Здравствуйте!

Продублирую сюда письмо на support

DFL-260E устанавливается в качестве файервола и NAT маршрутизатора на стык с оператором связи (Мегафон).
Данный стык планируется использовать в качестве SIP транка, другого трафика не подразумевается.

Состав и описание сети:
DFL-260E (ПО 2.40.01.08-17758)
SIP шлюз - ELTEX SMG-1016M,
IP PBX - SNOM ONE
софтфон 3CX

В сети используется NAT, адреса 192.168.0.0 принадлежат внутренней сети заказчика.
192.168.0.83 - IP PBX SNOM ONE
192.168.0.84 - SIP шлюз ELTEX SMG-1016M (весь внешний трафик идет через него)
10.60.136.222 - адрес WAN интерфейса DFL-260E
10.60.136.221 - адрес шлюза оператора
83.149.6.36 - адрес SIP сервера оператора

Описание проблемы:

Отсутствует КПВ при входящих вызовах.

Ожидаемое поведение:

Наличие КПВ при входящих вызовах.

Произведенные настройки:

Настроены необходимые правила для входящей и исходящей связи, проброса портов и т.п.
Включен SIP ALG.
Исходящая связь работает нормально.
При входящей связи DFL-260E отрабатывает внутреннее правило SIP ALG и дропает наш INVITE с 180 Ringing.
Это сопровождается сообщением failed_to_modify_response - drop. Вот описание из документации:

2.1.238. failed_to_modify_response (ID: 00200559)
Default Severity ERROR
Log Message SIPALG: Failed to modify the response
Explanation Failed to modify the topology info in the [method] response.
Gateway Action drop
Recommended Action None.
Revision 2
Parameters method
from_uri
to_uri
srcip
srcport
destip
destport
Context Parameters ALG Module Name

Дальнейшее сценарий вызова обрабатывается корректно, последующий INVITE с подтверждением соединения проходит и голосовые пакеты идут куда надо. Голосовая связь есть в обе стороны.

Лог с DFL-260E прикладываю. Вызов осуществляется на номер 3291234 с номера 9217481234.

Что не нравится в INVITE с 180 Ringing - непонятно.

Видится два варианта решения:

1. Мы понимаем, что не так с Ringing. И либо со стороны DFL-260E, либо со стороны шлюза SMG-1016M этот вопрос решаем.
2. Workaround. Для того, чтобы появился КПВ, достаточно чтобы DFL-260E не дропал эти пакеты. К сожалению, набор настроек SIP ALG довольно скуден и мы не можем задавать данную логику поведения. Но, судя по всему, на уровне прикладного ПО фаервола этот вопрос должен решаться элементарно, изменением одного правила.

Второй вариант представляется самым быстрым и нас на 100% процентов устроит.

Отключить SIP ALG нет возможности, так в таком случае мы сталкиваемся с неустранимой проблемой односторонней слышимости.


P.S. писал письмо в поддержку, пытался звонить по 8-800 - глухо.
С 8-800 вообще забавно - через 5 минут ожидания там просто отбивают звонок.
Ну ладно, операторов мало, висим в очереди. Разъединять-то зачем?

покажите скриншотом правила .
если у вас nat- попробуйте поменять его на allow

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку

Вот скриншот.

http://dl.dropbox.com/u/7701500/dfl260e.JPG

allow правило есть.

Да и не похоже это на правила, которыми мы можем управлять.

Это отрабатывает сам SIP ALG.

вот лог обмена

http://dl.dropbox.com/u/7701500/dfl260e_mf_200812.txt