Jump to content
Калькуляторы

Подмена IP адреса на АТС

Дано:
1 микротик
Первая АТС с серым адресом 192.168.35.35
Роут до 172.28.61.10, где шлюз это VPN между 1 и 2 микротиком
2 микротик
На нем vlan соединение для sip трафика
На этот vlan привязан серый адрес 172.28.63.62/30 шлюз 172.28.63.62
Вторая АТС с адресом 172.28.61.10 получается за этим vlan
Сделан роут до адреса 172.28.61.10 в котором шлюз указан 172.28.63.61, так как АТС находится в другой подсети

Между микротиками поднят VPN SSTP со шлюзом 10.38.1.1

Первая АТС зарегестрировала номер, который предоставляет вторая АТС
Проблема заключается в том, что вторая АТС видит первую АТС с адресом 192.168.35.35, а по их словам должен быть адрес 172.28.63.62

Если правильно понимаю, на втором микротике требуется сделать или srcnat или как-то поправить маскарад, чтобы адрес 192.168.35.35 подменялся на адрес 172.28.63.62

IP>firewall>NAT второго микротика:

Flags: X - disabled, I - invalid, D - dynamic 
 0    ;;; defconf: masquerade
      chain=srcnat action=masquerade out-interface-list=WAN log=yes 
      log-prefix="no log-prefix=""" ipsec-policy=out,none 

 1    chain=srcnat action=masquerade out-interface=vlan264-ATS log=no 
      log-prefix=""
Во вложение схема для визуализации
Подобное обсуждение уже было на форуме, но проблему так и не смог решить
Ссылка на прошлое похожее обсуждение 


Помогите!
 

12312.html

Edited by AlwaysWannNymon

Share this post


Link to post
Share on other sites

4 часа назад, AlwaysWannNymon сказал:

0    ;;; defconf: masquerade
      chain=srcnat action=masquerade out-interface-list=WAN log=yes 
      log-prefix="no log-prefix=""" ipsec-policy=out,none 

 1    chain=srcnat action=masquerade out-interface=vlan264-ATS log=no 
      log-prefix=""

Порядок правил имеет значение, у вас все подпадает в правило 1.

 

В целом:

 

4 часа назад, AlwaysWannNymon сказал:

Сделан роут до адреса 172.28.61.10 в котором шлюз указан 172.28.63.61, так как АТС находится в другой подсети

...

Проблема заключается в том, что вторая АТС видит первую АТС с адресом 192.168.35.35, а по их словам должен быть адрес 172.28.63.62

Это - нормальное поведение. То есть так и должно быть. NAT здесь вам непонятно зачем, и может создать проблем, голос он такой, нежный, а SIP-helper для NAT в Mikrotik не идеален. 

 

Если все же вот надо создать видимость под IP 172.28.63.62, то на роутере 2 делаете:

 

/ip firewall nat add chain=srcnat src-address=192.168.35.35 action=src-nat to-addresses=172.28.63.62 out-interface=vlan264-ATS

 

И хоть в консоли, хоть в Winbox двинуть это правило так, чтобы в цепочке SRCNAT это правило стояло первым.

Share this post


Link to post
Share on other sites

Настроил это правило, делаю трассировку с микротик1 на 172.28.61.10 и трафик доходит только до шлюза VPN 10.38.1.1
В правиле поменял src address с 192.168.35.35 на 10.38.1.1
Трафик по правилу пошел, icmp проходит
Также отключил маскарад
но АТС1 не хочет регистрироваться в АТС2
Возможно тут уже проблема не со стороны микротиков
Не уверен, что я сделал все правильно, указал в правиле шлюз VPN, но все ровно большая благодарность за описание и настройку правила

Share this post


Link to post
Share on other sites

AlwaysWannNymon, здравствуйте.

 

Я правильно понимаю Вашу схему:

 

[АТС (1) IP 192.168.35.35] <=> [MIKROTIK (1)] <={VPN}=> [MIKROTIK (2)] <IP 172.28.63.62/30 ={VoIP VLAN}= IP 172.28.63.62/30> [IP маршрутизатор] <=> [АТС (2) IP 172.28.61.10] ?

 

 

Важное замечание с точки зрения телефонии, а именно - каким способом АТС (2) IP 172.28.61.10 сконфигурирована на взаимодействие с АТС (1) IP 192.168.35.35:

 

- 1 вариант: АТС (2) IP 172.28.61.10 ожидает "на себе" регистрацию SIP User Agent (IP телефон / IP АТС / Soft-фон) с использованием SIP REGISTER (регистрация по - номер, логин и пароль), но с явной "привязкой" к IP адресу 172.28.63.62? Данный способ применяется если между SIP UA и IP АТС предполагается NAT.

 

- 2 вариант: АТС (2) IP 172.28.61.10 ожидает, что SIP User Agent SIP работает "без регистрации" (не посылая SIP REGISTER) и фактически располагается на IP адресе 172.28.63.62? Условно если бы IP телефон или IP АТС включались в VoIP VLAN без маршрутизатора.

 

 

Если используется 1 вариант, на MIKROTIK (2) Вам необходимо настроить Source NAT (src-nat) для сети 192.168.35.0/xx (возможно для одного IP адреса 192.168.35.35, но некоторые IP АТС используют два и более IP адресов подсети (например для DSP процессоров)). При этом должна быть "полная" IP связанность [АТС (1) IP 192.168.35.35] и [MIKROTIK (2)] через VPN.

 

/ip firewall nat

add action=src-nat chain=srcnat src-address=192.168.35.0/24 to-addresses=172.28.63.62

 

Чтобы пакеты посылаемые [АТС (1) IP 192.168.35.35] пройдя VPN "закрывались" IP адресом 172.28.63.62 src-nat NAT трансляцией в направлении IP адреса 172.28.61.10 на [MIKROTIK (2)].

 

Так же, на [MIKROTIK (1)] и [MIKROTIK (2)] обязательно выключайте SIP ALG (/ip firewall service-port set sip disabled=yes), ибо этот помощник "сам себе на уме".

 

 

При использовании 2 варианта (UA SIP работает "без регистрации") и данной схеме, всё будет гораздо неприятней, с применением "дополнительных костылей" в схеме.

 

 

Примечание: Посылаемые в сторону АТС (2) IP 172.28.61.10 SIP запросы, можно "смотреть" внешним анализатором трафика на [MIKROTIK (2)]. Например Wireshark'ом, чтобы убедиться в корректности запросов и правильной настройки src-nat.

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.