Добрый день.

Появилась необходимость разнести основной и SIP-трафик на разные физические каналы.
На DFL-210 в dmz-порт (его переменовал в wan2) воткнул канал для SIP-телефонии и настроил маршрутизацию

Также создал два nat-правила и два правила для проброса портов до АТС.
Всё ничего, вот только в логах вываливается запись следующего вида


Это исправляется, если внести нужный mac-адрес c ip-адресом провайдера (ip_telphin2) в ARP, но это помогает всего на несколько часов, после чего sip-регистрация не проходит.
Как это можно исправить?

Тема рядом висит, рулить и искать pbr.

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку

Есть тема с похожим логом: viewtopic.php?t=68836
В ней рекомендуют прописать статичную запись в ARP, что собственно я и делаю, и это помогает часов на 5.
Вот, что сейчас вываливается в логи:

На скрине 188.65.107.13 - шлюз, 185.65.107.14 - ip wan2

Речь была про эту тему рядом: viewtopic.php?f=3&t=166741

_________________
С уважением, Matrox.
DFL, HPE, QNAP, Netgear и прочее железо...

надо смотреть правила и путь тарфика, может вместо nat где-нибудь стоит allow (но тогда обычно другая ошибка) или трафик начинает не туда идтить
при двух сип каналах, астериск в сети один?, есть ли и как осуществялется САТ?
в обще надо смотреть схему пути и правила
скорее всего интерфейс ловит пакеты предназначенные не ему, пакет уходит по одному интерфейсу, а возвращается на другой, с сип такой финт можно сделать легко (зарегистрироваться по wan1, а разговаривать по wan2, регистрация и разговор там же по разным портам)
что там за ip адреса в логах, ваны между собой переговариваются?

А почему вы заворачиваете адреса ip_telphin/ip_telphin2 на wan2 без шлюза?
МАС адреса вашего шлюза - каждый раз новые или одинаковые?

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

Так, по порядку:
1. В сети сейчас только один SIP-аккаунт (второй принудительно выключен), сейчас важно, чтобы правило отрабатывалось для IP "ip_telphin2".
2. SAT есть, два стандартных правила SAT и Allow (SAT уходит на локальный адрес АТС, порты одинаковые).

3. Ваны не переговариваются, в ван1 уходит основной трафик, в ван2 (dmz-порт) уходит/должны уходить только SIP-трафик (регистрация и rtp-пакеты).
4. На скрине: 188.65.107.13 - это шлюз на wan2, 185.65.107.14 - это ip на wan2

Ставлю шлюз в маршруте и вылезает этот лог:
Mac-адрес шлюза один, по крайней мере я ничего дополнительно не делаю.

если у вас адресаты просто находятся в сети wan2_net, то вам достаточно установить галку
Automatically add a route for this interface using the given network. в настройках wan2

и не делать маршрутов на ip_telphin/ip_telphin2

покажите status-routes

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

Поставил галку в ван2:
Таблица всех маршрутов:
И как следствие новые логи, запросы начинают уходить в ван1, для которого нет разрешающего правила:

wannet и wan2net у вас сформированы неверно
Воспользуйтесь в сети любым сетевым калькулятором и исправьте

Должно быть нечто напоминающее "188.65.107.12/30"
Можете поглядеть на lannet для образца

после этого снова покажите status-routes
а также адреса wan2_ip и ip_telphin2

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

Хм, я на всех устройствах настраиваю wannet по шаблону: 255.255.255.252/30 и никаких проблем с этим никогда не испытывал))
Поменял пока wan2net и получилась следующая таблица:
Далее скрины двух IP:

как следствие ваших скринов, маршрут до сетей ip_telphin2 должен быть с указанием шлюза

Это лишь означает, что вы никогда не использовали ресурсы в сети wannet. Но вряд-ли стоит и дальше делать неправильно.

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

Благодарю, всё получилось))