Тема: tde200 проблема с внешними sip абонентами

spider_alex - 22.10.13 17:04

На Микротике, говорят, нормально работает...

Вот с этим утверждением готов уже поспорить...
Уже есть два случая когда сеть на линуксе заменили на микротики и возникли глюки.

weerkostya - 22.10.13 16:57

о том выше и писалось - нельзя на sipext настроить диапазон rtp портов. и необходимо пробрасывать ВСЕ возможные
а возможно их там очень много )))

Но ведь я пробрасывал udp1-35000 и без результата.
Кроме того, я наблюдаю пакеты на wan nat2 перед АТС и не вижу входящего RTP, только сигналы sip5060 и исходящий RTP. Будто с клиента вообще не уходят за пределы роутера пакеты rtp, но почему?  Как будто клиент пытается послать пакет на адрес 0.249 как обычно (то есть dst ip=0.249), а роутер, естественно ничего не зная об этой сети, выбрасывает пакет.

ЗЫ: на vpn я пробовал, там проблем нет. Но в данной конкретной ситуации понадобилось обычным пробросом. Да и уже хочется не столько сделать сколько понять причину)

antalus - 22.10.13 17:13

weerkostya - 22.10.13 16:57

о том выше и писалось - нельзя на sipext настроить диапазон rtp портов. и необходимо пробрасывать ВСЕ возможные
а возможно их там очень много )))

Но ведь я пробрасывал udp1-35000 и без результата.
Кроме того, я наблюдаю пакеты на wan nat2 перед АТС и не вижу входящего RTP, только сигналы sip5060 и исходящий RTP. Будто с клиента вообще не уходят за пределы роутера пакеты rtp, но почему?  Как будто клиент пытается послать пакет на адрес 0.249 как обычно (то есть dst ip=0.249), а роутер, естественно ничего не зная об этой сети, выбрасывает пакет.

ЗЫ: на vpn я пробовал, там проблем нет. Но в данной конкретной ситуации понадобилось обычным пробросом. Да и уже хочется не столько сделать сколько понять причину)

Чтобы понять причину - почему не работает, сперва ты должен понимать - как оно работает. Гугли “sip nat”

spider_alex - 22.10.13 17:04

На Линуксе нормально туннель IPSEC пашет, на фрюхе. Хотя я бы рекомендовал Zywall USG или Cisco881.

Cisco881 будет лучшим вариантом, но и самым сложным в настройке

antalus - 22.10.13 17:13

weerkostya - 22.10.13 16:57

о том выше и писалось - нельзя на sipext настроить диапазон rtp портов. и необходимо пробрасывать ВСЕ возможные
а возможно их там очень много )))

Но ведь я пробрасывал udp1-35000 и без результата.
Кроме того, я наблюдаю пакеты на wan nat2 перед АТС и не вижу входящего RTP, только сигналы sip5060 и исходящий RTP. Будто с клиента вообще не уходят за пределы роутера пакеты rtp, но почему?  Как будто клиент пытается послать пакет на адрес 0.249 как обычно (то есть dst ip=0.249), а роутер, естественно ничего не зная об этой сети, выбрасывает пакет.

ЗЫ: на vpn я пробовал, там проблем нет. Но в данной конкретной ситуации понадобилось обычным пробросом. Да и уже хочется не столько сделать сколько понять причину)

Выложить анализ SIP wireshark можно?

Zavr2008 - 23.10.13 16:21

Выложить анализ SIP wireshark можно?

Да, пожалуйста. Запечатлен момент регистрации и пробный разговор
62…..  это белый ip домашнего роутера, за которым сидит sip-клиент
фильтр выставлен как “udp and host 0.248 and host 0.249”

123.zip  (Размер: 37KB - Загрузки: 39)

antalus
строка 12
станция говорит шлюзу отправлять rtp трафик на айпи 192.168.0.249

сорри, что то я подзабыл и неверно выше написал по этому поводу.

обычным натом такую задачу не решить. 2 варианта есть:

или NAT2 должен быть умным (ALG) - в этом случае он поменит айпишник в строке 12
или на станцию вешать внешний айпи

weerkostya - 24.10.13 7:21

antalus
строка 12
станция говорит шлюзу отправлять rtp трафик на айпи 192.168.0.249

сорри, что то я подзабыл и неверно выше написал по этому поводу.

обычным натом такую задачу не решить. 2 варианта есть:

или NAT2 должен быть умным (ALG) - в этом случае он поменит айпишник в строке 12
или на станцию вешать внешний айпи

Ясно. Спасибо. Подозревал подобное.
Или как вариант NAT1 заставить  DNAT`ить пакеты идущие на 0,249, 0,249 заменить на wan адрес NAT2 тогда пакет уйдет, а NAT2 уже также подменит назначение снова на 0,249. Правда нужно будет заменить роутер на “по-серьезнее”. Такое будет работать?

может и будет, но роутер нужен будет хороший
проще взять такой хороший роутер и на станцию с его помощью айпи внешний поставить

подгрузил модули SIP для iptables на шлюзе перед атс, теперь если звонит sip-клиент, то все отлично, голос в обе стороны. Но если звонят с атс клиенту, то вызов доходит, но голоса вообще нет нигде. Буду копать дальше

Удалось немного конкретизировать ситуацию. Вызов с атс оказывается не доходит, а точнее доходит, но не возвращается.
Клиент после инвайта шлет ответный пакет на локальный адрес атс.
вот пакет уходящий с атс: AAA-сервер, ВВВВ-клиент

Internet Protocol Version 4, Src: AAA , Dst: BBBB 
User Datagram Protocol, Src Port: sip (5060), Dst Port: edm-mgr-sync (3464)
Session Initiation Protocol
Request-Line: INVITE sip:118@AAA:5060 SIP/2.0
Method: INVITE
Request-URI: sip:118@AAA:5060
Request-URI User Part: 118
Request-URI Host Part: AAA
Request-URI Host Port: 5060
[Resent Packet: False]
Message Header
Via: SIP/2.0/UDP 192.168.0.248:5060;branch=z9hG4bK000070d7
Transport: UDP
Sent-by Address: 192.168.0.248
Sent-by port: 5060
Branch: z9hG4bK000070d7
Max-Forwards: 70
To: sip:118@192.168.0.248
From: "L-004" <sip:192.168.0.248>;tag=27800
Call-ID: 00004914-0b75625e6e87100088eb0080f0ccbddc@192.168.0.248
CSeq: 1 INVITE
Contact: sip:192.168.0.248:5060
Supported: timer
Session-Expires: 90;refresher=uac
Min-SE: 90
Allow: INVITE,ACK,CANCEL,BYE,REGISTER
Content-Type: application/sdp
Content-Length: 258
Message Body
Session Description Protocol
Session Description Protocol Version (v): 0
Owner/Creator, Session Id (o): - 1 1 INIP4 AAA
Session Name (s): -Connection Information (c): IN IP4 AAA

после чего клиент отвечает RINGING180 на 0,248.
Via: SIP/2.0/UDP 192.168.0.248:5060; это поле заставляет клиента слать туда ответ?