Приветствую всех!
Подскажите как сделать... Провайдер VoIP предоставил данные сети которые должны быть прописаны на интерфейсе сервера с Asterisk:
Подсеть 10.60.14.32/30; IP 10.60.14.34; Gate 10.60.14.33; Mask 255.255.255.252
И все бы ничего, но оборудование провайдера с Ethernet интерфейсом находится в одном офисе, а сервер Asterisk в другом офисе - с разными провайдерами соответственно.
На обоих сторонах стоят DFL-1660 с настроенным IPSEC для связи подсетей офисов. Вопрос - как пробросить этот интерфейс с одного DFL на другой в неизменном виде?
И можно ли так вообще сделать? Может как-то через VLAN или.... теряюсь в догадках
Спасибо заранее!

поищите темы от Danilova , пробрасывали так .
через ипсек не помню . но если приколотить на например на влан куда то его адрес, то можно через альтернативные таблицы пропустить именно через этот интерфейс , а на астериске в SIP.conf в качестве externalIP указать этот IP.

должно заработать . но астериск будут все равно за наттом ....

вот как прокинуть не знаю , через ип сек вланы не бродят .
а на самом деле . я бы взял виртуалку и туда астериск два интерфейса.... и сделал шлюз .
ну или какой нибудь роутер с OpenWRT , типа dir300 b1 . или подобное . в общем смотрел бы в сторону прослойки .

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку

схему в студию
думаю ничего сложного
что значит "в неизменном виде"?
Asterisk то в любом случае за натом, или нет?
если за натом (то все равно один там нат будет или два), и офисы связаны по впн, то надо просто правильно отамаршрутизировать

в том то и дело, что ему надо получить данные настройки на интерфейсе астериска , который находится за IPsec .
схема предельна ясна

Ipsec - L3 Vlan -L2 два в три не лезет .

я предлагал как сделать ,и занатить .... это хорошо если нет еще каких то провайдеров . а если есть ? и как два раза на астериске прописывать ExternalIP ????

Kamailo спасет , он для этого и предназначен.

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку

я вижу два варианта, и не догоняю который у ТС
ок, давайте так, допустим, что астериск стоит на том дфл, который подключен непосредственно к провайдеру
как будет выглядеть схема, так: астериск(10.60.14.33)----дфл(нат)----провайдер(10.60.14.34)?
или надо чтоб астериск смотрел интерфейсом в провайдера напрямую?

схема
астериск <-->DFL<--IPsec-->DFL<->Провайдер телефонии
вот как раз на астериске и надо получить
10.60.14.32/30; IP 10.60.14.34; Gate 10.60.14.33; Mask 255.255.255.252 именно на интерфейсе .

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку

это понятно
по задумке провайдера как должен астериск смотреть в инет напрямую, какие-то ограничения против ната?
почему нельзя сделать так:
астериск (лок_IP, для него маршр правило со шлюзом в мир - 10.60.14.34)<--->DFL<--IPsec-->DFL-wan(10.60.14.34, nat для астериска, а на вход sat на астериск)<->Провайдер телефонии
?
для провайдера пакеты будут приходить с 10.60.14.34

Его это не интересует.

_________________
С уважением, Matrox.
DFL, HPE, QNAP, Netgear и прочее железо...

астериск должен смотреть в серую сеть провайдера .

выход или НАТИТЬ , или ставить прослойку в виде астериска (просто) Каmailo (посложней)
астер можно воткнуть на какой ни будь роутер , или одноплатник , или виртуалку , или на старое железяку , которая работает но уже списана давно. Натянуть транк , и написать два контекста из пяти строк

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку

Схема следующая... И я уже согласен на NAT Прописал интерфейс который дал провайдер VoIP на порту LAN2 правого по схеме DFL.
Вопрос как теперь сделать чтобы из LAN1 сети 192.168.1.0/24 была видна LAN2 10.60.14.32/30
Если я правильно понимаю задача тут состоит в том, чтобы правильно прописать маршруты между LAN1 и LAN2 на правом DFL... И тогда все всех увидят
p.s. Сетки 192.168.1.0 и 192.168.2.0 прозрачно видят друг друга через IPSEC

Серия DFL: Пример настройки PBR от пользователя YuriAM
viewtopic.php?f=3&t=29666
pbr вам в помощь . у меня сам так астериск в нет ходит . тоже самое - только интерфейсы разные .
и не забудьте на астериски указать ExtIP. а то будут потом тема - почему голос в одну сторону

PS если вы двум DFL доверяете . я бы сделал туннели с параметрами All-nets , многие проблемы уйдут и вы думать не будуте . Это ме личное виденье . (у меня все такие туннели)

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку

Спасибо! Не сильно обнаглею если попрошу скрины как оно у Вас устроено? Прописал ping в полисы и увидел что он пинг идет из LAN1 в LAN2 правого по схеме DFL. То есть справа все ок.
Осталось только завязать LAN1 левого и LAN2 правого. Вопрос - это делается именно через PBR (маршруты) или достаточно на правом DFL в Policies правильно прописать?

каждый случай уникален .
вам стоит переработать творчески , да и в моих правилах и DFL я сам боюсь

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку

Попробовал это сделать - пинг до LAN2 пошел... но я рано радовался - все остальное легло ) У меня просто еще есть и 3 офис со своим IPSEC и видимо все это вместе друг на друга замкнулось
Есть вариант выбрать не все сетки all-nets, а например только LAN интерфейсы?

Пока получилось сделать следующее... С правого по схеме DFL пингуются все сети: LAN1 192.168.1.0, LAN1 192.168.2.0 и LAN2 10.60.14.32/30. Но с левого DFL пингуется только LAN1 192.168.2.0.
Как достучаться с LAN1 192.168.1.0 до LAN2 10.60.14.32/30?

я же вам сказал что туннели лучше переделать с alll NET, или в помощь
http://ftp.dlink.ru/pub/FireWall/Config ... ffices.doc

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку