Здравствуйте.
В LAN имеется IP PBX 3СX Phone System.
Настроил SIP ALG, необходимые правила SAT и ALLOW. Все по инструкции. При звонках на sip номер извне не слышу автосекретаря.
Запустил утилиту проверки фаерволла, которая есть в 3CX и вижу:

-------------------------------------------
<13:37:15>: Phase 2a, Check Port Forwarding to UDP SIP port, please wait...
<13:37:15>: UDP SIP Port is set to 5060. Response received WITH TRANSLATION 14161::5060. Phase 2a check passed with WARNINGS. Some functionality will be LIMITED. For more information, please visit http://www.3cx.com/support/firewall-checker.html

<13:37:15>: Phase 2b. Check Port Forwarding to TCP SIP port, please wait...
<13:37:15>: TCP SIP Port is set to 5060. Response received WITH TRANSLATION 14161::5060. Phase 2b check passed with WARNINGS. Some functionality will be LIMITED. For more information, please visit http://www.3cx.com/support/firewall-checker.html

<13:37:15>: Phase 3. Check Port Forwarding to TCP Tunnel port, please wait...
<13:37:16>: TCP TUNNEL Port is set to 5090. Response received WITH TRANSLATION 5986::5090. Phase 3 check passed with WARNINGS. Some functionality will be LIMITED. For more information, please visit http://www.3cx.com/support/firewall-checker.html

---------------------------------------

Одним из непременных условий работы 3СX - статическая привязка портов. DFL-210 зачем-то подменяет адреса портов, отсюда проблемы. Как я понял почитав форум, отключить это и сделать статическую привязку портов на данном устройстве невозможно.
Что же делать, отложить DFL-210 в корзину и приобрести фаерволл с возможностью статической привязки портов ?

DFL может статический NAT, но это может создать проблему, когда порт уже занят. Попробуйте использовать SIP ALG из мануала.

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

Пробовал.

Вот правила (sip-udp (TCP\UDP) привязан к SIP ALG).
-------------------
в lan_to_wan

NAT lan\lannet wan\all-nets sip-udp

в port_mapping

SAT wan\all-nets core\wan_ip sip-udp (SAT - 3cx_ip)
Allow wan\all-nets core\wan_ip sip-udp
-------------------

Model: DFL-210
Firmware Version: 2.26.00.06-12653
Sep 23 2009

Попробовал также SIP платформу CommuniGate pro. Результат такой же, не слышу автосекретаря.

3CX использует порты: 5060 (UDP\TCP), 9000-9049 (RTP)
CommuniGate Pro порты: 5060 (UDP), 60000-60099 (RTP)

Может нужно поместить SIP сервер в DMZ ?

В DMZ вы ничего не решите. Если есть дополнительные адреса, в идеале использовать их. Ну а елси нет, то пробуйте вот что...

1) Objects > Services
Добавьте протоколы sip-ctl, sip-rtp в соответствии с параметрами вашего сервера без SIP ALG
Добавьте группу (например sip-outbound) для исходящих сервисов (sip-ctl, sip-rtp)
Добавьте группу (например sip-inbound) для входящих сервисов (sip-ctl, sip-rtp)

2) Objects > Address book
Добавьте объект/группу ext_sip_server - хосты, для которых NAT (исходящий трафик от внутреннего сервера) надо будет делать статическим

3) В Rules > IP rules сделайте выше lan_to_wan правила
# ounbound - static NAT
SAT lan/yoursipserver wan/ext_sip_server sip-outbound (SAT: new source = wan_ip)
Allow lan/yoursipserver wan/ext_sip_server sip-ounbound
# inbound - port mapping
SAT wan/all-nets core/wan_ip sip-inbound (SAT: new dest = yoursipserver)
Allow wan/all-nets core/wan_ip sip-inbound

Примерно так, возможны вариации с протоколами и/или хостами - внешними серверами.

Однако, учтите - возможна ситуация, когда DFL и ваш SIP сервер "заходтят" один и тот же порт, что приведет минимум к лагу.

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

Звук появился, заикается правда
Правда диагностика фаерволла со стороны 3СX все равно показывает, что идет трансляция портов и предупреждает о ограничении функциональности.
Из-за этого, например, невозможно донабрать внутренний номер.

У меня лично создалось впечатление, что из серверов SIP нормально работать за DFL может только asterisk, который я не тестировал.

Спасибо Вам огромное за помощь !

Трансляция полюбому будет, у вас же NAT.

В идеале конечно вывести в DMZ SIP сервер, но чтобы у него был отдельный белый адрес.

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc