модель роутера DFL-800
есть wan-ip по которому стандартный порт 5060 пробрасывается на телефонную станцию, поэтому простой проброс портов не подходит
есть dmz-зона, куда публиковать сервер asterisk не хочется (да и не уверен что он будет работать с 2 сетевыми картами)

сделал хитро: создал правило ARP где опубликовал один из dmz-адресов на интерфейсе dmz
далее по инструкции создал правила SAT и Allow для wan->dmz
ловлю все нужные порты и пробрасываю на локальный ip сервера asterisk
список портов получен у производителя и по идее должен быть полным (tcp 5038-5040,1452-1453; udp 5060-5065,10000-20000)

итого: программный софтфон извне нормально коннектится, может дозвониться до абонентов в локальной сети, но звука нет ни с одной стороны
при проверке утилитой tcping пинги идут до tcp-портов (почему-то кроме 1453, хотя других сервисов с таким портом нет), но не пингуются udp-порты

что может быть не так? не хватает каких-то правил?
или все-таки надо публиковать сервер в dmz? тогда со второй сетевой картой? или например поставить второй роутер с нужным адресом из dmz который все порты будет кидать на сервер asterisk, и прописать его как gateway для asterisk сервера?

сделали просто проброс портов поступающих на wan_ip (т.е. без всяких arp, dmz и т.д.) - тот же результат
вроде как все работает, но голоса нет

Портмаппинг (NAT) - очень часто непреодолимые грабли для RTP

1. Смотрите в логи - есть ли дропы по телефонам?
2. Попробуйте использовать SIP ALG (пример настройки смотрите в мануале)
3. Если ваш DMZ имеет белые адреса, лучше вынесите сервер туда. Вторая сетевая проблемой особой не должна быть

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

угу, проблемы с натом
голосовые пакеты уходят на локальный ip 10.0.0.x

надо смотреть в сторону stun

может кому пригодится - в итоге проблема решилась исправление sip_general.conf в астериске (меню setup->edit config)
наш сейчас выглядит так:

;placeholder for future expansion PIAF Dev Team
callevents=yes
disallow=all
allow=alaw
allow=ulaw
;qualify=30000
qualify=yes
maxexpiry=300
rtptimeout=120
rtpholdtimeout=600

localnet=10.0.0.0/255.255.255.0
externip=91.221.xxx.zzz
fromdomain=91.221.xxx.zzz
externrefresh=60
nat=yes
canreinvite=no