1. Уважаемые посетители форума! Прежде чем помещать в форум новое сообщение о возникшей у Вас проблеме, пожалуйста, поищите ее решение в ответах на часто задаваемые вопросы FAQ, или воспользуйтесь поиском по форуму.
  2. Форум не является системой моментального ответа на вопросы. Если Вам необходимо получить ответ на ваш вопрос в кратчайшие сроки - пожалуйста, позвоните в ближайший к Вам региональный офис D-Link.
faq обучение настройка
Текущее время: Вс июн 29, 2025 20:49

Сообщения без ответов | Активные темы


Список форумов » Маршрутизаторы и Firewall

Часовой пояс: UTC + 3 часа




Начать новую тему Ответить на тему  Страница 1 из 1
  [ Сообщений: 9 ] 
  Предыдущая тема | Следующая тема 
Автор Сообщение
v_admin
СообщениеДобавлено: Пн мар 03, 2014 14:00 
Не в сети

Зарегистрирован: Вт дек 11, 2007 19:33
Сообщений: 87
Схема: [SPA8000] -> [DFL-260E fw2.40] -> ISP

SPA8000
IP: 192.168.77.102
L1 и L2 как показано на рисунках
Скрины настроек двух линий:
Скрытый текст: показать
L1: Изображение L2:Изображение

DFL-260Е
Настроен ALG (как описано в статье Как настроить SIP-ALG на межсетевых экранах серии DFL-210/260/260E/800/860/860E/1600/1660/2500/2560)

В результате получаю, что L1 регистрируется нормально, L2 registration failed. (503 Service Unavailable)
Если подключить к DIR-320 в DMZ зону, работает.
Если подключить напрямую к ISP все очень хорошо работает.

Когда подключаю к DFL-260, одна линия отваливается.
Если одну из линий выключить в SPA (Line Enable: No), то оставшаяся нормально регистрируется сквозь DFL и принимает звонок.

Не могу понять, где затык.
Одновременное перенаправление DFL и SPA в syslog дает такую картину:

Код:
2014.03.03 06:26:06.102 91.227.239.255 M0: [0]Reg Addr Change(0) 0:0->c3efae64:5060

2014.03.03 06:26:06.105 91.227.239.255 [2014-03-03 06:26:06] FW: ALG: prio=0 id=00200513 rev=2 event=sipalg_session_created action=allow method="REGISTER" from_uri="sip:74951234567@sip.beeline.ru:5060" to_uri="sip:74951234567@sip.beeline.ru:5060" srcip=192.168.77.102 srcport=5060 destip=195.239.174.100 destport=5060 algmod=sip
2014.03.03 06:26:06.106 91.227.239.255 [2014-03-03 06:26:06] FW: ALG: prio=0 id=00200524 rev=2 event=sipalg_transaction_state_updated action=allow transaction_state="TRYING" from_uri="sip:74951234567@sip.beeline.ru:5060" to_uri="sip:74951234567@sip.beeline.ru:5060"
2014.03.03 06:26:06.106 91.227.239.255 [2014-03-03 06:26:06] FW: ALG: prio=0 id=00200520 rev=2 event=sipalg_transaction_created action=allow method="REGISTER" from_uri="sip:74951234567@sip.beeline.ru:5060" to_uri="sip:74951234567@sip.beeline.ru:5060" srcip=192.168.77.102 srcport=5060 destip=195.239.174.100 destport=5060 algmod=sip
2014.03.03 06:26:06.108 91.227.239.255 M0: [0]->195.239.174.100:5060(583)

2014.03.03 06:26:06.108 91.227.239.255 M0: [0]->195.239.174.100:5060(583)

2014.03.03 06:26:06.108 91.227.239.255 REGISTER sip:sip.beeline.ru SIP/2.0
Via: SIP/2.0/UDP 192.168.77.102:5060;branch=z9hG4bK-bd1532ce;rport
From: "74951234567" <sip:74951234567@sip.beeline.ru>;tag=b2649a08bb36356eo0
To: "74951234567" <sip:74951234567@sip.beeline.ru>
Call-ID: 1040b9f3-3cf51c95@192.168.77.102
CSeq: 19383 REGISTER
Max-Forwards: 70
Contact: "74951234567" <sip:74951234567@192.168.77.102:5060>;expires=3600
User-Agent: Linksys/SPA8000-6.1.10(001)
Allow-Events: talk, hold, conference
Content-Length: 0
Allow: ACK, BYE, CANCEL, INFO, INVITE, NOTIFY, OPTIONS, REFER
Supported: x-sipura, replaces


2014.03.03 06:26:06.108 91.227.239.255 M0:

2014.03.03 06:26:06.108 91.227.239.255 M0:

2014.03.03 06:26:06.109 91.227.239.255 M0: [1]Reg Addr Change(0) 0:0->c3efae64:5060

2014.03.03 06:26:06.109 91.227.239.255 M0: [1]Reg Addr Change(0) 0:0->c3efae64:5060

2014.03.03 06:26:06.109 91.227.239.255 [2014-03-03 06:26:06] FW: CONN: prio=0 id=00600004 rev=1 event=conn_open_natsat rule=Enable-SIP conn=open connipproto=UDP connrecvif=lan connsrcip=192.168.77.102 connsrcport=5061 conndestif=wan conndestip=195.239.174.100 conndestport=5060 connnewsrcip=91.227.239.255 connnewsrcport=57910 connnewdestip=195.239.174.100 connnewdestport=5060
2014.03.03 06:26:06.109 91.227.239.255 [2014-03-03 06:26:06] FW: ALG: prio=0 id=00200513 rev=2 event=sipalg_session_created action=allow method="REGISTER" from_uri="sip:74951234567@sip.beeline.ru:5060" to_uri="sip:74951234567@sip.beeline.ru:5060" srcip=192.168.77.102 srcport=5061 destip=195.239.174.100 destport=5060 algmod=sip
2014.03.03 06:26:06.110 91.227.239.255 [2014-03-03 06:26:06] FW: ALG: prio=0 id=00200524 rev=2 event=sipalg_transaction_state_updated action=allow transaction_state="TRYING" from_uri="sip:74951234567@sip.beeline.ru:5060" to_uri="sip:74951234567@sip.beeline.ru:5060"
2014.03.03 06:26:06.110 91.227.239.255 [2014-03-03 06:26:06] FW: ALG: prio=0 id=00200520 rev=2 event=sipalg_transaction_created action=allow method="REGISTER" from_uri="sip:74951234567@sip.beeline.ru:5060" to_uri="sip:74951234567@sip.beeline.ru:5060" srcip=192.168.77.102 srcport=5061 destip=195.239.174.100 destport=5060 algmod=sip
2014.03.03 06:26:06.112 91.227.239.255 M0: [1]->195.239.174.100:5060(582)

2014.03.03 06:26:06.112 91.227.239.255 M0: [1]->195.239.174.100:5060(582)

2014.03.03 06:26:06.113 91.227.239.255 REGISTER sip:sip.beeline.ru SIP/2.0
Via: SIP/2.0/UDP 192.168.77.102:5061;branch=z9hG4bK-69360363;rport
From: "74951234567" <sip:74951234567@sip.beeline.ru>;tag=82316538f8463feo1
To: "74951234567" <sip:74951234567@sip.beeline.ru>
Call-ID: 1206874d-d0f51f03@192.168.77.102
CSeq: 35056 REGISTER
Max-Forwards: 70
Contact: "74951234567" <sip:74951234567@192.168.77.102:5061>;expires=3600
User-Agent: Linksys/SPA8000-6.1.10(001)
Allow-Events: talk, hold, conference
Content-Length: 0
Allow: ACK, BYE, CANCEL, INFO, INVITE, NOTIFY, OPTIONS, REFER
Supported: x-sipura, replaces


2014.03.03 06:26:06.113 91.227.239.255 M0:

2014.03.03 06:26:06.113 91.227.239.255 M0:

2014.03.03 06:26:06.115 91.227.239.255 [2014-03-03 06:26:06] FW: CONN: prio=3 id=00600013 rev=1 event=no_new_conn_for_this_packet action=drop protocol=icmp rule=LogOpenFails recvif=lan srcip=192.168.77.102 destip=8.8.8.8 ipproto=ICMP ipdatalen=36 icmptype=DEST_UNREACH unreach=PORT_UNREACH
2014.03.03 06:26:06.121 91.227.239.255 [2014-03-03 06:26:06] FW: ALG: prio=0 id=00200524 rev=2 event=sipalg_transaction_state_updated action=allow transaction_state="COMPLETED" from_uri="sip:74951234567@sip.beeline.ru:5060" to_uri="sip:74951234567@sip.beeline.ru:5060"
2014.03.03 06:26:06.124 91.227.239.255 [2014-03-03 06:26:06] FW: ALG: prio=0 id=00200524 rev=2 event=sipalg_transaction_state_updated action=allow transaction_state="COMPLETED" from_uri="sip:74951234567@sip.beeline.ru:5060" to_uri="sip:74951234567@sip.beeline.ru:5060"
2014.03.03 06:26:06.125 91.227.239.255 M0: [1]<<195.239.174.100:5060(318)

2014.03.03 06:26:06.125 91.227.239.255 M0: [1]<<195.239.174.100:5060(318)

2014.03.03 06:26:06.126 91.227.239.255 SIP/2.0 503 Service Unavailable
Via: SIP/2.0/UDP 192.168.77.102:5061;branch=z9hG4bK-69360363;rport=5061
From: "74951234567" <sip:74951234567@sip.beeline.ru>;tag=82316538f8463feo1
To: "74951234567" <sip:74951234567@sip.beeline.ru>
Call-ID: 1206874d-d0f51f03@192.168.77.102
CSeq: 35056 REGISTER
Content-Length: 0


2014.03.03 06:26:06.126 91.227.239.255 M0:

2014.03.03 06:26:06.126 91.227.239.255 M0:

2014.03.03 06:26:06.126 91.227.239.255 M0: [1]RegFail. Retry in 1200

2014.03.03 06:26:06.128 91.227.239.255 M0: [0]<<195.239.174.100:5060(571)

2014.03.03 06:26:06.128 91.227.239.255 M0: [0]<<195.239.174.100:5060(571)

2014.03.03 06:26:06.129 91.227.239.255 SIP/2.0 200 OK
Via: SIP/2.0/UDP 192.168.77.102:5060;branch=z9hG4bK-bd1532ce;rport=5060
From: "74951234567" <sip:74951234567@sip.beeline.ru>;tag=b2649a08bb36356eo0
To: "74951234567" <sip:74951234567@sip.beeline.ru>;tag=h7g4Esbg_041afdb907a623c80b1922c1ba37a8e
Call-ID: 1040b9f3-3cf51c95@192.168.77.102
CSeq: 19383 REGISTER
Contact: "74951234567" <sip:74951234567@192.168.77.102:5060>;expires=1200
P-associated-uri: <sip:74951234567@sip.beeline.ru>
P-associated-uri: <tel:+74951234567>
Service-route: <sip:195.239.174.100:5060;transport=udp;lr>
Content-Length: 0


2014.03.03 06:26:06.129 91.227.239.255 M0:

2014.03.03 06:26:06.129 91.227.239.255 M0:

2014.03.03 06:26:06.129 91.227.239.255 M0: [0]RegOK. NextReg in 1189 (1)
Вернуться наверх
 Профиль  
 
Vladimir22
СообщениеДобавлено: Вт мар 04, 2014 07:34 
Не в сети

Зарегистрирован: Вт фев 26, 2008 19:07
Сообщений: 9130
Откуда: Москва
сделайте проброс портов а не ALG.
На spa в разделе NAT укажите внешний IP.

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку
Вернуться наверх
 Профиль  
 
v_admin
СообщениеДобавлено: Вт мар 04, 2014 09:59 
Не в сети

Зарегистрирован: Вт дек 11, 2007 19:33
Сообщений: 87
Vladimir22 писал(а):
сделайте проброс портов а не ALG.
На spa в разделе NAT укажите внешний IP.

Что значит "проброс портов".
Как должно выглядеть правило ?
Вернуться наверх
 Профиль  
 
MTRX
СообщениеДобавлено: Вт мар 04, 2014 10:22 
Не в сети

Зарегистрирован: Пт июл 20, 2007 19:07
Сообщений: 8629
Откуда: Москва
Вот тут я описывал. Практически Ваш случай.
viewtopic.php?p=873935#p873935

For_SIP = udp5060, udp5061, udp10000-49999

_________________
С уважением, Matrox.
DFL, HPE, QNAP, Netgear и прочее железо...
Вернуться наверх
 Профиль  
 
v_admin
СообщениеДобавлено: Ср мар 05, 2014 01:44 
Не в сети

Зарегистрирован: Вт дек 11, 2007 19:33
Сообщений: 87
MTRX писал(а):
Вот тут я описывал. Практически Ваш случай.
viewtopic.php?p=873935#p873935

For_SIP = udp5060, udp5061, udp10000-49999

---
Кроме маски у Вас /29 у меня /30.
Боюсь смять всю картину, отобразив внешний IP адрес DFL на внутренний девайс.
Вернуться наверх
 Профиль  
 
YuriAM
СообщениеДобавлено: Ср мар 05, 2014 09:37 
Не в сети

Зарегистрирован: Вт июл 10, 2007 12:42
Сообщений: 7188
Откуда: Екатеринбург
v_admin писал(а):
MTRX писал(а):
Вот тут я описывал. Практически Ваш случай.
viewtopic.php?p=873935#p873935

For_SIP = udp5060, udp5061, udp10000-49999

---
Кроме маски у Вас /29 у меня /30.
Боюсь смять всю картину, отобразив внешний IP адрес DFL на внутренний девайс.
А вы не боитесь "смять всю картину", когда подключаетесь напрямую к ISP? :)

В случае подключения в локальной сети за DFL вы указанными в ссылке правилами симулируете "присутствие" вашего SIP устройства на внешнем белом адресе. Поэтому и контрагентам в инете он должен сообщать свой белый IP адрес, хотя находится во внутренней сети DFL с серым адресом.

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.
Вернуться наверх
 Профиль  
 
Vladimir22
СообщениеДобавлено: Ср мар 05, 2014 10:21 
Не в сети

Зарегистрирован: Вт фев 26, 2008 19:07
Сообщений: 9130
Откуда: Москва
коллеги !
Протокол SIP не имеет стандарта , а имеет только набор рекомендаций.
поэтому решение будет каждый раз уникально.
в даннмо случае, если SPA8000 смотрит в интернет, то надо правила проброса портов , тк она находится за NAT, а в самом шлюзе указать реально белый адресс , что бы провайдер знал куда слать пакеты обратно .

поэтому либо на DFL , закрывать внешним , тогда SIP-ALG . или вколотить в шлюз внешний IP и сказать что он за NAT.
второй вариант самый лучший и правильный .

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку
Вернуться наверх
 Профиль  
 
YuriAM
СообщениеДобавлено: Ср мар 05, 2014 10:33 
Не в сети

Зарегистрирован: Вт июл 10, 2007 12:42
Сообщений: 7188
Откуда: Екатеринбург
Vladimir22 писал(а):
...
поэтому либо на DFL , закрывать внешним , тогда SIP-ALG . или вколотить в шлюз внешний IP и сказать что он за NAT.
Эту фразу я так и не понял. :) По крайней мере, её начало.

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.
Вернуться наверх
 Профиль  
 
Vladimir22
СообщениеДобавлено: Ср мар 05, 2014 10:58 
Не в сети

Зарегистрирован: Вт фев 26, 2008 19:07
Сообщений: 9130
Откуда: Москва
да на самом деле
если оператор ( в конкретном случае ) дает еще одну регистрацию на 5061 , то тут конечно и будет портить ALG . у него то прописан 5060 . на сколько я помню .

А если по хорошему , взялбы астериск - какой нибудь готовый дистрибутив , поставил бы на какой нибудь АТОМ. и наслаждался бы развернутой телефонией в офисе за 6 тысяч рублей .


поэтому правила SAT+allow
4-ре правила , 2 SAT+ allow 5060 +5061
2 sat+allow rtp порты .

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку
Вернуться наверх
 Профиль  
 
Показать сообщения за:  Сортировать по:  
Начать новую тему Ответить на тему  Страница 1 из 1
  [ Сообщений: 9 ] 

Список форумов » Маршрутизаторы и Firewall

Часовой пояс: UTC + 3 часа


Кто сейчас на форуме

Сейчас этот форум просматривают: Google [Bot] и гости: 13

Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Перейти:  
Создано на основе phpBB® Forum Software © phpBB Group
Русская поддержка phpBB