AlwaysWannNymon Posted October 19, 2023 Posted October 19, 2023 (edited) Дано: 1 микротик Первая АТС с серым адресом 192.168.35.35 Роут до 172.28.61.10, где шлюз это VPN между 1 и 2 микротиком 2 микротик На нем vlan соединение для sip трафика На этот vlan привязан серый адрес 172.28.63.62/30 шлюз 172.28.63.62 Вторая АТС с адресом 172.28.61.10 получается за этим vlan Сделан роут до адреса 172.28.61.10 в котором шлюз указан 172.28.63.61, так как АТС находится в другой подсети Между микротиками поднят VPN SSTP со шлюзом 10.38.1.1 Первая АТС зарегестрировала номер, который предоставляет вторая АТС Проблема заключается в том, что вторая АТС видит первую АТС с адресом 192.168.35.35, а по их словам должен быть адрес 172.28.63.62 Если правильно понимаю, на втором микротике требуется сделать или srcnat или как-то поправить маскарад, чтобы адрес 192.168.35.35 подменялся на адрес 172.28.63.62 IP>firewall>NAT второго микротика: Flags: X - disabled, I - invalid, D - dynamic 0 ;;; defconf: masquerade chain=srcnat action=masquerade out-interface-list=WAN log=yes log-prefix="no log-prefix=""" ipsec-policy=out,none 1 chain=srcnat action=masquerade out-interface=vlan264-ATS log=no log-prefix="" Во вложение схема для визуализации Подобное обсуждение уже было на форуме, но проблему так и не смог решить Ссылка на прошлое похожее обсуждение Помогите! 12312.html Edited October 19, 2023 by AlwaysWannNymon Вставить ник Quote
jffulcrum Posted October 19, 2023 Posted October 19, 2023 4 часа назад, AlwaysWannNymon сказал: 0 ;;; defconf: masquerade chain=srcnat action=masquerade out-interface-list=WAN log=yes log-prefix="no log-prefix=""" ipsec-policy=out,none 1 chain=srcnat action=masquerade out-interface=vlan264-ATS log=no log-prefix="" Порядок правил имеет значение, у вас все подпадает в правило 1. В целом: 4 часа назад, AlwaysWannNymon сказал: Сделан роут до адреса 172.28.61.10 в котором шлюз указан 172.28.63.61, так как АТС находится в другой подсети ... Проблема заключается в том, что вторая АТС видит первую АТС с адресом 192.168.35.35, а по их словам должен быть адрес 172.28.63.62 Это - нормальное поведение. То есть так и должно быть. NAT здесь вам непонятно зачем, и может создать проблем, голос он такой, нежный, а SIP-helper для NAT в Mikrotik не идеален. Если все же вот надо создать видимость под IP 172.28.63.62, то на роутере 2 делаете: /ip firewall nat add chain=srcnat src-address=192.168.35.35 action=src-nat to-addresses=172.28.63.62 out-interface=vlan264-ATS И хоть в консоли, хоть в Winbox двинуть это правило так, чтобы в цепочке SRCNAT это правило стояло первым. Вставить ник Quote
AlwaysWannNymon Posted October 20, 2023 Author Posted October 20, 2023 Настроил это правило, делаю трассировку с микротик1 на 172.28.61.10 и трафик доходит только до шлюза VPN 10.38.1.1 В правиле поменял src address с 192.168.35.35 на 10.38.1.1 Трафик по правилу пошел, icmp проходит Также отключил маскарад но АТС1 не хочет регистрироваться в АТС2 Возможно тут уже проблема не со стороны микротиков Не уверен, что я сделал все правильно, указал в правиле шлюз VPN, но все ровно большая благодарность за описание и настройку правила Вставить ник Quote
SUrov_IBM Posted November 6, 2023 Posted November 6, 2023 AlwaysWannNymon, здравствуйте. Я правильно понимаю Вашу схему: [АТС (1) IP 192.168.35.35] <=> [MIKROTIK (1)] <={VPN}=> [MIKROTIK (2)] <IP 172.28.63.62/30 ={VoIP VLAN}= IP 172.28.63.62/30> [IP маршрутизатор] <=> [АТС (2) IP 172.28.61.10] ? Важное замечание с точки зрения телефонии, а именно - каким способом АТС (2) IP 172.28.61.10 сконфигурирована на взаимодействие с АТС (1) IP 192.168.35.35: - 1 вариант: АТС (2) IP 172.28.61.10 ожидает "на себе" регистрацию SIP User Agent (IP телефон / IP АТС / Soft-фон) с использованием SIP REGISTER (регистрация по - номер, логин и пароль), но с явной "привязкой" к IP адресу 172.28.63.62? Данный способ применяется если между SIP UA и IP АТС предполагается NAT. - 2 вариант: АТС (2) IP 172.28.61.10 ожидает, что SIP User Agent SIP работает "без регистрации" (не посылая SIP REGISTER) и фактически располагается на IP адресе 172.28.63.62? Условно если бы IP телефон или IP АТС включались в VoIP VLAN без маршрутизатора. Если используется 1 вариант, на MIKROTIK (2) Вам необходимо настроить Source NAT (src-nat) для сети 192.168.35.0/xx (возможно для одного IP адреса 192.168.35.35, но некоторые IP АТС используют два и более IP адресов подсети (например для DSP процессоров)). При этом должна быть "полная" IP связанность [АТС (1) IP 192.168.35.35] и [MIKROTIK (2)] через VPN. /ip firewall nat add action=src-nat chain=srcnat src-address=192.168.35.0/24 to-addresses=172.28.63.62 Чтобы пакеты посылаемые [АТС (1) IP 192.168.35.35] пройдя VPN "закрывались" IP адресом 172.28.63.62 src-nat NAT трансляцией в направлении IP адреса 172.28.61.10 на [MIKROTIK (2)]. Так же, на [MIKROTIK (1)] и [MIKROTIK (2)] обязательно выключайте SIP ALG (/ip firewall service-port set sip disabled=yes), ибо этот помощник "сам себе на уме". При использовании 2 варианта (UA SIP работает "без регистрации") и данной схеме, всё будет гораздо неприятней, с применением "дополнительных костылей" в схеме. Примечание: Посылаемые в сторону АТС (2) IP 172.28.61.10 SIP запросы, можно "смотреть" внешним анализатором трафика на [MIKROTIK (2)]. Например Wireshark'ом, чтобы убедиться в корректности запросов и правильной настройки src-nat. Вставить ник Quote
.png.5d2afa2996cc6a85d0f2c09b92dd0a28.png)
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.