faq обучение настройка
Текущее время: Пн июл 16, 2018 07:59

Часовой пояс: UTC + 3 часа




Начать новую тему Ответить на тему  [ Сообщений: 11 ] 
Автор Сообщение
СообщениеДобавлено: Чт авг 08, 2013 15:57 
Не в сети

Зарегистрирован: Пт июл 20, 2007 19:07
Сообщений: 8236
Откуда: Москва
Частенько появляется на форуме темы про SIP с внешним IP.
Расскажу об этом в картинках на примере реального объекта:

Имеем настроенный интернет канал от Билайна
Изображение

с относительно стандартной маршрутизацией:
Изображение

Имеется подсеть /29 прямых адресов от провайдера:
Изображение

В локалке есть 2 девайса, которые мы хотим "выставить наружу":
Изображение

При этом необходимо настроить, чтобы SIP-сервер общался только с SIP-оператором Telenet по определенным портам
Изображение

Настраиваем работу ICMP для доверенных групп хостов Admins и TrustedGrp по устройствам:
Изображение

Настраиваем трансляцию запросов по внешним адресам на внутренние адреса устройств:
Изображение
где:
- For_SIP - это перечень портов: http, sip-udp, и некий диапазон верхних портов udp для передачи голоса;
- For_NAS - группа портов ftp-passthrough, http-all, http8080, http8081, RSync;

Правилами 8, 9 реализована функция NATLoopback, позволяющая обращаться из локальной сети за DFL'кой к NAS-серверу по его внешнему адресу.


Для шлюза:
Изображение

Для SIP-сервера:
Изображение

Чтобы SIP-сервер светился наружу в сторону SIP-оператора с нужного адреса, во вкладке NAT делаем настройку:
Изображение

Для NAS-сервера:
Изображение

И в конце делаем папку с DROP-правилами:
Изображение

Ну, вот как-то так ;-)
На оригинальность не претендую.

_________________
С уважением, Matrox.
CheckPoint, FortiGate, ZyWALL, DFL, HP, QNAP, Netgear и прочее железо...


Вернуться наверх
 Профиль  
 
СообщениеДобавлено: Ср мар 05, 2014 09:53 
Не в сети

Зарегистрирован: Вт июл 10, 2007 12:42
Сообщений: 7080
Откуда: Екатеринбург
Всё неплохо. Но..., хочется спросить ..., несмотря на не свежий пост. :)

Зачем папка DROPs и правила в нём, если в DFL и так все по умолчанию запрещено? Могу предположить лишь одну причину: чтобы в логах на дроп пакета писалось не Default_Rule, а ваше правило.

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.


Вернуться наверх
 Профиль  
 
СообщениеДобавлено: Ср мар 05, 2014 13:47 
Не в сети

Зарегистрирован: Пт июл 20, 2007 19:07
Сообщений: 8236
Откуда: Москва
YuriAM писал(а):
чтобы в логах на дроп пакета писалось не Default_Rule, а ваше правило.

Именно!

_________________
С уважением, Matrox.
CheckPoint, FortiGate, ZyWALL, DFL, HP, QNAP, Netgear и прочее железо...


Вернуться наверх
 Профиль  
 
СообщениеДобавлено: Вс апр 20, 2014 21:59 
Не в сети

Зарегистрирован: Вс апр 19, 2009 13:39
Сообщений: 57
Ух ты, какая тема-то хорошая! :roll:
Посоветуйте, пожалуйста, господа Профи, как быть в моём случае!

Что имеем:
1. Билайн L2TP с внешним адресом (используется только wan1 на 860е)
2. SIP-сервер Астериск в локалке за натом (соответственно с этим же внешним IP)
3. Включен sip-alg (по http://www.dlink.ru/ru/faq/85/1239.html)
4. Рабочая схема 1 (голос в обоих направлениях): внутр.тел. -> Asterisk -> 860е -> Инет -> SIP-провайдер-1 -> моб.тел.
5. Рабочая схема 2 (голос в обоих направлениях): моб.тел -> SIP-провайдер-1 -> Инет -> 860е -> Asterisk -> внутр.тел.
6. Рабочая схема 3 (голос в обоих направлениях): любой абонент -> GSM-VoIP ВНУТРИ ЛОКАЛКИ(!) -> Asterisk (переадресация) -> 860e -> Инет -> SIP-провайдер-2 -> моб.тел.
7. Рабочая схема 4 (голов с обоих направлениях): создавал НЕСКОЛЬКО ОДНОВРЕМЕННЫХ МАНУАЛЬНЫХ звонков с внутр.телефонов на внешние и наоборот с внешних на внутренние - ВЕЗДЕ был голос в обоих направлениях!!!!

Что не получается:
Не работает схема 5 (голоса нет ни в каком направлении): любой абонент -> SIP-провайдер1 -> Инет -> 860e -> Asterisk (ПЕРЕАДРЕСАЦИЯ) -> 860e -> Инет -> SIP-провайдер-2 -> моб.тел.
При этом в логах 860-го ТОЛЬКО(!) при ЭТОЙ(почемуууу?????) схеме вижу Event чётко по своему внешнему адресу и внешнему адресу одного из SIP-провайдеров (ruleset_drop_packet / drop).

Что предпринималось:
Пытался написать правила по вашим постам, но видно уже полностью запутался с sip-alg, sat-ами и nat-ами (что в каком случае включать), так, что пришлось откатиться назад на бекапнутую конфу. В связи с чем прошу помощи на свежую голову/конфу :(

P.S.: почему-то уверен, что дело в правилах, но совсем не понимаю: КАК тогда без расширенных правил с sat и nat (а только на одном sip-alg) работают схемы 1,2,3,4, а схема 5 не работает, хотя отличается от схемы 4 ТОЛЬКО автоматической переадресацией. Ну и конечно могу какой-то шанс оставить на проблему с Астериском, но на транках всё прописано правильно (и трафик только через себя гнать и canreinvite=no) и с адресацией всё вроде в норме в настройках...


Вернуться наверх
 Профиль  
 
СообщениеДобавлено: Пн апр 21, 2014 07:33 
Не в сети

Зарегистрирован: Вт фев 26, 2008 19:07
Сообщений: 8688
Откуда: Москва
canreinvite=NO на обоих пирах .
sip ALG выкинуть
создать два сервиса
с портом 5060 + ваши RTP
затем по два правилва SAT+allow 5060
И RTP SAT+allow

[GLOBAL]
LocalNet=
ExtIP =

если после этого не заработает - снимать TCPDump на астериске .

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку


Вернуться наверх
 Профиль  
 
СообщениеДобавлено: Пн апр 21, 2014 10:34 
Не в сети

Зарегистрирован: Вт июл 10, 2007 12:42
Сообщений: 7080
Откуда: Екатеринбург
Vladimir22 писал(а):
canreinvite=NO на обоих пирах .
sip ALG выкинуть
создать два сервиса
с портом 5060 + ваши RTP
затем по два правилва SAT+allow 5060
И RTP SAT+allow

[GLOBAL]
LocalNet=
ExtIP =

если после этого не заработает - снимать TCPDump на астериске .
Думаю, лучше сразу уточнять, что 5060 это TCP+UDP, RTP - только UDP

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.


Вернуться наверх
 Профиль  
 
СообщениеДобавлено: Пн апр 21, 2014 21:15 
Не в сети

Зарегистрирован: Вс апр 19, 2009 13:39
Сообщений: 57
Vladimir22 писал(а):
canreinvite=NO на обоих пирах .
Дело в том, что используется AsteriskNow (v11.5.1). И если я правильно понял Vladimir22 из небольшого общения в личке, то эта строка вообще лишняя для пиров, начиная с какой-то там версии? Правильно будет directmedia=no. Так?
Vladimir22 писал(а):
sip ALG выкинуть
Уже))
Vladimir22 писал(а):
создать два сервиса
с портом 5060 + ваши RTP
затем по два правилва SAT+allow 5060
И RTP SAT+allow
Сделано. Добавлю лишь что в группу сервисы не объединял(!) и написал как Вы сказали - всё ОК.
Если обединять (как я сделал сначала), то ничего не заработало...
Vladimir22 писал(а):
[GLOBAL]
LocalNet=
ExtIP =
Ну это там уже сразу написал, давно.
Vladimir22 писал(а):
если после этого не заработает - снимать TCPDump на астериске .

Когда советуют профессионалы, то всё работает - всё ОК!


Вернуться наверх
 Профиль  
 
СообщениеДобавлено: Вт апр 22, 2014 09:00 
Не в сети

Зарегистрирован: Вс апр 19, 2009 13:39
Сообщений: 57
YuriAM писал(а):
Vladimir22 писал(а):
canreinvite=NO на обоих пирах .
sip ALG выкинуть
создать два сервиса
с портом 5060 + ваши RTP
затем по два правилва SAT+allow 5060
И RTP SAT+allow

[GLOBAL]
LocalNet=
ExtIP =

если после этого не заработает - снимать TCPDump на астериске .
Думаю, лучше сразу уточнять, что 5060 это TCP+UDP, RTP - только UDP


Кстати, странно. Проверил сейчас, у меня оба сервиса стоят как UDP и всё работает :| Или ПОКА всё работает :lol:
sip-udp-wo-alg / udp / 0-65535 / 5060 / none
sip-udp-rtp / udp / 0-65535 / 1000-65535 / none

Как я понимаю всё же правильно должно быть:
sip-udp-wo-alg / tcp/udp / 0-65535 / 5060 / none

?


Вернуться наверх
 Профиль  
 
СообщениеДобавлено: Вт апр 22, 2014 09:39 
Не в сети

Зарегистрирован: Вт фев 26, 2008 19:07
Сообщений: 8688
Откуда: Москва
сигнальный порт строго рекомендован 5060 , а вот голосовой трафик - рекомендован от 1024 до 65535 .

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку


Вернуться наверх
 Профиль  
 
СообщениеДобавлено: Вт апр 22, 2014 11:48 
Не в сети

Зарегистрирован: Пт июл 20, 2007 19:07
Сообщений: 8236
Откуда: Москва
Отпустите наконец мой топик!!!!! СОЗДАЙТЕ СВОЙ!!!!
Нахрена вообще нужно было писать в чужом топике?!!!!!
:evil: :evil: :evil:

_________________
С уважением, Matrox.
CheckPoint, FortiGate, ZyWALL, DFL, HP, QNAP, Netgear и прочее железо...


Вернуться наверх
 Профиль  
 
СообщениеДобавлено: Вт апр 22, 2014 13:28 
Не в сети

Зарегистрирован: Вт фев 26, 2008 19:07
Сообщений: 8688
Откуда: Москва
MTRX писал(а):
Отпустите наконец мой топик!!!!! СОЗДАЙТЕ СВОЙ!!!!
Нахрена вообще нужно было писать в чужом топике?!!!!!
:evil: :evil: :evil:


админы - разделите тему .

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку


Вернуться наверх
 Профиль  
 
Показать сообщения за:  Сортировать по:  
Начать новую тему Ответить на тему  [ Сообщений: 11 ] 

Часовой пояс: UTC + 3 часа


Кто сейчас на форуме

Сейчас этот форум просматривают: Baidu [Spider] и гости: 21


Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Перейти:  
Создано на основе phpBB® Forum Software © phpBB Group
Русская поддержка phpBB