Jump to content
Калькуляторы

asterisk за микротиком 750г Нет регистрации абонов

Добрый день !

Схема такая :

ISP<------> RB750G<------------>Asterisk

Пров аторизует по pppoe с выдачей static ip .

Проблема с авторизацией клиентов извне.Не регистрируются ,локально все нормально.

Static ip на астериске,т.е nat отсутсвует.

 

Есть подозрение что rb750 не пропускает порты 5060-5061 и порты rtp.

 

Заранее благодарен.

Share this post


Link to post
Share on other sites

microtic скорее всего не работает и не будет работать в режиме SBC,

поэтому абоненты с внешки не будут регистрироваться.

какое количество внутренних абонентов?

Share this post


Link to post
Share on other sites

Микротик пропускает все, нужно только правильно настроить. Пусть static IP будет на нем, на asterisk сделаете проброс всех портов, аналог DMZ в длинках.

 

Много таких связок работает с телефонией - никаких проблем не возникало.

Share this post


Link to post
Share on other sites

если я прав должны быть два правила на нате для входящего трафика, если нет пожалуйста товарищи гуру подправте:

/ip firewall nat add chain=dstnat action=dst-nat to-addresses=ВнутреннийIP-адресAsteriska to-ports=5060 protocol=udp in-interface=ether1 dst-port=5060 
/ip firewall nat add chain=dstnat action=dst-nat to-addresses=ВнутреннийIP-адресAsteriska to-ports=10000-20000 protocol=tcp in-interface=ether1 dst-port=10000-20000 

 

и соответственно в настройках пиров nat=yes

Share this post


Link to post
Share on other sites

RTP по UDP ходит, откуда TCP взялся ?

Share this post


Link to post
Share on other sites

RTP по UDP ходит, откуда TCP взялся ?

Возможно вы правы.

Выдержка из ВикиПедии "Протокол TCP, хотя и стандартизирован для передачи RTP,[3] как правило не используется в RTP-приложениях, так как надежность передачи в TCP формирует временные задержки. Вместо этого, большинство реализаций RTP базируется на UDP."

если по другому, то тогда так:

/ip firewall nat add chain=dstnat action=dst-nat to-addresses=ВнутреннийIP-адресAsteriska to-ports=5060 protocol=udp in-interface=ИнтерфейсИнтернета dst-port=5060 
/ip firewall nat add chain=dstnat action=dst-nat to-addresses=ВнутреннийIP-адресAsteriska to-ports=10000-20000 protocol=udp in-interface=ИнтерфейсИнтернета dst-port=10000-20000 

 

Кто проверит отпишитесь какой вариант рабочий :-)

Edited by koffin

Share this post


Link to post
Share on other sites

посмотрите в сторону самого маленького fortigate. он как sbc более-менее ничего. ну и заодно nat, ips, web-filter, etc в одной коробочке (смотря что по лицензиям выберете)

Share this post


Link to post
Share on other sites

а на астериске один интерфейс или два?

дебаг выдит входящий rtp?

Share this post


Link to post
Share on other sites

Тут задача криво описана... Микротик со стороны прова получает статик IP, на Астериске тоже статик IP. Это условие задачи, а как идет маршрутизация совершенно не понятно. На интерфейсе тика, который смотрит в астериск должна быть сетка, через которую астериск виден, а откуда у прова возьмется информация о роутинге? По этому видимо и не работает. Читайте маны по роутингу...

Share this post


Link to post
Share on other sites

Очевидно что надо настраивать NAT или PAT

Share this post


Link to post
Share on other sites

Не, NAT и PAT вообще не помогут!!! Это тоже стандартные грабли начинающих... Пробрасывание портов не поможет!!! Для этого SBC надо. Так что на callswitch только реальник и настраиваем маршрутизацию!!!

Share this post


Link to post
Share on other sites

у вас какое количество абонентов, может вам поставим sbc, да еще чтонибудь полезное под телефонию сделаем.

Share this post


Link to post
Share on other sites

вот с этим все нормально регится

/ip firewall nat add chain=dstnat action=dst-nat to-addresses=ВнутреннийIP-адресAsteriska to-ports=5060 protocol=udp in-interface=ИнтерфейсИнтернета dst-port=5060 
/ip firewall nat add chain=dstnat action=dst-nat to-addresses=ВнутреннийIP-адресAsteriska to-ports=10000-20000 protocol=udp in-interface=ИнтерфейсИнтернета dst-port=10000-20000 

 

в астере у пира ставишь nat=yes либо nat=route

Share this post


Link to post
Share on other sites

> вот с этим все нормально регится

 

Что регится и куда? Если "регится" клиентские устройства из интернет к Астериску, то вряд ли...

Share this post


Link to post
Share on other sites

> вот с этим все нормально регится

 

Что регится и куда? Если "регится" клиентские устройства из интернет к Астериску, то вряд ли...

 

Именно клиентские устрайства и регятся. Почему врядли? просто мнение стороннего наблюдателя?

Share this post


Link to post
Share on other sites

>просто мнение стороннего наблюдателя?

 

Просто мнение человека, который 15 лет строит сети доступа в Интернет... Просто потому, что на порт 5060 ходит не только UDP, но и TCP. Просто потому, что ip адреса при установлении соединения передаются внутри SIP сигнализации и для того что бы внутри их переписать и нужно SBC. А просто переписать ip и доставить пакет будет недостаточно. Именно по этой причине преодоление NAT со стороны клиентского устройства так геморойно. Так что даже если вам с помощью NAT удастся доставить пакеты до Астериска, то он все равно корректно работать не будет. И вообще, если уж вы что то утверждаете и тем более хамите, то сначала надо попробовать, вдруг предложенное вами решение не работает!

 

И еще раз... Если человек утверждает, что из сети у него все работает, а из интернета не работает, то это значит либо Астериск поставлен на приватных адресах, либо тупо не настроена маршрутизация. Если на приватных, то все попытки выпустить его через нат или пробрасывание портов будут тщетны. Этот вечный двигатель пытались изобретать многие, у всех не получилось. Надо ставить на реальнике или на бордере ставить SBC или SIP Proxy, что по сути и есть вариант SBC.

 

Указанный вами вариант "nat=yes либо nat=route" может сработать, если будет стоят задача например транк прокинуть и с другой стороны тоже стоит Астериск. А вот сделать так регистрацию и нормальную работу RTP от клиентов не получится!!!

Edited by AlexPan

Share this post


Link to post
Share on other sites

>просто мнение стороннего наблюдателя?

 

Просто мнение человека, который 15 лет строит сети доступа в Интернет... Просто потому, что на порт 5060 ходит не только UDP, но и TCP. Просто потому, что ip адреса при установлении соединения передаются внутри SIP сигнализации и для того что бы внутри их переписать и нужно SBC. А просто переписать ip и доставить пакет будет недостаточно. Именно по этой причине преодоление NAT со стороны клиентского устройства так геморойно. Так что даже если вам с помощью NAT удастся доставить пакеты до Астериска, то он все равно корректно работать не будет. И вообще, если уж вы что то утверждаете и тем более хамите, то сначала надо попробовать, вдруг предложенное вами решение не работает!

 

И еще раз... Если человек утверждает, что из сети у него все работает, а из интернета не работает, то это значит либо Астериск поставлен на приватных адресах, либо тупо не настроена маршрутизация. Если на приватных, то все попытки выпустить его через нат или пробрасывание портов будут тщетны. Этот вечный двигатель пытались изобретать многие, у всех не получилось. Надо ставить на реальнике или на бордере ставить SBC или SIP Proxy, что по сути и есть вариант SBC.

 

Указанный вами вариант "nat=yes либо nat=route" может сработать, если будет стоят задача например транк прокинуть и с другой стороны тоже стоит Астериск. А вот сделать так регистрацию и нормальную работу RTP от клиентов не получится!!!

 

ну во-первых я не хамлю:

>просто мнение стороннего наблюдателя? - как раз и относится к вопросу - а вы сами пробовали?

>Просто мнение человека, который 15 лет строит сети доступа в Интернет... - я то же не первый день работаю :-) - но это еще не показатель :-)

 

во-вторых у меня так подключаются пятеро сотрудников постоянно перемещающихся по разным городам, а периодически и странам. подключаются через wi-fi с мобильных телефонов и ноутбуков.

 

и как слежствие в-третьих:

> ...то сначала надо попробовать.... - уже год как работает, в том числе и транки с VoIP-операторов (а на их стороне далеко не Asterisk'и)

 

В конце вывод: в моем случае данное решение работает, пусть даже и не по стандартам построения сетей

 

А изначально вопрос в том, что у человека даже не регистрируются абоненты. А потому сначала нужно добиться хотябы регистрации, а потом уже разбираться почему голос не ходит и что еще не работает :-)

Да и кстати если есть белый айпи у сервера, нафига его за микротик пихать?

Edited by koffin

Share this post


Link to post
Share on other sites

И еще раз... Если человек утверждает, что из сети у него все работает, а из интернета не работает, то это значит либо Астериск поставлен на приватных адресах, либо тупо не настроена маршрутизация. Если на приватных, то все попытки выпустить его через нат или пробрасывание портов будут тщетны. Этот вечный двигатель пытались изобретать многие, у всех не получилось. Надо ставить на реальнике или на бордере ставить SBC или SIP Proxy, что по сути и есть вариант SBC.

 

Все работает и с НАТом.

Share this post


Link to post
Share on other sites

Все работает и с НАТом.

 

А что именно работает? У вас стоит каллсвитч на приватном адресе за NAT со стороны инета и позволяет регистрироваться клиентам по SIP из инета? Расскажите пожалуйста как вам это удалось?

 

PS. Для тех кто в танке объясняю... Та самая nat= позволяет заставить подключить клиента из за NAT, но из за клиентского NAT, а не NAT со стороны коллсвитча. На транке она позволяет игнорировать ip, которые прописаны в сигналинге при установлении соединения, а устанавливать соединение по src ip. А вот что бы регистрар прятать за NAT, так это мне в новинку. Т.е. везде NAT, но вот тема этого NAT везде разная. И надо еще понимать, какими именно алгоритмами конкретный каллсвитч обходит конкретную проблему. Если добрые люди дописали для Астериска возможности обходить клиентский NAT, что обычно делается в SBC, то не надо утверждать, что любой каллсвитч может преодолевать NAT. Не может и не должен! И если с другой стороны транка стоит не Астериск, какой нибудь другой каллсвитч, то вопрос преодоления NAT усложняется. По идее Астериск должен в момент установления RTP соединения указать в сигналинге свой ip и клиент должен устанавливать соединение с этим ip. Так как ip приватный, то соединение установить не получится!!! Такая хрень может получиться, если есть где то sipproxy на реальнике и RTP идет туда или клиент на столько продвинутый, что забивает на ip в сигналинге. Но, это частный случай и не надо тогда засирать мозги пионерам, что все работает по любому. Если нет задачи подключить любое клиентское устройство, то можно как то извратиться...

 

Если есть четкое представление как у вас это работает, то напишите, будет интересно почитать. Сообщение типа: "Все работает и с НАТом." имеет ноль информации и ноль интереса...

Edited by AlexPan

Share this post


Link to post
Share on other sites

И причем тут обсуждение всяких натов и SBC?

Топикстартер же написал:

Static ip на астериске,т.е nat отсутсвует.

 

Тут видимо действительно где-то что-то зарезано, или на микротике криво прописан маскарадинг, куда попадает трафик от астериска и каверкается.

Через нат кстати все нормально работает, есть несколько астерисков за всякими pf rdr, и снаружи все к ним цепляется и бегает.

Share this post


Link to post
Share on other sites

попробуйте на микротике

/ip firewall service-port disable sip 

Edited by ilyak

Share this post


Link to post
Share on other sites

> Static ip на астериске,т.е nat отсутсвует.

 

Я и говоры, что на кривой вопрос следует куча кривых ответов...

Static IP, это не динамический IP. Динамический IP обычно выдается по BootP или DHCP.

То, что вы имеете в виду, это обычно называется "реальным IP". Т.е., не входит в сетки "приватных IP".

 

Можно перейти от рассуждений "несколько Астерисков работают через нат и все цепляется" к варианту как и что конкретно настроено, что оно работает. Наверное не надо объяснять, что если поставить Астериск за обычным NAT на приватных адресах, то со стороны инета ничего цепляться не будет. И пожалуйста не надо писать предположения. Если сами не делали, то не надо предполагать, что так оно будет работать. Или уж хотя бы пишите - "я предполагаю". Пока что был предложен вариант с обратным NAT и куча рассуждений, что у кого то, где то все работает... Мне кажется, что всех интересует не сам факт, что у кого то и где то, а как именно!!!

Share this post


Link to post
Share on other sites

присоединюсь.

Конфиг микротика и адреса астериска хотелось бы увидеть.

Share this post


Link to post
Share on other sites

Что сказать: @koffin  полностью прав, все регается и все работает.

Конечно у меня опыта нет столько в постраничные СКС и сетей в целом как у @AlexPan но он явно не прав. 

On 18.09.2012 at 12:12 AM, ilyak said:

попробуйте на микротике

 


/ip firewall service-port disable sip 
 

 

 

@ilyak  тоже прав нужно выключить 

On 13.09.2012 at 9:45 AM, koffin said:

 

On 13.09.2012 at 9:45 AM, koffin said:

вот с этим все нормально регится

 


/ip firewall nat add chain=dstnat action=dst-nat to-addresses=ВнутреннийIP-адресAsteriska to-ports=5060 protocol=udp in-interface=ИнтерфейсИнтернета dst-port=5060 
/ip firewall nat add chain=dstnat action=dst-nat to-addresses=ВнутреннийIP-адресAsteriska to-ports=10000-20000 protocol=udp in-interface=ИнтерфейсИнтернета dst-port=10000-20000 
 

 

 

в астере у пира ставишь nat=yes либо nat=route

 

 

Чисто от себя хотел добавить что еслине выключить 

/ip firewall service-port disable sip 

ТО Вы не чего не будете слышать при исходящих вызовах - а в целом конечно это не влияет на регистрацию

 

Так же ставить это знание 

Quote

в астере у пира ставишь nat=yes либо nat=route

у sip users не обязательно

Edited by sailfer

Share this post


Link to post
Share on other sites

пользуясь случаем спрошу здесь про NAT

 

есть asterisk на сборке elastix4, 2 сетевых интерфейса 172.28.53.30 через него сип транк в сторону АТС оператора, и 192.168.100.250 внутренняя сеть, всё работает

 

стоит роутер, вафля на подсети 192.168.17.0/24 натится в 192.168.100.0/24, сип клиент по вифи не слышит звук от сип клиентов от локальной сети 192.168.100.0/24

 

решаемо?

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this