по 8000 udp порту этот телефон голос гонит.
DFL вот что пишет:

2007-05-09 01:27:53 Notice DROP Default_Rule UDP lan 10.0.102.99
10.0.102.254 8000
8000 action=drop ipdatalen=180 udptotlen=180

10.0.102.99 - станция
10.0.102.254 - шлюз

телефон из внешней сети коннектится к станции, которой дан внешний ip адрес (прописан в ARP table, сделано правило SAT и Allow). По другим портам обмен идет (9300,9301,2727,2427, телефон работает, все функции), а по 8000 нет.

Что можно сделать?

UPD:
чезе ipsec тоннель все работает, но надо без тоннеля.

Это что за адреса?
10.0.102.99
10.0.102.254
Какой протокол передачи голоса используется?

10.0.102.99 - телефонная станция TDA-100, точнее плата
http://www.ats-tda.ru/kx-tda100/cards/kx-tda0470.htm
находится во внутренней сети

10.0.102.254 - шлюз DFL-210, который и не пропускает пакеты по 8000UDP от платы через себя во внешние сети.

телефон находится во внешней сети и принимает пакеты по всем UDP портам кроме 8000, т.е. дивплей работает, функции АТС работают, но голоса нет.

голос по внутренним адресам через ipsec, все работает:
main# tcpdump -tni fxp1 src or dst host 10.0.100.87
IP 10.0.100.87.8000 > 10.0.102.99.8000: UDP, length 172
IP 10.0.102.99.8000 > 10.0.100.87.8000: UDP, length 172
IP 10.0.100.87.8000 > 10.0.102.99.8000: UDP, length 172
IP 10.0.102.99.8000 > 10.0.100.87.8000: UDP, length 172
IP 10.0.100.87.8000 > 10.0.102.99.8000: UDP, length 172
IP 10.0.102.99.8000 > 10.0.100.87.8000: UDP, length 172

по внешним все ходит, кроме голоса:
247-30# tcpdump -tni fxp0 src or dst host 62.168.25*.**
listening on fxp0, link-type EN10MB (Ethernet), capture size 96 bytes
IP 62.168.24*.**.9301 > 62.168.25*.**.9300: UDP, length 14
IP 62.168.25*.**.2727 > 62.168.24*.**.2427: UDP, length 78
IP 62.168.24*.**.2427 > 62.168.25*.**.2727: UDP, length 13
IP 62.168.25*.**.2727 > 62.168.24*.**.2427: UDP, length 104
IP 62.168.24*.**.2427 > 62.168.25*.**.2727: UDP, length 13
IP 62.168.25*.**.9300 > 62.168.24*.**.9301: UDP, length 10
IP 62.168.25*.**.2727 > 62.168.24*.**.2427: UDP, length 70
IP 62.168.24*.**.2427 > 62.168.25*.**.2727: UDP, length 10
IP 62.168.24*.**.2427 > 62.168.25*.**.2727: UDP, length 128
IP 62.168.24*.**.9301 > 62.168.25*.**.9300: UDP, length 129
IP 62.168.25*.**.2727 > 62.168.24*.**.2427: UDP, length 11
IP 62.168.25*.**.2727 > 62.168.24*.**.2427: UDP, length 340
IP 62.168.25*.**.9300 > 62.168.24*.**.9301: UDP, length 14
IP 62.168.24*.**.2427 > 62.168.25*.**.2727: UDP, length 13
IP 62.168.24*.**.9301 > 62.168.25*.**.9300: UDP, length 14

tcpdump с FreeBSD в удаленной сети, там где телефон.

Непонятно почему адрес назначения пакета - lan_ip.
Как натирующее правило вглядит?

Action Allow
Service all_udp

Source Interface wan
Destination Interface wan
Source Network сеть откуда звоним
Destination Network доп ip, прописанный через ARP, обсуждали тут >
viewtopic.php?t=39399

не пропускает только пакеты по 8000 порту

Странное правило...
Нужно проброс из WAN на АТС сделать?

с дополнительного адреса, смаршрутизированного провайдером на wan_ip, на АТС, имеющую внутренний адрес.

точно так же у меня настроен проброс на терминал-сервер, живущий внутри сети. тоже с доп. адреса. все работает

viewtopic.php?t=36647&highlight=DFL-210
отсюда инфа

А если сделать так:
SAT сеть wan -> wan_ip2 core (АТС) udp_all
Allow сеть wan -> wan_ip2 core udp_all
не работает?

завтра из москвы попробую, улетаю через час.
спасибо за помощь.