Доброго всем дня.
Перерыл весь форум, и не только этот, но ответа на свою проблему так и не нашел.

Имеется:
Межсетевой экран - DFL-210 с прошивкой 2.26.00.06-12653 Sep 23 2009
IP телефон - D-Link DPH-150S
Выход в инет.

Топология:

IP телефон <--localnet--> DFL-210 <--internet--> sipnet.ru

Настройки и правила фаервола:
Настройки фаервола производились согласно пункта 12 документа how-to, и в файле how_to_configure_SIP_ALG_fro_SIP_Phones_v1.1.pdf

Были созданы два правила разрешающие выход локальной сети через NAT по порту 5060 UDP и разрешен доступ с инета в интерфейс назначения core и сетью назначения lannet.
Настройки SIP ALG были по умолчанию.


Проблема собственно заключается в том, что не происходит авторизации и подключения к sip сервису sipnet.ru, syslog вывалиет следующие ошибки:



В чем может быть проблема?
Кто с таким сталкивался?
Почему дропятся пакеты ?

хм.... у меня тоже sipnet и аппаратный клиент. При переходе на dfl ничего специально не прикручивал, все прекрасно авторизуется на стандартных правилах. Даже звонить могу. ко мне звонить никак - пилить надо, но от меня все ок

Исходящие звонки будут работать при помощи обычного NAT без специальных правил для SIP (проверено на Linksys SPA2102, SPA3102, PAP2T, Nokia E71, 3CX). НЕ заработало с Avaya IP Office 4.0/4.1, Linksys SPA9000.

Со входящими же звонками - не всегда даже и то хорошо. При использовании STUN еще кое-как, но в принципе пока не очень.

Общей рекомендацией альтернативы NAT будет порт маппинг sip-ctl (udp 5060), RTP исходя из параметров SIP-клиента.

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

Супер.
Три дня голову ломал и оборудование тоже.
Победил все же эту железку, теперь мой телефон регистрируется на sipnet.ru, может позвонить и даже принимать звонки.

Всем спасибо, тему можно закрывать.

Поделитесь. Осчастливьте ваших последователей.

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

Как оказалось все сложно и легко одновременно.
То как я настроил свой фаервол не является панацеей, но буду рад если кому то это поможет.

1. В "Объекты" -> "Адресная книга" создаем адресную папку в которой создаем IP-адреса службы sipnet.ru, DNS-ом не пользовался потому как там только один адрес 212.53.40.40.
1 - 212.53.40.40
2 - 212.53.40.71
3 - 212.53.40.72
4 - 212.53.40.73
5 - 212.53.40.79

может, и наверное, есть еще сервера но у меня в syslog-е были только эти, хорошо бы знать их сеть целиком

Далее, создаем там же группу адресов all_sipnet и запихиваем в нее все ip-шники которые ввели.
Тоже самое проделываем с адресами сиповых телефонов или sip-шлюзов находящихся в вашей сети.

2. Создаем IP-правила.
Создаем папку ip-правил sipnet_ru, дабы было удобнее для дальнейшей работы с ними. В папке создаем 2 правила.

Правило 1
Создаем разрешающее правило:
Имя: allow_sip-all
Действие: Allow
Сервис: all_services

[Источник]
Интерфейс: wan
Сеть: all-sipnet

[Назначение]
Интерфейс: lan
Сеть: all_sippphones(группа ip-адресов sip-телефонов в вашей сети)

Этим правилом мы разрешаем sipnet провайдеру доступ, по всем сервисам, на наши телефоны.

Правило 2
Создаем разрешающее правило:
Имя: out_sip_all
Действие: NAT
Сервис: all_services

[Источник]
Интерфейс: lan
Сеть: all_sippphones(группа ip-адресов sip-телефонов в вашей сети)

[Назначение]
Интерфейс: wan
Сеть: all_sipnet

Далее созданную нами группу правил перемещаем в самый верх списка уже существующих правил.

В такой конфигурации все мои sip телефоны и шлюзы вышли на sipnet.ru, зарегистрировались и осуществляют двухсторонние вызовы и звонки.
Но, данная конфигурация правил не слишком безопасна, и ранее собрав статистику подключений за два дня, у меня получилось, основные порты: 5060-UDP, собственно сам сиповый порт, 41000-UDP медиа порт. Но если в правилах оставить только эти два порта то происходит только авторизация девайсов на чем все и заканчивается, и железо упорно хочет использовать дополнительный диапазон UDP портов, который можно указать, но у каждого он будет разный, в зависимости от уже ранее используемых портах на фашем фаерволе.

Если у кого нибудь данная конфигурация заработает в оба направления, отпишитесь пожалуйста, или опубликуйте свои правила.

Батенька, вы извращенец Я просто stun прописал на клиенте и все взлетело