеть некоторого оборудования.

172.23.5.2  станция

172.23.6.254 адрес микротика (на станции прописано что оборудование с номером имеет ip 172.23.6.254)

195.х.х.х микротик во внешке

91.х.х.х клиент

Если шлюз вставить в сеть манагером и сказать что адрес станции 172.23.5.2 то регистрация проходит и все работает.

Изменено пользователем arhead

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

А как у вас станция в инет пойдет c 172.23.5.2, если только 22.0/24 маскарадится ?

 

Также второе правило маскарада включает в себя действие первого. Согласно первого правила идет подмена исходного адреса на указанный только для пакетов на указанном out-interface, а согласно второго правила идет подмена исходного адреса на ВСЕХ out-interface, в том числе и "v444_IT".

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

8 часов назад, McSea сказал:

А как у вас станция в инет пойдет c 172.23.5.2, если только 22.0/24 маскарадится ?

Спасибо за подсказку для первых правил. Я микротиком только недавно начал работать. Получается сделать правило маскарадинга для 172.23.5.2 что бы станция видела инет?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

в правиле srcnat просто укажите out-interface, не указывайте src-address

add action=masquerade chain=srcnat comment="Office NAT to Inet" out-interface=v444_IT

и в правиле Office to manag укажите out-interface

Изменено пользователем .None

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

2 часа назад, .None сказал:

в правиле srcnat просто укажите out-interface, не указывайте src-address

Спасибо вроде заработало. :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

add action=masquerade chain=srcnat comment="NAT to Inet" out-interface=v444_IT src-address=192.168.22.0/24 to-addresses=195.х.х.х
add action=masquerade chain=srcnat comment="Office to manag" out-interface=v2_Manag src-address=192.168.22.0/24
add action=dst-nat chain=dstnat comment="IpTel" dst-address=195.х.х.х in-interface=v444_IT log-prefix=iptel protocol=udp src-address=91.х.х.х src-port=5060 to-addresses=172.23.5.2 to-ports=5060
add action=masquerade chain=srcnat out-interface=v100_iptel protocol=udp src-address=91.х.х.х src-port=5060 to-addresses=195.х.х.х

Сделал так. Вроде работает но если включено контролирование SIP. Без нее регистрация не проходит.

Изменено пользователем arhead

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

не вижу проблемы выставлять звезду наружу, для особых параноиков делается dnat с порта , отличного от 5060

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

умеет, но это там не нужно, при должной настройке звезды

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Гость
Ответить в тему...

×   Вставлено в виде отформатированного текста.   Вставить в виде обычного текста

  Разрешено не более 75 смайлов.

×   Ваша ссылка была автоматически встроена.   Отобразить как ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.