xayrex Posted December 14, 2016 · Report post Доброго времени суток, уважаемые. Пытаюсь решить проблему с обрывом, исходящего звонка на 32 секунде, которая возникает в случае когда нужно установить номер одной атс в другом филиале. Филиалов у предприятия несколько, на каждом fortigate, между ними VPN, а за ними PBX от Grandstream. Настраивалось по большей части не мной и работает уже не первый год, но данная проблема либо возникла недавно, либо недавно замечена. Аналогичную схему сети прикрепил для наглядности. Если установить на аппарат 192.168.0.10 номер 111@192.168.1.254 - Все прекрасно работает. Когда же на аппарат 192.168.1.10 устанавливаем номер 211@192.168.0.254- Входящие звонки проходят без проблем. Исходящие устанавливаются, но обрываются на 32 секунде(вероятно время статично только с моим географическим и логическим расстоянием). В wireshark наблюдаю SIP ACK от звонящего, почему то на внешний адрес фаервола за которым находится АТС (10.0.0.1 в примере). Разобраться оперативно, у меня не хватает опыта, третий день ищу решение. Буду благодарен за любую помощь. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Aleck_K Posted December 15, 2016 · Report post 32 секунды - таймер ретрансмита сообщения ACK, оно не доходит до вызываемой стороны. Файрвол и/или некорректная настройка телефонов Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
xayrex Posted December 15, 2016 (edited) · Report post Aleck_K По сути вы правы, но именно это я и описал. Какое может быть решение? Непонятно почему в случае установки на телефон 192.168.0.10 номера 111@192.168.1.254- нет ACK сообщений, возможно это можно отключить? И почему в этих сообщениях адрес не вызываемой стороны а внешний айпи фаервола? Возможно ли что это связанно с технологией "SIP session helper" или "Application Layer Gateway (ALG)" на FortiGate? Какую выбрать или отключить обе? Так же не отбрасываю вероятность что на атс 192.168.0.254 можно включить или отключить какую то технологию чтобы запросы отправлялись, или как в случае с 192.168.1.254-не отправлялись, корректно. Вероятность неправильной настройки телефона мне кажется низкой. Важных настроек по сути мало, а занимались кроме меня этим еще два админа. Еще во время тестирования с помощью софтфона заметил что в некоторых случаях атс оставляет звонок активным, так как у всех стационарные аппараты, после разговора трубки ложатся с обоих сторон и проблемы как бы нет. Но с софтфоном приходится принудительно положить трубку с обоих сторон. Возможно эта информация будет полезной для решения основной проблемы. Edited December 15, 2016 by xayrex Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
xayrex Posted December 16, 2016 · Report post Возможно мой вопрос слишком тривиальный? Или если я дал слишком мало информации, укажите на то чего не хватает, уже собрал достаточно много дампов и логов, со всех атс и фаерволов, ваершарк с любой стороны, с любым номером и разными настройками. Сейчас я могу говорить о том что между филиалами ipsec vpn и настроена корректная(с точки зрения других сервисов) маршрутизация, NAT PAT тут быть не должно, пробрасывать порты наружу я не хочу и считаю не правильным, в этом нет надобности. Проблема проявляется только в одном направлении, при использовании номера от атс Х в филиале У, другие комбинации работают. АТС в филиале У в данной ситуации не участвует, получается что ошибка либо на АТС в филлиале Х, либо на одном из фаерволов. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
EugeneTV Posted December 16, 2016 · Report post Звонки между филиалами ходят по транку между двумя АТС? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
xayrex Posted December 16, 2016 (edited) · Report post EugeneTV Ходят, но не проблемный участок. Прошу прощения, я забыл уточнить, неполадки с правилами и транками я уже исключил. Потому что исходящий звонок в проблемном случае рвется в любое направление, а входящие все проходят без проблем. В стандартной ситуации когда на аппарате номер и атс своего филиала- аппарат устанавливает связь со своей атс, та в свою очередь с атс на другом филиале и конечная атс с аппаратом в своем филиале. Проблемный случай это когда аппарат использует номер и связывается с атс из другого филиала и обрыв происходит у исходящих с этого аппарата даже если он звонит на номера логически своей же атс- такой трафик на попадает в транк, потому что абоненты на одной атс, но в разных подсетях. Чтобы не запутывать я нарисовал схему, должно быть понятнее если смотреть на нее. Возможно я обратился не по адресу, просто не знаю можно ли разорвать в этом вопросе VoIP и сеть(коммутацию, маршрутизацию, фаервол), но о самих сетях у меня немного больше знаний чем о телефонии. Еще одно уточнение- для чего так усложнять? Потому что со стандартно настроенными номерами не работает переадресация. Edited December 16, 2016 by xayrex Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
EugeneTV Posted December 19, 2016 · Report post Я бы поковырял правила в фортигейте вашем. Там есть ограничения на трафик внутри VPN туннеля? сами подсети не натятся друг на друга случаем? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
xayrex Posted December 19, 2016 · Report post EugeneTV Нет, между сетями прозрачная маршрутизация. Единственное что не совсем стандартно, это размер подсети для телефонов в филиале "У", там маска 22 и соответственно 1024 адреса. Мне кажется это не существенно. Проблему частично решил отключением Application Layer Gateway (ALG) на фортигейтах с обоих сторон. Теперь работает переадресация. И нет обрыва на софтфоне, телефоны и компьютеры в разных подсетях. Очевидно что откликнувшиеся правы, корень проблемы в фаерволах, буду копаться в правилах маршрутизации на досуге. Для начальства как бы вопрос решен, но я не люблю такие решения, пальцем в небо. Хочу понять что именно работает не правильно и как должно быть правильно. Смущает что во всех старых экстеншенах установлен флажок "NAT", а в общем разделе отвечающем за это на АТС как бы настроек нет, хотя видимо настройки перебирались от балды когда другие пытались решить это. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...