[RESOLVED] PFsense2.1+?OpenVpn?+SIP

werter

Логи fw смотрели? Скрины правил на LAN, WAN, NAT покажите.

KARLAGIN

Ну будем исходить из того что в данный момент sip пытается работать из OpenVPN сети 192.168.101.0/24
Вот пример того что удаленный телефон из удаленной сети звонит на телефон локальной сети:

udp 192.168.100.4:5060 <- 192.168.101.20:5060 MULTIPLE:MULTIPLE
udp 192.168.101.20:5060 -> 192.168.100.4:5060 MULTIPLE:MULTIPLE
udp 192.168.101.20:3001 <- 192.168.100.57:3000 NO_TRAFFIC:SINGLE
udp 192.168.100.57:3000 -> 95.31.xxx.x:38633 -> 192.168.101.20:3001 SINGLE:NO_TRAFFIC
udp 192.168.100.57:3001 <- 192.168.101.20:3002 MULTIPLE:MULTIPLE
udp 192.168.101.20:3002 -> 192.168.100.57:3001 MULTIPLE:MULTIPLE

те по сути никаких доп правил нету, впн работает пакеты туда сюда ходят. и Как видим SIP сигнал тоже идет.

Меня если честно смущает udp 192.168.100.57:3000 -> 95.31.xxx.xx:38633 -> 192.168.101.20:3001 SINGLE:NO_TRAFFIC
Оно при OPenVpn так и должно быть?

werter

Скрины правил на LAN, WAN, NAT покажите

Не увидел.

KARLAGIN

Вот скрины правил, OPT2 это L2TP на билайн.

NAT1.png_thumb

OPT2.png_thumb

KARLAGIN

Вот LAN и OpenVPN

LAN.png_thumb

OVPN.png_thumb

KARLAGIN

К слову сказать я пока пытался разобраться где же грабли обнаружил что у меня по OpenVPN не все гладко, а точнее клиенты из ЦО не видят филиала…. сейчас попытаюсь выяснить в чем дело и тогда вернемся обратно....
С уважением, Дмитрий

werter

На последнем скрине второе правило - зачем оно там? Далее, Firewall:Rules:LAN (предпоследний скрин) - зачем добавили !LAN ? Правила fw работают по принципу LAN (ы) -> WAN (ы) и наоборот, но никак не LAN -> LAN. Там же оставшиеся два правила - вы выпускаете всех только через шлюз по-дефолту по всем портам, кроме 80-го - это так надо? Не будет ли перенагрузки на дефолтный шлюз\канал ?

KARLAGIN

@werter:

На последнем скрине второе правило - зачем оно там?

Если честно от отчаяния

@werter:

Далее, Firewall:Rules:LAN (предпоследний скрин) - зачем добавили !LAN ? Правила fw работают по принципу LAN (ы) -> WAN (ы) и наоборот, но никак не LAN -> LAN.

Согласен, но это было из коробки -он мне не мешало я и не запаривался :)
@werter:

Там же оставшиеся два правила - вы выпускаете всех только через шлюз по-дефолту по всем портам, кроме 80-го - это так надо? Не будет ли перенагрузки на дефолтный шлюз\канал ?

Ну это я делал для балансировки трафика по 80 порту, пока нет перегруза если будет инцидент это конечно изменится

KARLAGIN

Все оказалось просто, не работала маршрутизация. Описание проблемы здесь https://forum.pfsense.org/index.php?topic=59081.msg401892#msg401892

werter огромное спасибо за содействие

werter

Рад помочь ;)