Тема: NCP/TDE/NS подключение sip транков по локалке и за NAT
А что хоть за шлюз?
Так писал уже “Oktell GSM” програмный.
разрешаем трансфер во внутреннюю сеть и обратно
Я не сильно силен в командах, можете подробнее.
IP->Firewall вкладка Service Ports и там в списке включить sip (чтобы позеленел)
Он есть, горит зеленым порт 5060,5061. А для голоса порт 16000 ничего не надо?
И главное, что роутер начнет подмену адресов на белые?
А что хоть за шлюз?
Так писал уже “Oktell GSM” програмный.
разрешаем трансфер во внутреннюю сеть и обратно
Я не сильно силен в командах, можете подробнее.
IP->Firewall вкладка Service Ports и там в списке включить sip (чтобы позеленел)
Он есть, горит зеленым порт 5060,5061. А для голоса порт 16000 ничего не надо?
И главное, что роутер начнет подмену адресов на белые?
Тут в целом есть 2 типа людей, одни телефонисты(господа инженеры линейных и прочих сооружений АТС не обижайтесь), другие админы. Т.е. одни больше понимают в АТС, другие в сетях. Вы из каких будете?
Вы все сделали что я написал ? У вас только форвард открыть не вышло (погуглите по теме “настройка firewall в microtik” ей богу лень писанину разводить)?
P.S. Смысл НАТ именно в подмене, а смысл роутера, - делать НАТ 😊 (если грубо), так что да, таки начнет и наверно уже делает, просто Вы своим пробросом портов все испортили, так что делайте как я сказал постом выше и рассказывайте.
Так еще раз для тех кто в танке(я все таки больше телефонист).
У вас только форвард открыть не вышло
Форвард чего?
У меня есть уже правила в “Filter Rules” “forward” для 192.168.0.101 и 192.168.0.101. Это я уже давно смог.
До этого писали:
в правилах фаервола разрешаем трансфер
Так форвард или трансфер? Тогда тоже чего?
В закладке NAT проброс 5060 и 16000 значит закрываем. Это я смогу.
Форвард конечно, простите описка вышла, те пакеты, что летят через роутер транзитом.
Так еще раз для тех кто в танке(я все таки больше телефонист).
Хамства не терплю, на этом с Вами прощаюсь. Всего налучшего!
Одного 16000 наверняка будет мало. Там бы ещё следующие 225 портов кинуть бы.. 😊
Jurri, тут у тебя ещё беда в том, что ОБА канала без регистрации.. Кстати, а сколько каналов на Октеле? И, если не осилите разрулить, готовы ли потратиться на закупку необходимого?.. А закупать, возможно, придётся или приблизительно на тысячу, или на девять (или ещё больше), в зависимости от того, что у вас сейчас есть.
Есть ещё вариант - приляпать на ту же машину с Октелом ещё и Йате. И тогда на Октел через Йату ходите по 323-му в локалке, а Йата превратит в сип, в той же локалке.
Ну почему SIP через NAT не работает в общем случае - знаешь? Есть NATы, через которые SIP проходит. В этом случае никаких нат-травёрсалов в АТС не надо ставить.
Топикстартеру.
1. Ты на мой вопрос не ответил.
2. Если ты не понимаешь принципов работы NAT, то тебе надо поискать того, кто понимает. Ликбез по подмене адресов в заголовках и телах пакетов я лично не готов устраивать.
3. Если ты не понял прошлые мои гениальные мысли, то и эту не поймёшь. Но всё же. Вариант - вынести АТС и шлюз в DMZ с белыми IP. Если мысль непонятна тебе - забудь. Не парься. Учи матчасть.
Так еще раз для тех кто в танке(я все таки больше телефонист)
Хамства не терплю, на этом с Вами прощаюсь. Всего налучшего!
Я вообще то себя имел в виду, ну да ладно. И на том спасибо.
Только как же роутер, в теле сообщений от станции подставит мой белый адрес для меня загадка 😕
Request-Line: INVITE sip:67XXXXXX@195.XX.XX.118 SIP/2.0
Message Header
Via: SIP/2.0/UDP 192.168.0.101:5060;branch=z9hG4bK000042a4;rport
Max-Forwards: 70
To: sip:67XXXXXX@XX.XX.XX.118
SIP to address: sip:67XXXXXX@XXX.XX.XX.118
From: sip:67XXXXXX@192.168.0.101;tag=21425
SIP from address: sip:67ХХХХХХ@XXX.XX.XX.118
SIP tag: 21425
Call-ID: 00003137-1d1daede639c100092b70080f0bc72c7@77.93.11.46
CSeq: 1 INVITE
Contact: sip:67XXXXX@192.168.0.101:5060
Contact-URI: sip:67ХХХХХХ@192.168.0.101:5060
Supported: timer,100rel
Session-Expires: 180
Allow: INVITE,ACK,CANCEL,BYE,PRACK,OPTIONS,REGISTER,INFO,UPDATE
Одного 16000 наверняка будет мало
Это понятно, для каждого разговора свой, мне 255 и не надо, но пропишем как по книжке.
Если ты не понял прошлые мои гениальные мысли
Извини, погнался за более гениальными, как мне показалось.
Вариант - вынести АТС и шлюз в DMZ с белыми IP
Я люблю варианты красивые, этот меня не очень устраивает.
Jurri, тут у тебя ещё беда в том, что ОБА канала без регистрации
Чем регистрация то поможет?
Йату
А это что?
приблизительно на тысячу, или на девять
Я не с вашего району.
Почитав ответы, хочется задать вопрос:
Есть ли у кого работающие решение как написано в заголовке темы или нет?
Только как же роутер, в теле сообщений от станции подставит мой белый адрес для меня загадка 😕
А тебе не всё равно, как он это сделает? Ну почитай - http://www.cisco.com/en/US/docs/security/asa/asa83/asdm63/configuration_guide/inspect_voicevideo.html#wp1204403
To support SIP calls through the adaptive security appliance, signaling messages for the media connection addresses, media ports, and embryonic connections for the media must be inspected, because while the signaling is sent over a well-known destination port (UDP/TCP 5060), the media streams are dynamically allocated. Also, SIP embeds IP addresses in the user-data portion of the IP packet. SIP inspection applies NAT for these embedded IP addresses.
Я вообще то себя имел в виду, ну да ладно. И на том спасибо.
Тогда я не прав, извините. Вам все тут уже расписали, а вы так ничего из предложенного не сделали .... Вы коллекционируйте варианты решений? 😊
P.S. Кстати поскольку микротик это для тех, кто очень хочет циску но не может ... 😊 то механизм его работы очень схож с тем, что вам процитировали, я для этого и писал Вам включить его(sip) в сервисах микротика, а все пробросы убрать!
P.P.S. Вот это попробуйте:
/ip firewall service-port
set sip ports=5060,5061и тут читать до просветления (только не циклится только на этой странице а побегать по ссылкам, по NAT например)
Подтверждаю, у меня внешние линии через SIP, станция за шлюзом на котором NAT(маскарадинг), работет
Означает ли это, у вас Панасоник работает без включенного NAT Traversal в станции?
Много делал по вашим рекомендациям, ничего пока не получилось. Ладно, допустим NAT в роутере подставляет белые адреса. Но, опять же вы рекомендуете отключить проброс портов на роутере. Откуда роутер будет знать на какой внутренний Ip ему первоначально отправлять входящий пакет 5060?
С пробросом у меня входящий звонок есть, голоса нет. Биты бегают на 5060 порту.
Без проброса идет только исходящий, голоса опять нет.
Пробовал вкл/выкл Servise port SIP не помогает.
Вижу, что без NAT Traversal Contact URI: sip:67ХХХХХ@192.168.0.101:5060, Connection Information (c): IN IP4 192.168.0.102
С NAT Traversal Contact URI: sip:67ХХХХХ@77.ХХ.ХХ.46:5060, Connection Information (c): IN IP4 77.ХХ.ХХ.46.
Подменяется видно не все.
Пока еще копаю.
Подтверждаю, у меня внешние линии через SIP, станция за шлюзом на котором NAT(маскарадинг), работетОзначает ли это, у вас Панасоник работает без включенного NAT Traversal в станции?
Много делал по вашим рекомендациям, ничего пока не получилось. Ладно, допустим NAT в роутере подставляет белые адреса. Но, опять же вы рекомендуете отключить проброс портов на роутере. Откуда роутер будет знать на какой внутренний Ip ему первоначально отправлять входящий пакет 5060?
С пробросом у меня входящий звонок есть, голоса нет. Биты бегают на 5060 порту.
Без проброса идет только исходящий, голоса опять нет.Пробовал вкл/выкл Servise port SIP не помогает.
Вижу, что без NAT Traversal Contact URI: sip:67ХХХХХ@192.168.0.101:5060, Connection Information (c): IN IP4 192.168.0.102
С NAT Traversal Contact URI: sip:67ХХХХХ@77.ХХ.ХХ.46:5060, Connection Information (c): IN IP4 77.ХХ.ХХ.46.
Подменяется видно не все.
Пока еще копаю.
А много делать не надо было, надо было только то, что я написал в посте начинающимся со слов “проверяемся так...” и результат описать тут. Допускать мы ничего не будем, прочитайте про то, как работает NAT и вопросы типа “Откуда роутер будет знать на какой внутренний Ip ему первоначально отправлять входящий пакет 5060” исчезнут сами собой!!! В общем сделайте точно так как я написал много постов назад точно, и результаты этого нам сюда.
P.S. нат травелсал включать не нужно, т.к. при нормальном нат(а он в микротике именно такой) он только все испортит!
P.P.S. чтобы у вас не возникало мысли о том, что я все это придумал, поясню: у меня в данный момент стоит микротик RB450G в котором включен нат и за ним во внутренней сетке стоит TDE200 на которую подключен 8ми канальный городской SIP номер. Нат травелсал выключен! Всё работает.
P.P.P.S. Мне тут мысль пришла ... а не виноват ли ваш провайдер, он случаем вас не натит ?
Проверяемся так: на станции отключаем траверсал, на шлюзе в правилах фаервола разрешаем трансфер во внутреннюю сеть и обратно, отключаем проброс портов, в микротиковском винбоксе Вам нужно включить IP->Firewall вкладка Service Ports и там в списке включить sip (чтобы позеленел) и поиграйтесь с этим пунктом, он гдето нужен, гдето нет.
Так я это и описал в предыдущем посте вроде.
Отключил NAT Traversal, форвард есть туда сюда на 192.168.0.101 и 192.168.0.102. Проброс портов отключил.
Результат - есть только исходящая связь без голоса.
Пробовал вкл/выкл Servise port SIP результата не меняет.
При включенном NAT Traversal с провайдером все идеально.
Проверяемся так: на станции отключаем траверсал, на шлюзе в правилах фаервола разрешаем трансфер во внутреннюю сеть и обратно, отключаем проброс портов, в микротиковском винбоксе Вам нужно включить IP->Firewall вкладка Service Ports и там в списке включить sip (чтобы позеленел) и поиграйтесь с этим пунктом, он гдето нужен, гдето нет.
Так я это и описал в предыдущем посте вроде.
Отключил NAT Traversal, форвард есть туда сюда на 192.168.0.101 и 192.168.0.102. Проброс портов отключил.
Результат - есть только исходящая связь без голоса.Пробовал вкл/выкл Servise port SIP результата не меняет.
При включенном NAT Traversal с провайдером все идеально.
Кто провайдер ? Есть ли у вас белый IP ?
