RG-45 Опубликовано 25 июля, 2012 · Жалоба Добрый день ! Схема такая : ISP<------> RB750G<------------>Asterisk Пров аторизует по pppoe с выдачей static ip . Проблема с авторизацией клиентов извне.Не регистрируются ,локально все нормально. Static ip на астериске,т.е nat отсутсвует. Есть подозрение что rb750 не пропускает порты 5060-5061 и порты rtp. Заранее благодарен. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
jams Опубликовано 25 июля, 2012 · Жалоба microtic скорее всего не работает и не будет работать в режиме SBC, поэтому абоненты с внешки не будут регистрироваться. какое количество внутренних абонентов? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Saab95 Опубликовано 27 июля, 2012 · Жалоба Микротик пропускает все, нужно только правильно настроить. Пусть static IP будет на нем, на asterisk сделаете проброс всех портов, аналог DMZ в длинках. Много таких связок работает с телефонией - никаких проблем не возникало. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
koffin Опубликовано 30 июля, 2012 · Жалоба если я прав должны быть два правила на нате для входящего трафика, если нет пожалуйста товарищи гуру подправте: /ip firewall nat add chain=dstnat action=dst-nat to-addresses=ВнутреннийIP-адресAsteriska to-ports=5060 protocol=udp in-interface=ether1 dst-port=5060 /ip firewall nat add chain=dstnat action=dst-nat to-addresses=ВнутреннийIP-адресAsteriska to-ports=10000-20000 protocol=tcp in-interface=ether1 dst-port=10000-20000 и соответственно в настройках пиров nat=yes Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Morze Опубликовано 30 июля, 2012 · Жалоба RTP по UDP ходит, откуда TCP взялся ? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
koffin Опубликовано 30 июля, 2012 (изменено) · Жалоба RTP по UDP ходит, откуда TCP взялся ? Возможно вы правы. Выдержка из ВикиПедии "Протокол TCP, хотя и стандартизирован для передачи RTP,[3] как правило не используется в RTP-приложениях, так как надежность передачи в TCP формирует временные задержки. Вместо этого, большинство реализаций RTP базируется на UDP." если по другому, то тогда так: /ip firewall nat add chain=dstnat action=dst-nat to-addresses=ВнутреннийIP-адресAsteriska to-ports=5060 protocol=udp in-interface=ИнтерфейсИнтернета dst-port=5060 /ip firewall nat add chain=dstnat action=dst-nat to-addresses=ВнутреннийIP-адресAsteriska to-ports=10000-20000 protocol=udp in-interface=ИнтерфейсИнтернета dst-port=10000-20000 Кто проверит отпишитесь какой вариант рабочий :-) Изменено 30 июля, 2012 пользователем koffin Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
slapik Опубликовано 30 июля, 2012 · Жалоба посмотрите в сторону самого маленького fortigate. он как sbc более-менее ничего. ну и заодно nat, ips, web-filter, etc в одной коробочке (смотря что по лицензиям выберете) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Repzos Опубликовано 30 июля, 2012 · Жалоба а на астериске один интерфейс или два? дебаг выдит входящий rtp? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
AlexPan Опубликовано 10 сентября, 2012 · Жалоба Тут задача криво описана... Микротик со стороны прова получает статик IP, на Астериске тоже статик IP. Это условие задачи, а как идет маршрутизация совершенно не понятно. На интерфейсе тика, который смотрит в астериск должна быть сетка, через которую астериск виден, а откуда у прова возьмется информация о роутинге? По этому видимо и не работает. Читайте маны по роутингу... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Sonne Опубликовано 10 сентября, 2012 · Жалоба Очевидно что надо настраивать NAT или PAT Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
AlexPan Опубликовано 11 сентября, 2012 · Жалоба Не, NAT и PAT вообще не помогут!!! Это тоже стандартные грабли начинающих... Пробрасывание портов не поможет!!! Для этого SBC надо. Так что на callswitch только реальник и настраиваем маршрутизацию!!! Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
jams Опубликовано 12 сентября, 2012 · Жалоба у вас какое количество абонентов, может вам поставим sbc, да еще чтонибудь полезное под телефонию сделаем. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
koffin Опубликовано 13 сентября, 2012 · Жалоба вот с этим все нормально регится /ip firewall nat add chain=dstnat action=dst-nat to-addresses=ВнутреннийIP-адресAsteriska to-ports=5060 protocol=udp in-interface=ИнтерфейсИнтернета dst-port=5060 /ip firewall nat add chain=dstnat action=dst-nat to-addresses=ВнутреннийIP-адресAsteriska to-ports=10000-20000 protocol=udp in-interface=ИнтерфейсИнтернета dst-port=10000-20000 в астере у пира ставишь nat=yes либо nat=route Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
AlexPan Опубликовано 13 сентября, 2012 · Жалоба > вот с этим все нормально регится Что регится и куда? Если "регится" клиентские устройства из интернет к Астериску, то вряд ли... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
koffin Опубликовано 13 сентября, 2012 · Жалоба > вот с этим все нормально регится Что регится и куда? Если "регится" клиентские устройства из интернет к Астериску, то вряд ли... Именно клиентские устрайства и регятся. Почему врядли? просто мнение стороннего наблюдателя? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
AlexPan Опубликовано 13 сентября, 2012 (изменено) · Жалоба >просто мнение стороннего наблюдателя? Просто мнение человека, который 15 лет строит сети доступа в Интернет... Просто потому, что на порт 5060 ходит не только UDP, но и TCP. Просто потому, что ip адреса при установлении соединения передаются внутри SIP сигнализации и для того что бы внутри их переписать и нужно SBC. А просто переписать ip и доставить пакет будет недостаточно. Именно по этой причине преодоление NAT со стороны клиентского устройства так геморойно. Так что даже если вам с помощью NAT удастся доставить пакеты до Астериска, то он все равно корректно работать не будет. И вообще, если уж вы что то утверждаете и тем более хамите, то сначала надо попробовать, вдруг предложенное вами решение не работает! И еще раз... Если человек утверждает, что из сети у него все работает, а из интернета не работает, то это значит либо Астериск поставлен на приватных адресах, либо тупо не настроена маршрутизация. Если на приватных, то все попытки выпустить его через нат или пробрасывание портов будут тщетны. Этот вечный двигатель пытались изобретать многие, у всех не получилось. Надо ставить на реальнике или на бордере ставить SBC или SIP Proxy, что по сути и есть вариант SBC. Указанный вами вариант "nat=yes либо nat=route" может сработать, если будет стоят задача например транк прокинуть и с другой стороны тоже стоит Астериск. А вот сделать так регистрацию и нормальную работу RTP от клиентов не получится!!! Изменено 13 сентября, 2012 пользователем AlexPan Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
koffin Опубликовано 14 сентября, 2012 (изменено) · Жалоба >просто мнение стороннего наблюдателя? Просто мнение человека, который 15 лет строит сети доступа в Интернет... Просто потому, что на порт 5060 ходит не только UDP, но и TCP. Просто потому, что ip адреса при установлении соединения передаются внутри SIP сигнализации и для того что бы внутри их переписать и нужно SBC. А просто переписать ip и доставить пакет будет недостаточно. Именно по этой причине преодоление NAT со стороны клиентского устройства так геморойно. Так что даже если вам с помощью NAT удастся доставить пакеты до Астериска, то он все равно корректно работать не будет. И вообще, если уж вы что то утверждаете и тем более хамите, то сначала надо попробовать, вдруг предложенное вами решение не работает! И еще раз... Если человек утверждает, что из сети у него все работает, а из интернета не работает, то это значит либо Астериск поставлен на приватных адресах, либо тупо не настроена маршрутизация. Если на приватных, то все попытки выпустить его через нат или пробрасывание портов будут тщетны. Этот вечный двигатель пытались изобретать многие, у всех не получилось. Надо ставить на реальнике или на бордере ставить SBC или SIP Proxy, что по сути и есть вариант SBC. Указанный вами вариант "nat=yes либо nat=route" может сработать, если будет стоят задача например транк прокинуть и с другой стороны тоже стоит Астериск. А вот сделать так регистрацию и нормальную работу RTP от клиентов не получится!!! ну во-первых я не хамлю: >просто мнение стороннего наблюдателя? - как раз и относится к вопросу - а вы сами пробовали? >Просто мнение человека, который 15 лет строит сети доступа в Интернет... - я то же не первый день работаю :-) - но это еще не показатель :-) во-вторых у меня так подключаются пятеро сотрудников постоянно перемещающихся по разным городам, а периодически и странам. подключаются через wi-fi с мобильных телефонов и ноутбуков. и как слежствие в-третьих: > ...то сначала надо попробовать.... - уже год как работает, в том числе и транки с VoIP-операторов (а на их стороне далеко не Asterisk'и) В конце вывод: в моем случае данное решение работает, пусть даже и не по стандартам построения сетей А изначально вопрос в том, что у человека даже не регистрируются абоненты. А потому сначала нужно добиться хотябы регистрации, а потом уже разбираться почему голос не ходит и что еще не работает :-) Да и кстати если есть белый айпи у сервера, нафига его за микротик пихать? Изменено 14 сентября, 2012 пользователем koffin Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
cma1kep Опубликовано 14 сентября, 2012 · Жалоба И еще раз... Если человек утверждает, что из сети у него все работает, а из интернета не работает, то это значит либо Астериск поставлен на приватных адресах, либо тупо не настроена маршрутизация. Если на приватных, то все попытки выпустить его через нат или пробрасывание портов будут тщетны. Этот вечный двигатель пытались изобретать многие, у всех не получилось. Надо ставить на реальнике или на бордере ставить SBC или SIP Proxy, что по сути и есть вариант SBC. Все работает и с НАТом. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
AlexPan Опубликовано 17 сентября, 2012 (изменено) · Жалоба Все работает и с НАТом. А что именно работает? У вас стоит каллсвитч на приватном адресе за NAT со стороны инета и позволяет регистрироваться клиентам по SIP из инета? Расскажите пожалуйста как вам это удалось? PS. Для тех кто в танке объясняю... Та самая nat= позволяет заставить подключить клиента из за NAT, но из за клиентского NAT, а не NAT со стороны коллсвитча. На транке она позволяет игнорировать ip, которые прописаны в сигналинге при установлении соединения, а устанавливать соединение по src ip. А вот что бы регистрар прятать за NAT, так это мне в новинку. Т.е. везде NAT, но вот тема этого NAT везде разная. И надо еще понимать, какими именно алгоритмами конкретный каллсвитч обходит конкретную проблему. Если добрые люди дописали для Астериска возможности обходить клиентский NAT, что обычно делается в SBC, то не надо утверждать, что любой каллсвитч может преодолевать NAT. Не может и не должен! И если с другой стороны транка стоит не Астериск, какой нибудь другой каллсвитч, то вопрос преодоления NAT усложняется. По идее Астериск должен в момент установления RTP соединения указать в сигналинге свой ip и клиент должен устанавливать соединение с этим ip. Так как ip приватный, то соединение установить не получится!!! Такая хрень может получиться, если есть где то sipproxy на реальнике и RTP идет туда или клиент на столько продвинутый, что забивает на ip в сигналинге. Но, это частный случай и не надо тогда засирать мозги пионерам, что все работает по любому. Если нет задачи подключить любое клиентское устройство, то можно как то извратиться... Если есть четкое представление как у вас это работает, то напишите, будет интересно почитать. Сообщение типа: "Все работает и с НАТом." имеет ноль информации и ноль интереса... Изменено 17 сентября, 2012 пользователем AlexPan Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
dsk Опубликовано 17 сентября, 2012 · Жалоба И причем тут обсуждение всяких натов и SBC? Топикстартер же написал: Static ip на астериске,т.е nat отсутсвует. Тут видимо действительно где-то что-то зарезано, или на микротике криво прописан маскарадинг, куда попадает трафик от астериска и каверкается. Через нат кстати все нормально работает, есть несколько астерисков за всякими pf rdr, и снаружи все к ним цепляется и бегает. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ilyak Опубликовано 17 сентября, 2012 (изменено) · Жалоба попробуйте на микротике /ip firewall service-port disable sip Изменено 17 сентября, 2012 пользователем ilyak Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
AlexPan Опубликовано 18 сентября, 2012 · Жалоба > Static ip на астериске,т.е nat отсутсвует. Я и говоры, что на кривой вопрос следует куча кривых ответов... Static IP, это не динамический IP. Динамический IP обычно выдается по BootP или DHCP. То, что вы имеете в виду, это обычно называется "реальным IP". Т.е., не входит в сетки "приватных IP". Можно перейти от рассуждений "несколько Астерисков работают через нат и все цепляется" к варианту как и что конкретно настроено, что оно работает. Наверное не надо объяснять, что если поставить Астериск за обычным NAT на приватных адресах, то со стороны инета ничего цепляться не будет. И пожалуйста не надо писать предположения. Если сами не делали, то не надо предполагать, что так оно будет работать. Или уж хотя бы пишите - "я предполагаю". Пока что был предложен вариант с обратным NAT и куча рассуждений, что у кого то, где то все работает... Мне кажется, что всех интересует не сам факт, что у кого то и где то, а как именно!!! Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ilyak Опубликовано 18 сентября, 2012 · Жалоба присоединюсь. Конфиг микротика и адреса астериска хотелось бы увидеть. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
sailfer Опубликовано 5 марта, 2018 (изменено) · Жалоба Что сказать: @koffin полностью прав, все регается и все работает. Конечно у меня опыта нет столько в постраничные СКС и сетей в целом как у @AlexPan но он явно не прав. On 18.09.2012 at 12:12 AM, ilyak said: попробуйте на микротике /ip firewall service-port disable sip @ilyak тоже прав нужно выключить On 13.09.2012 at 9:45 AM, koffin said: On 13.09.2012 at 9:45 AM, koffin said: вот с этим все нормально регится /ip firewall nat add chain=dstnat action=dst-nat to-addresses=ВнутреннийIP-адресAsteriska to-ports=5060 protocol=udp in-interface=ИнтерфейсИнтернета dst-port=5060 /ip firewall nat add chain=dstnat action=dst-nat to-addresses=ВнутреннийIP-адресAsteriska to-ports=10000-20000 protocol=udp in-interface=ИнтерфейсИнтернета dst-port=10000-20000 в астере у пира ставишь nat=yes либо nat=route Чисто от себя хотел добавить что еслине выключить /ip firewall service-port disable sip ТО Вы не чего не будете слышать при исходящих вызовах - а в целом конечно это не влияет на регистрацию Так же ставить это знание Quote в астере у пира ставишь nat=yes либо nat=route у sip users не обязательно Изменено 5 марта, 2018 пользователем sailfer Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
yKpon Опубликовано 5 марта, 2018 · Жалоба пользуясь случаем спрошу здесь про NAT есть asterisk на сборке elastix4, 2 сетевых интерфейса 172.28.53.30 через него сип транк в сторону АТС оператора, и 192.168.100.250 внутренняя сеть, всё работает стоит роутер, вафля на подсети 192.168.17.0/24 натится в 192.168.100.0/24, сип клиент по вифи не слышит звук от сип клиентов от локальной сети 192.168.100.0/24 решаемо? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...