Купил DFL-210, планирую установку в выходной.
В настоящее время есть локальная сеть 192.168.24.0/24, в интернет пускает через NAT Server2003.
Весь NAT хочу перенести на файрвол. В сети есть VoIP шлюз DLink DVG-2001S (192.168.24.44). Планирую вынести его в DMZ 172.17.100.0/24 (адрес дам 172.17.100.24). Причем для улучшения качества голоса хочу дать максимальный приоритет сети DMZ над lan. В режиме ожидания DVG-шка открывает порт 5060, а при разговоре произвольно открывает дополнительные порты.
Теперь вопросы (пробовать до выходных не могу, т.к. сервер до субботы не остановить ):
1. Что надо прописать на файрволе для нормальной работы железки VoIP?
2. Подключился по SSH (создал доп.правило). Как мне задать максимальный приоритет сети DMZ над lan, но динамически, чтобы при отсутствии разговора по VoIP не резался канал lan?

_________________
Удачи
Эд

И снова приходится отвечать самому себе - вдруг пригодится кому.
В моей ситуации оператором VoIP является SIPNET. Вот что написано в его FAQ:

Вопрос: У меня установлен DSL-модем (маршрутизатор) с функцией NAT. Как мне его настроить для работы SIP-телефона?

Ответ:
При работе через NAT рекомендуется использовать stun-сервер, например stun.sipnet.ru:3478 (stun.sipnet.ru, порт 3478). Технология STUN позволяет устройству понять, как работает NAT между ним и Интернетом.

Делать на DSL-модеме или маршрутизаторе «проброс портов»,«port forwarding» или «virtual server» для сигнализации и RTP-трафика в подавляющем большинстве случаев не требуется. Корректное прохождение через NAT входящего трафика SIP-сигнализации достигается путем регулярной (каждые 10-15 сек) отправки keepalive пакетов SIP-агентом. «Проброс» порта сигнализации позволяет избежать отправки keepalive пакетов и может быть рекомендован только в том случае, если никаким другим способом не удалось добиться устойчивого прохождения входящих вызовов. Если входящие вызовы проходят только в течение короткого промежутка времени после включения или перезагрузки SIP-агента либо после исходящего вызова с него, то необходимо включить keepalive (на SIP-агенте) либо настроить «port forwarding» (на маршрутизаторе). По умолчанию, как правило, для сигнализации используется порт 5060/UDP, однако программные и аппаратные устройства SIP-телефонии позволяют менять это значение или же выбирать этот порт динамически. Так же, как правило, нет никакой необходимости включать «исправление» NAT в самом SIP-агенте, за него это сделает сервер SIPNET. Важно чтобы внутренний (приватный) адрес SIP-агента был назначен из правильного диапазона адресов согласно RFC1918, при использовании других адресов «исправления» NAT на стороне SIPNET не происходит!

«Правильные» внутренние адреса:
10.0.0.0 — 10.255.255.255 (10/8 prefix)
172.16.0.0 — 172.31.255.255 (172.16/12 prefix)
192.168.0.0 — 192.168.255.255 (192.168/16 prefix)

В разных SIP-агентах выключение «исправления» NAT называется по-разному (уточняйте в документации!):
Send internal IP = Always (X-Pro, X-Lite)
Use local IP address = Yes (eyeBeam)
Use discovered addresses in SIP = No (SJphone)
NAT Mapping Enable = No (Linksys PAP2)
nat_enable: 0, nat_received_processing: 0 (Cisco 79xx)
ConnectMode bit22=0 (Cisco ATA)

-----------
Вот. Если все получится в субботу - отписываться не буду. Следующий пост - только в случае возникновения проблем.

_________________
Удачи
Эд

И все-таки как мне дать подсети DMZ максимальный приоритет в случае трафика из нее?

_________________
Удачи
Эд

Глять faq
На Русском http://ftp.dlink.ru/pub/FireWall/_rus_B ... gement.pdf
на Буржуйском ftp://files.dlink.com.au/products/DFL-8 ... haping.pdf

_приоритизация_ трафика не возможна, если не используете метки DCSP. Если нет меток, то только управление полосой пропускания.

Дай этой подсети широкую гарантированную полосу пропускания.

Всем спасибо за советы. Завтра начинаю эксперимент

_________________
Удачи
Эд

Ну, что же. Можно сказать, что эксперимент удался на 80%.
Нужна помощь в донастройке файрвола для нормальной работы устройства VoIP (172.17.100.44) с сервером sipnet.ru.
Итак, железка DVG-2001S работает с сервером sipnet.ru, порт оставлен по-умолчанию 5060.
На файрволе создан в адресной книге адрес VoIP_1 172.17.100.44, в сервисах создан такой: SIPnet_5060_inbound UDP (inbound 5060, destination 1000-10000) - это для входящих пакетов со стороны сервера.
В правилах IP DMZ_to_WAN сделал так: NAT, all_services, источник (dmz, VoIP_1), получатель (any, all_nets).
В правилах IP WAN_to_DMZ сделано так: 1. SAT, SIPnet_5060_inbound, источник (wan, all_nets), получатель (core, wan_IP), в закладке SAT в поле New IP address указал VoIP_1. Следом идет правило Allow с теми же параметрами (кроме, естестенно, SAT).
В режиме ожидания все красиво, этих правил достаточно для нормальной работы именно в режиме ожидания. Проблема в том, что у сервера с той стороны, судя пол логам, регулярно меняется IP и порт UDP. Причем в пределах одного сеанса вроде все порты значения не меняют.
Как мне быть? Как правильно провести донастройку, чтобы входящие пакеты от сервера sipnet.ru не блокировались. Проблему надо решить, т.к. скорей всего из-за этого получаю низкое качество голоса

_________________
Удачи
Эд

Добалю пару строчек лога:

2007-08-27
13:08:04 Warning RULE
06000051 Default_Rule UDP wan
212.53.35.219
84.17.229.88 60015
8940 ruleset_drop_packet
drop

2007-08-27
13:12:12 Warning RULE
06000051 Default_Rule UDP wan
212.53.35.219
84.17.229.88 60593
6994 ruleset_drop_packet
drop
rev=1 ipdatalen=116 udptotlen=116

А еще утром адрес сервера sipnet.ru был 212.53.35.216

_________________
Удачи
Эд

Up (вдруг кто заметит)...

_________________
Удачи
Эд

А Вы попрты для станции пробрасывали или использовали STUN сервер?
Если нет, то используете пробросить для группы портов(5060-65535). Насчёт того, что сервер меняет IP, ничего посоветовать не могу.

добавлю для интересующихся темой. SIP ALG ожидается в октябре(сроки не точные).

На выход открыл все порты с адреса SIP-устройства. На вход делал проброс портов, но вычислить удалось только те порты для входящих вызовов, которые использовались для работы в режиме ожидания. При исходящих звонках так и не получилось понять, какой именно диапазон использует данный провайдер. Попробую по совету сделать проброс из указанного вами диапазона, хотя это не есть правильно: из-за постоянно меняющегося IP-адреса сервера придется делать проброс либо диапазону адресов (собирать статистику, что непросто в достаточно объемных логах), либо всем (что само по себе плохо).
Также спасибо за обнадеживающий ответ, ALG будет видимо реализован в виде новой прошивки... Буду с нетерпением ожидать.

_________________
Удачи
Эд

заработало? мне тоже интересно

Да, заработало (усройство болтается в DMZ), но все-равно жду реализации ALG для протокола SIP в новой прошивке.

_________________
Удачи
Эд