Перейти к содержимому
Калькуляторы

asterisk за микротиком 750г Нет регистрации абонов

Добрый день !

Схема такая :

ISP<------> RB750G<------------>Asterisk

Пров аторизует по pppoe с выдачей static ip .

Проблема с авторизацией клиентов извне.Не регистрируются ,локально все нормально.

Static ip на астериске,т.е nat отсутсвует.

 

Есть подозрение что rb750 не пропускает порты 5060-5061 и порты rtp.

 

Заранее благодарен.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

microtic скорее всего не работает и не будет работать в режиме SBC,

поэтому абоненты с внешки не будут регистрироваться.

какое количество внутренних абонентов?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Микротик пропускает все, нужно только правильно настроить. Пусть static IP будет на нем, на asterisk сделаете проброс всех портов, аналог DMZ в длинках.

 

Много таких связок работает с телефонией - никаких проблем не возникало.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

если я прав должны быть два правила на нате для входящего трафика, если нет пожалуйста товарищи гуру подправте:

/ip firewall nat add chain=dstnat action=dst-nat to-addresses=ВнутреннийIP-адресAsteriska to-ports=5060 protocol=udp in-interface=ether1 dst-port=5060 
/ip firewall nat add chain=dstnat action=dst-nat to-addresses=ВнутреннийIP-адресAsteriska to-ports=10000-20000 protocol=tcp in-interface=ether1 dst-port=10000-20000 

 

и соответственно в настройках пиров nat=yes

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

RTP по UDP ходит, откуда TCP взялся ?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

RTP по UDP ходит, откуда TCP взялся ?

Возможно вы правы.

Выдержка из ВикиПедии "Протокол TCP, хотя и стандартизирован для передачи RTP,[3] как правило не используется в RTP-приложениях, так как надежность передачи в TCP формирует временные задержки. Вместо этого, большинство реализаций RTP базируется на UDP."

если по другому, то тогда так:

/ip firewall nat add chain=dstnat action=dst-nat to-addresses=ВнутреннийIP-адресAsteriska to-ports=5060 protocol=udp in-interface=ИнтерфейсИнтернета dst-port=5060 
/ip firewall nat add chain=dstnat action=dst-nat to-addresses=ВнутреннийIP-адресAsteriska to-ports=10000-20000 protocol=udp in-interface=ИнтерфейсИнтернета dst-port=10000-20000 

 

Кто проверит отпишитесь какой вариант рабочий :-)

Изменено пользователем koffin

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

посмотрите в сторону самого маленького fortigate. он как sbc более-менее ничего. ну и заодно nat, ips, web-filter, etc в одной коробочке (смотря что по лицензиям выберете)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

а на астериске один интерфейс или два?

дебаг выдит входящий rtp?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Тут задача криво описана... Микротик со стороны прова получает статик IP, на Астериске тоже статик IP. Это условие задачи, а как идет маршрутизация совершенно не понятно. На интерфейсе тика, который смотрит в астериск должна быть сетка, через которую астериск виден, а откуда у прова возьмется информация о роутинге? По этому видимо и не работает. Читайте маны по роутингу...

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Очевидно что надо настраивать NAT или PAT

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Не, NAT и PAT вообще не помогут!!! Это тоже стандартные грабли начинающих... Пробрасывание портов не поможет!!! Для этого SBC надо. Так что на callswitch только реальник и настраиваем маршрутизацию!!!

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

у вас какое количество абонентов, может вам поставим sbc, да еще чтонибудь полезное под телефонию сделаем.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

вот с этим все нормально регится

/ip firewall nat add chain=dstnat action=dst-nat to-addresses=ВнутреннийIP-адресAsteriska to-ports=5060 protocol=udp in-interface=ИнтерфейсИнтернета dst-port=5060 
/ip firewall nat add chain=dstnat action=dst-nat to-addresses=ВнутреннийIP-адресAsteriska to-ports=10000-20000 protocol=udp in-interface=ИнтерфейсИнтернета dst-port=10000-20000 

 

в астере у пира ставишь nat=yes либо nat=route

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

> вот с этим все нормально регится

 

Что регится и куда? Если "регится" клиентские устройства из интернет к Астериску, то вряд ли...

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

> вот с этим все нормально регится

 

Что регится и куда? Если "регится" клиентские устройства из интернет к Астериску, то вряд ли...

 

Именно клиентские устрайства и регятся. Почему врядли? просто мнение стороннего наблюдателя?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

>просто мнение стороннего наблюдателя?

 

Просто мнение человека, который 15 лет строит сети доступа в Интернет... Просто потому, что на порт 5060 ходит не только UDP, но и TCP. Просто потому, что ip адреса при установлении соединения передаются внутри SIP сигнализации и для того что бы внутри их переписать и нужно SBC. А просто переписать ip и доставить пакет будет недостаточно. Именно по этой причине преодоление NAT со стороны клиентского устройства так геморойно. Так что даже если вам с помощью NAT удастся доставить пакеты до Астериска, то он все равно корректно работать не будет. И вообще, если уж вы что то утверждаете и тем более хамите, то сначала надо попробовать, вдруг предложенное вами решение не работает!

 

И еще раз... Если человек утверждает, что из сети у него все работает, а из интернета не работает, то это значит либо Астериск поставлен на приватных адресах, либо тупо не настроена маршрутизация. Если на приватных, то все попытки выпустить его через нат или пробрасывание портов будут тщетны. Этот вечный двигатель пытались изобретать многие, у всех не получилось. Надо ставить на реальнике или на бордере ставить SBC или SIP Proxy, что по сути и есть вариант SBC.

 

Указанный вами вариант "nat=yes либо nat=route" может сработать, если будет стоят задача например транк прокинуть и с другой стороны тоже стоит Астериск. А вот сделать так регистрацию и нормальную работу RTP от клиентов не получится!!!

Изменено пользователем AlexPan

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

>просто мнение стороннего наблюдателя?

 

Просто мнение человека, который 15 лет строит сети доступа в Интернет... Просто потому, что на порт 5060 ходит не только UDP, но и TCP. Просто потому, что ip адреса при установлении соединения передаются внутри SIP сигнализации и для того что бы внутри их переписать и нужно SBC. А просто переписать ip и доставить пакет будет недостаточно. Именно по этой причине преодоление NAT со стороны клиентского устройства так геморойно. Так что даже если вам с помощью NAT удастся доставить пакеты до Астериска, то он все равно корректно работать не будет. И вообще, если уж вы что то утверждаете и тем более хамите, то сначала надо попробовать, вдруг предложенное вами решение не работает!

 

И еще раз... Если человек утверждает, что из сети у него все работает, а из интернета не работает, то это значит либо Астериск поставлен на приватных адресах, либо тупо не настроена маршрутизация. Если на приватных, то все попытки выпустить его через нат или пробрасывание портов будут тщетны. Этот вечный двигатель пытались изобретать многие, у всех не получилось. Надо ставить на реальнике или на бордере ставить SBC или SIP Proxy, что по сути и есть вариант SBC.

 

Указанный вами вариант "nat=yes либо nat=route" может сработать, если будет стоят задача например транк прокинуть и с другой стороны тоже стоит Астериск. А вот сделать так регистрацию и нормальную работу RTP от клиентов не получится!!!

 

ну во-первых я не хамлю:

>просто мнение стороннего наблюдателя? - как раз и относится к вопросу - а вы сами пробовали?

>Просто мнение человека, который 15 лет строит сети доступа в Интернет... - я то же не первый день работаю :-) - но это еще не показатель :-)

 

во-вторых у меня так подключаются пятеро сотрудников постоянно перемещающихся по разным городам, а периодически и странам. подключаются через wi-fi с мобильных телефонов и ноутбуков.

 

и как слежствие в-третьих:

> ...то сначала надо попробовать.... - уже год как работает, в том числе и транки с VoIP-операторов (а на их стороне далеко не Asterisk'и)

 

В конце вывод: в моем случае данное решение работает, пусть даже и не по стандартам построения сетей

 

А изначально вопрос в том, что у человека даже не регистрируются абоненты. А потому сначала нужно добиться хотябы регистрации, а потом уже разбираться почему голос не ходит и что еще не работает :-)

Да и кстати если есть белый айпи у сервера, нафига его за микротик пихать?

Изменено пользователем koffin

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

И еще раз... Если человек утверждает, что из сети у него все работает, а из интернета не работает, то это значит либо Астериск поставлен на приватных адресах, либо тупо не настроена маршрутизация. Если на приватных, то все попытки выпустить его через нат или пробрасывание портов будут тщетны. Этот вечный двигатель пытались изобретать многие, у всех не получилось. Надо ставить на реальнике или на бордере ставить SBC или SIP Proxy, что по сути и есть вариант SBC.

 

Все работает и с НАТом.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Все работает и с НАТом.

 

А что именно работает? У вас стоит каллсвитч на приватном адресе за NAT со стороны инета и позволяет регистрироваться клиентам по SIP из инета? Расскажите пожалуйста как вам это удалось?

 

PS. Для тех кто в танке объясняю... Та самая nat= позволяет заставить подключить клиента из за NAT, но из за клиентского NAT, а не NAT со стороны коллсвитча. На транке она позволяет игнорировать ip, которые прописаны в сигналинге при установлении соединения, а устанавливать соединение по src ip. А вот что бы регистрар прятать за NAT, так это мне в новинку. Т.е. везде NAT, но вот тема этого NAT везде разная. И надо еще понимать, какими именно алгоритмами конкретный каллсвитч обходит конкретную проблему. Если добрые люди дописали для Астериска возможности обходить клиентский NAT, что обычно делается в SBC, то не надо утверждать, что любой каллсвитч может преодолевать NAT. Не может и не должен! И если с другой стороны транка стоит не Астериск, какой нибудь другой каллсвитч, то вопрос преодоления NAT усложняется. По идее Астериск должен в момент установления RTP соединения указать в сигналинге свой ip и клиент должен устанавливать соединение с этим ip. Так как ip приватный, то соединение установить не получится!!! Такая хрень может получиться, если есть где то sipproxy на реальнике и RTP идет туда или клиент на столько продвинутый, что забивает на ip в сигналинге. Но, это частный случай и не надо тогда засирать мозги пионерам, что все работает по любому. Если нет задачи подключить любое клиентское устройство, то можно как то извратиться...

 

Если есть четкое представление как у вас это работает, то напишите, будет интересно почитать. Сообщение типа: "Все работает и с НАТом." имеет ноль информации и ноль интереса...

Изменено пользователем AlexPan

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

И причем тут обсуждение всяких натов и SBC?

Топикстартер же написал:

Static ip на астериске,т.е nat отсутсвует.

 

Тут видимо действительно где-то что-то зарезано, или на микротике криво прописан маскарадинг, куда попадает трафик от астериска и каверкается.

Через нат кстати все нормально работает, есть несколько астерисков за всякими pf rdr, и снаружи все к ним цепляется и бегает.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

попробуйте на микротике

/ip firewall service-port disable sip 

Изменено пользователем ilyak

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

> Static ip на астериске,т.е nat отсутсвует.

 

Я и говоры, что на кривой вопрос следует куча кривых ответов...

Static IP, это не динамический IP. Динамический IP обычно выдается по BootP или DHCP.

То, что вы имеете в виду, это обычно называется "реальным IP". Т.е., не входит в сетки "приватных IP".

 

Можно перейти от рассуждений "несколько Астерисков работают через нат и все цепляется" к варианту как и что конкретно настроено, что оно работает. Наверное не надо объяснять, что если поставить Астериск за обычным NAT на приватных адресах, то со стороны инета ничего цепляться не будет. И пожалуйста не надо писать предположения. Если сами не делали, то не надо предполагать, что так оно будет работать. Или уж хотя бы пишите - "я предполагаю". Пока что был предложен вариант с обратным NAT и куча рассуждений, что у кого то, где то все работает... Мне кажется, что всех интересует не сам факт, что у кого то и где то, а как именно!!!

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

присоединюсь.

Конфиг микротика и адреса астериска хотелось бы увидеть.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Что сказать: @koffin  полностью прав, все регается и все работает.

Конечно у меня опыта нет столько в постраничные СКС и сетей в целом как у @AlexPan но он явно не прав. 

On 18.09.2012 at 12:12 AM, ilyak said:

попробуйте на микротике

 


/ip firewall service-port disable sip 
 

 

 

@ilyak  тоже прав нужно выключить 

On 13.09.2012 at 9:45 AM, koffin said:

 

On 13.09.2012 at 9:45 AM, koffin said:

вот с этим все нормально регится

 


/ip firewall nat add chain=dstnat action=dst-nat to-addresses=ВнутреннийIP-адресAsteriska to-ports=5060 protocol=udp in-interface=ИнтерфейсИнтернета dst-port=5060 
/ip firewall nat add chain=dstnat action=dst-nat to-addresses=ВнутреннийIP-адресAsteriska to-ports=10000-20000 protocol=udp in-interface=ИнтерфейсИнтернета dst-port=10000-20000 
 

 

 

в астере у пира ставишь nat=yes либо nat=route

 

 

Чисто от себя хотел добавить что еслине выключить 

/ip firewall service-port disable sip 

ТО Вы не чего не будете слышать при исходящих вызовах - а в целом конечно это не влияет на регистрацию

 

Так же ставить это знание 

Quote

в астере у пира ставишь nat=yes либо nat=route

у sip users не обязательно

Изменено пользователем sailfer

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

пользуясь случаем спрошу здесь про NAT

 

есть asterisk на сборке elastix4, 2 сетевых интерфейса 172.28.53.30 через него сип транк в сторону АТС оператора, и 192.168.100.250 внутренняя сеть, всё работает

 

стоит роутер, вафля на подсети 192.168.17.0/24 натится в 192.168.100.0/24, сип клиент по вифи не слышит звук от сип клиентов от локальной сети 192.168.100.0/24

 

решаемо?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Гость
Ответить в тему...

×   Вставлено в виде отформатированного текста.   Вставить в виде обычного текста

  Разрешено не более 75 смайлов.

×   Ваша ссылка была автоматически встроена.   Отобразить как ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.