[asp-sysadmin]

Доброго времени суток.

Ситуация простая: на рабочем месте Zoiper подключается к серверу Asterisk, звонит и принимает звонки; а с удаленного ПК, из дома - уже нет, статус подключение висит и звонки не устанавливает.

На этом рабочем месте я недавно, все получил уже готовым и работоспособным.

И дали новое задание - настроить подключение Zoiper к серверу Asterisk для звонков из дома.

И подробности:

 - сервер с Asterisk работает на ОС Debian 8, который лежит в виртуальной машине на Proxmox, тоже на Debian;

 - единственный внутренний сетевой интерфейс Астериска имеет внешний глобальный ip, сетевой интерфейс виртуальной машины в режиме bridge подключен к другой вирталке, с работающим PfSense

 - виртуалка с PfSene работает с Астериском на одном сетевом интерфейсе, и выходит в интернет на другом, сосвоим внешним ip,

 - к слову, ограничений на подключение к внешнему ip Астериска внутри pfSense я не обнаружил

 - подключение к PfSense, а заодно и к прочим серверам на виртуалках, из рабочего фоиса происходит через роутер Microtik, с настроенным OpenVPN

Итого, рабочая цепочка:

офисный пк (+ zoiper) -=- Microtik (+ OpenVPN) -=- Интернет -=- PfSense -=- Asterisk

На домашнем ПК цепочка проще: пк (+ zoiper) -=- Интернет -=- PfSense -=- Asterisk

Настройка OpenVPN на домашнем ПК: пк (+ zoiper +OpenVPN) -=- Интернет -=- PfSense -=- Asterisk

увы, тоже не принесла результатов, хотя к другим серверам за PfSense по RDP доступ есть.

 

IPTables сервера с Asterisk не содержит явных запретов на подключение к телефонии из внешнего мира через порт 5060.

Также были добавлены правила на подключение через несколько соседних портов - иногда нужно, если сессия на порту 5060 зависла.

 

Статус "подключение" (registering) внутри Zoiper на домашнем ПК не переходит в "подключен" (registered)

 

Вопрос к уважаемым специалистам:

Как решить такой паззл или где искать препятствия подключению.

 

Заранее спасибо.

[murano]

У Вас хотя бы пингуется астериск с компа, где зойпер? Посмотрите на астериске tcpdump в момент попыток регистрации. Да и вообще, тяжело гадать, не зная конфигураций каждой из железок на пути между зойпером и астериском.

[asp-sysadmin]

murano 

Спасибо за совет.

Забыл упомянуть - да, с ПК клиента Астериск пингуется.

 

Далее балуюсь с tcpdump.

Команда

  sudo tcpdump dst <ip-asterisk> and port 5060 > tmp/tcpdump.txt

дает много разных соединений, пакетов и пр.

На ПК клиента в браузере захожу на сайт myip.ru, получаю один набор цифр, например: 99.88.77.42

Делаю более узкий tcpdump

sudo tcpdump -vv src 99.88.77.42 and dst <ip-asterisk> and port 5060 > tmp/tcpdump01.txt

И получаю 0 (ноль) пакетов. С того ip на астериск не приходит ничего.

Внимательно курю предыдущий журнал tcpdump.txt и нахожу строчки с клиентским sip - 109. Этот sip прилетает на астериск чуть с другого ip - 99.88.77.41 (к примеру)

Делаю новую команду tcpdump

sudo tcpdump -vv src 99.88.77.41 and dst <ip-asterisk> and port 5060 > tmp/tcpdump02.txt

 

И получаю примерно следующее:

 

13:50:56.688600 IP (tos 0x0, ttl 115, id 8383, offset 0, flags [none], proto UDP (17), length 764)
    99.88.77.41.sip > a1.aspcom.ru.sip: [udp sum ok] SIP, length: 736
        SUBSCRIBE sip:206@<asterisk-ip>;transport=UDP SIP/2.0
        Via: SIP/2.0/UDP 172.XXX.XXX.XXX:5060;branch=z9hG4bK-d8754z-5c491a37cf752784-1---d8754z-
        Max-Forwards: 70
        Contact: <sip:109@172.XXX.XXX.XXX:5060;transport=UDP>
        To: "109"<sip:109@<asterisk-ip>;transport=UDP>
        From: "109"<sip:109@<asterisk-ip>;transport=UDP>;tag=f12be75a
        Call-ID: MWMwNjU1ZWJiYTZiZTQ0YmY4ODYzMzRkNDIyMGVjYWI.
        CSeq: 1 SUBSCRIBE
        Expires: 3600
        Accept: application/simple-message-summary
        Allow: INVITE, ACK, CANCEL, BYE, NOTIFY, REFER, MESSAGE, OPTIONS, INFO, SUBSCRIBE
        Supported: replaces, norefersub, extended-refer, timer, X-cisco-serviceuri
        User-Agent: Zoiper for Windows 2.43 r24984
        Event: message-summary
        Allow-Events: presence, kpml
        Content-Length: 0

 

Что я точно здесь знаю:

  - 99.88.77.41 - почему-то астериск получает пакеты с этого ip, хотя у клиента myip.ru выдает другой - 99.88.77.42

  - 172.XXX.XXX.XXX - провайдер интернета клиента имеет свой веб-ресурс, который показывает именно этот ip, как клиентский; почему отличается от вышеуказанных - не знаю

  - <asterisk-ip> - соответственно ip сервера Астериск.

А дальше прошу помочь разобраться.

 

Заранее, спасибо.

[dedy]

Исключайте проблемы постепенно:

1) Проверьте подключение на другом провайдера - если работает значит проблема у первого провайдера

2) Проверьте подключение через другую программу - если работает на другой то проблема с зойпером

3) Возможно блокировка/не правильно настроен роутер возле пк где стоит зоипер

4) Позвоните провайдеру - может он блокирует 5060

 

Я при таких проблемах всегда завожу аккаунт на телефоне(анддроид) и уже от результата иду дальше.

[asp-sysadmin]

dedy 

Ок, по пунктам

 

1) проверено на другом провайдере - симптомы аналогичные - не регистрирует

2) через другую прогу проверю; но повторюсь - внутри сети фирмы, в офисе зойпер работает, хорошо вобщем работает

3) роутер у клиента простой - dsl-модем от TP-Link, блокировок udp или порта 5060 нет внутри

4) провадер свято заерил - ничего не блокируют, клиент сам их 2 дня мучил, евойные технари даже что-то меняли-перезагружали

 

Еще версии?

 

[murano]

Самое простое решение - это прокинуть VPN-туннель до астериска или ближайшего к нему маршрутизатора и пустить по нему трафик SIP

[AUDC-SP]

20 часов назад, asp-sysadmin сказал:

dedy 

Ок, по пунктам

 

1) проверено на другом провайдере - симптомы аналогичные - не регистрирует

2) через другую прогу проверю; но повторюсь - внутри сети фирмы, в офисе зойпер работает, хорошо вобщем работает

 

3) роутер у клиента простой - dsl-модем от TP-Link, блокировок udp или порта 5060 нет внутри

4) провадер свято заерил - ничего не блокируют, клиент сам их 2 дня мучил, евойные технари даже что-то меняли-перезагружали

 

Еще версии?

 

пп1,2 скорее говорят лишь о том, что налицо стандартная работа NAT (а то и двух NAT), одного на Тплинке, второго - у провайдера.

п.3 - блокировок порта 5060 может и не быть, зато легко и непринужденно может быть очень часто встречающаяся проблема работы SIP ALG на роутере для стандартных портов. Как вариант - попробовать изменить порт на отличный от 5060, например 5062, 5064 или любой другой на усмотрение.

п4 - скорее всего так и есть, им на фиг не нужен гемор в виде претензий на блокировку стандартных видов трафика. Больше чем уверен, что у них все легитимное разрешено. проблема не у них (если бы они предоставляли вам голосовой сервис, то это была бы их проблема), проблема у вас  - с NAT.

 

версии - использовать у вас в конторе SBC, который хорошо умеет делать NAT Traversal, причем в вашем случае это скорее всего именно двойной NAT (один ваш, второй провайдерский). И будет вам счастье для удаленных надомных абонентов.

Сам вчера у одного известного провайдера тестировал двойные и тройные NAT в таких же сценариях на нашем виртуальном SBC.