Cуществует 2 территориально разнесенных площадки, соединенные между собой посредством IPSEC туннеля, построенного на шлюзах DFL-210.
На одном из сайтов (далее локальный сайт) установлена телефонная станция Cisco unified communications manager 3000, имеющая подключение в город по потоку E1, внутренний протокол станции - SIP. На обоих площадках установлены IP телефоны Cisco. При попытке звонить с локального сайта в город проблем нет. При попытке звонить с удаленного (по отношению к телефонной станции) сайта в город – слышимость односторонняя. Из города тракт есть, ответного нет. Самое загадочное, что при звонке с удаленного сайта на локальный - с RTP проблем нет. Ходит и RTP и H264.
Для диагностики проблемы использовался сбор траффика на коммутаторах. На локальном сайте сниффером собирался траффик с порта телефонной станции, и LAN интерфейса DFL-210. На удаленном сайте траффик собирался с порта телефона.
В результате анализа собранных трассировок выяснилось, что при звонке с удаленного сайта в город, с удаленного сайта не доходит RTP поток (729 кодек), причем пропадает он в зоне обработки оборудования DLINK.
Какая может быть причина? Прилагаются скриншоты трассировок wireshark и схема сети. См вложения. Т.к. PACP-ы большие, поэтому вышлю по требованию, если надо.

правила в туннеле в студию . с обоих DFL.
у меня точно такое же - только на астериске ( sip он и в африке sip) - все работает , и не с одним туннелем .

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку

На обоих DFL-210 симметричные правила:
Allow, all service,
lan/lannet-> IpSec/remote_net
IPSec/remote_net -> lan/lannet

и не только симметричные - но и с соответсвующими сервисами

в all-service не попадает RTP - проверено лично на своей шкуре .

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку

Поделитесь опытом
Как правильнне добавить RTP в all_service?

не надо добавлять ,
надо создать два сервиса
5060 ( без ALG)
rtp ( не знаю какие там у вас )
соеденить их в группу
и сделать 2 дополнительных правила

allow : lan/lan_net remone_if /revote_net : ваш сервис
allow remone_if /revote_net lan/lan_net : ваш сервис

я поступил проше , создал САМОСТОЯТЕЛЬНО два сервиса all-tcp ( 0-65535)
и all-udp (0-65535) соеденил их в единый сервис ( my-service-tunnel) и в СВОИХ ДОВЕРЕННЫХ ТУННЕЛЯХ использую его ( соедененный )

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку

Спасибо!
Сделал как советовали. Новая единая группа в ней all_TCP и all_UDP на диапазоне 0-65535.
Подменил в туннелях all_service на новую группу с all_TCP и all_UDP.
Результата нет...

А как объяснить прохождение траффика при звонке внутри между сайтами?
Т.е. из сети 192.168.10.x в 192.168.20.x с телефона на телефон RTP траффик доходит
А вот с 192.168.10.x на 192.168.20.251 на адрес шлюза RTP траффик не доходит

По идее матчится и тот и другой RTP должен в одни и те же правила.

вопрос . а как у вас ходит этот RTP ?
может он у вас там ходит между пирами самостоятельно - пошукайте в аТС может есть там настройка что бы траффик завернуть через нее - нагрузка возрастет - зато йопймете где затык .

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку

Что значит самостоятельно?
RTP идет с 192.168.10.200 на 192.168.20.203. (трассировка рисунок 2)
Это же я вижу на WEB телефона в момент звонка, информацию о медиа-потоке он выдает, два встречных UDP потока с портами около 50000
А при вызове в город (рис 4) c 192.168.10.207 на 192.168.20.251.
Т.е. адреса сетей с маской /24.
А CUCM BE 3000 к сожалению не имеет Media termination point и не заворачивает звонки между телефонами через себя.

у 210-х есть отладочная информация о пропущенных и дропнутых пакетах?

конечно есть если включить ее в веб морде , и потмо можно хоть по syslog высыпать

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку

И всё-же, есть у кого опыт передачи RTP траффика по IPSec между двумя DFL-210?
Всё проверили, правила в порядке. Пакеты не ходят.

у меня ходит ... и не только по ИПсек , но еще и по PPTP ....
показывайте давайте скринами сервисы , правила .

да и еще незнаю как там на кисках , в астериске например можно указать локальные сети , тогда и туда начинает раффик ходить .
например поищите параметр типа того LocalNet. например для телефонов или всей системы в целом .

а еще я бы попробовал на каких нибудь софтофонах , или телефонах сделать соединение по принципу P2P , с разных сайтов - тогда точно отсечете - туннели или киска .

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку

PPTP и L2TP имеет ту же проблему - слышимость односторонняя.
Т.е. оттуда звук есть, туда нет (касаемо звонка в город).
Звонок на удаленную площадку межсайтовый - слышимость двухсторонняя.
VPN сервер настроен на той-же DFL-210 на сайте со станцией.

ну если между сайтами есть звук - то тут надо копать наверное в сторону самой коммутационно платформы ?
может перекодинг не срабатывает ?

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку