Доброго всем времени суток.
Есть главный офис, DFL-1600 и удалённые на DFL-210, всё на IPSec., тунели работают, пакеты бегают...

Есть в главном офисе Sip сервер, худо бедно с телефонами из удаленных офисов работает (частенько проблемы с дозвоном ит.д ит.дп). С телефонами SIP внутри сети главного офиса проблем нет.(т.е промежуточных файрволов (dlink) нет.

Решил попытаться побороть сип через ALG, залил 2.20 прошивку, правила настраивал как из примера в мануале по NET_Defend на примере ALG для H323.
Застрял можно сказать в самом начале - трубки из удаленных офисов даже тупо не могут зарегистрироваться, в логе на 210 сыпится после сигнально по 5060 порту это:


Вижу что-то с Днс пишет, но в чем беда понять не могу ..., на пинг сервер отвечает как по Ип так ипо имени сип сервера.

И ещё подскажите на раздающем (DFl-1600) в удаленные офисы обезательно натить всё?, или можно оставить allow?, или только правило для Sip надо Nat?

Для SIP только NAT и Allow, по поводу приведенного скриншота, убедитесь, что у вас выставлены рабочие DNS в System -> DNS.

Сергей, спасибо за быстрый ответ .., правда всеравно не совсем понял...что лучше - использовать NAT или Allow .... я видимо не так задал вопрос.. - я хотел спросить могу ли я оставить везде Allow если не хочу использовать НАт для SIP.

по поводу DNS , спасибо , ошибка эта исчезла, только вот как мне быть если у меня SIP сервер - локальный, т.е если у меня в System-Dns будут забиты Днс провайдера, они понятное дело о моем сип сервере ведать не ведают...?

Т.к сейчас тестирую на "построенной вирутальной сети" и в качестве "интернета" использую обычный свич, ..Днс сервера указал из Виндового домена(куда ipsec смотрит) где стоит СИп сервер., ошибка как я написал выше пропала, но..

На dfl-210 теперь в логе вижу что создаются sip_alg_transcation , method =register ..вроде все как надо я так понимаю ..., а на Dfl-1600:
куча non-stop запросов к днс серверу от DFl-210 и ошибка ALG:



p/s разрешающие правила на 1600 созданы.
Я понимаю что error ALG200548 ниочем не говорит..., буду благодарен хотябы за наводку куда копать...
спасибо.

в инструкции указано, что для работы SIP ALG надо использовать 2 правила NAT и Allow! Вы не используйте FQDN, а используйте IP, тогда не понадобятся DNS.

Только сейчас обнаружил существование мануала для 2.20 =)), ...если речь о нем , сейчас займусь чтением...Спасибо!

p/s от FQDN отказаться немогу, "спецы" что настраивали нам SIP сервер говорят что так надо, и почему-то если в настройках сип телефонов\сип_адаптеров пытаться использовать просто IP - трубки не регистрируются, ну и вообщем то ничего не работает...как только адрес сервера писать по fqdn - всё работает.
Я не спец по SIP...даже и не близко, ..вникать в тонкости настроек сервера времени совсем нема =(...это надо превращатся в Осьмирукого-восьми.... вообщем понимаю что это какой-то косяк с серверов...но сделать ничего пока не могу.

Если отказаться от FQDN не можете, тогда DFL надо указывать ваш DNS сервер, иначе это не решите, это ограничение вашей топологии.

День добрый ещё раз.
Ну с FQDn что-нить потом придумаю...это не главное сейчас..., главное то что тупо 2 дня опробовал ВСЁ, ...как тока правила не писал
- на 210 создаются транзакции и прочая фигня на регистрацию сип трубки..., а 1600 тупо пишет : error ALG200548 ... action: invalid upd_packet DROP.

по началу я был уверен что это я тупой =)) ..теперь уже даже не знаю...кто из нас...
написать 2 правила тут и там труда составлять не должны ...но блин не работает и всё =(
может быть есть какие-то идеи ..?

p/s опять таки хотел вернутся к моему первому вопросу про nat i allow ...в мануале пример сделан на схеме: из внутреней сети на внешний Сип..- понятно что надо нат+allow ..., а у меня схема - внутрення сеть и сип тут же внутри..., нат ведь не нужен..можно везде allow.- вот тут и был мой вопрос - ALG Sip как бы , будет работать с allow или он только работает с NAT правилами? ... прошу прощения за незнания тонкостей работы с ALG да и каких-то базовых вещей тоже =)...но ведь форум для того и сделан....

заранее Спасибо =)

Если вы "гоняете" VoIP трафик по IPSec, то проблема вероятно в том, что перекрывается пропускная способность канала, из-за этого и возникает подобная ситуация. попробуйте зашейнить весь трафик, выделив гарантированную полосу пропускания для VoIP.

Но ведь если убрать ALG, то хотябы начинает работать , регистрироваться,звонить и т.д... проблема-то сейчас совсем в другом...- 1600 почемуто не хочет принимать АЛГ..
Да и особого "гоняния" VoIP трафика почти нет...есть несколько телефонов по которым звонят раз в день дай бог... - только пытаемся "перейти" на IP-телефонию...

И если можно,Сергей, пожалуйста ответьте на мой вопрос про nat i allow... у меня просто нету до сих пор понимания как верно ...
(если смареть пример ALG для H323 стр.165 из мануала, то там аналогичный пример ...VPN сеть ..везде allow ...- просто я хотел убедится что с SIP можно аналогично и нету привязки к NAT.

Спасибо.