SIP за NAT
-
Добрый день. 3 день не получается настроить клиента sip стоящий за pfsense.
имеется pf 2.1.5, cisco spa122, настроенная, порты по умолчанию. sip сервер находится у провайдера с выделенным внешним ip.
до этого момента стоял обычный роутер dlink, циска была выведена в dmz, телефон работал нормально.
что сделал:
1 на pf пробросил порты 5060,5061, и уже с 6000-65000 на циску (в фаерволе прописалось). не завелось.
2 включил сервис upnp&NAT, честно говоря плохо в этом разбрался, но после разрешения трафика из вне на
destination 239.255.255.250:1900
239.255.255.250:3702
255.255.255.255:5678
224.0.0.252:5355
Телефон заработал, но только в одну сторону (меня слышат - я нет)что это за ip такие ?
в ту ли сторону я курю?
начитался что SSDP кроме 1900 порта udp использует еще TCP 2189 . но кому и куда его прикручивать?главный вопрос , что сделать то чтобы телефон заработал? ))
-
У меня в офисе тоже самое(ну почти), стоит сервак с PFSense на нем поднят LightSquid фильтрующий трафик, Limiter ограничивающий юзверов. Все машины в сети ходят через сквид, на каждой машине стоит софтофон который подключается к серваку IP телефонии в дата центре. Все работает. В самом файрволе правил не делал(ест только 1 -проброс RDP, ну это не считается). Как открыл доступ для софтофонов-просто в правилах сквида поставил адрес на который подключаются софтофоны в исключения(при обращении на этот адрес запросы обходят файрвол) и все прекрасно!
-
установил сквид, в прозрачном режиме, нашел там только
Bypass proxy for these destination IPs для удаленного
и Unrestricted IPs для циски
прописал ип, не заработало(
Почитал, и не должно было заработать. в этих состояниях он просто опускает проксю и действует по правилам фаервола.. (( -
IMHO, squid в данном случае ни при чем, если речь идет об обычной sip-телефонии.
Циска ведь у вас NAT'ится?
У меня совершенно без дополнительных правил работают (NAT) циски через pfsense, еще и провайдеры разные.
Я бы для начала(убрав предварительно все костыли и убедившись в нормальной работе NAT) попробовал определить, на каком уровне возникают грабли, к примеру, сделать дамп трафика - а соединение, вообще, устанавливается? -
2 ZLoBNbIY
… PFSense на нем поднят LightSquid фильтрующий трафик
LightSquid никогда не был фильтрующим механизмом. Это механизм отчетности.
Как открыл доступ для софтофонов-просто в правилах сквида поставил адрес на который подключаются софтофоны в исключения(при обращении на этот адрес запросы обходят файрвол) и все прекрасно!
С каких пор телефония стала использовать 80\tcp (http) для соединения ?
Разрешите временно всё на LAN, включите логирование и смотрите какие порты и протоколы исп-ся вашими sip-клиентами. Их и разрешайте в правилах fw.
-
Открыл в фаерволе все и куда угодно на WANe и на LANe, поставил логирования всего этого (Страшно смотреть на зелененькие стрелочки). все остальные правила удалены… (OPT1 сеть и IPSec на других интерфейсах соответсвенно, но там только то что необходимо для работы)
циска даже не соединяется, хотя вижу в states
udp чч.яяя.214.33:5060 <- 192.168.21.150:5060 (192.168.21.150 -static IP циски )
делаю NAT1:1 весь трафик с wanIP на циску = связь работает только в одну сторону.
ни одного запрещающего правила нет, в логах фаервола проходит регистарция на 5060 и из диапозона 10000-20000 RTP.включаю напрямую провод от провайдера в циску- связь в норме в обе стороны.
вообщем я в ступоре( есть еще какие предложения?
на циске включен NAT Keep Alive -
https://doc.pfsense.org/index.php/Asterisk_VoIP
-
Благодарю, всех кто обратил внимание на мою проблему, werter, отдельное спасибо за статью, сам ее почему то не смог найти((не попадалась на глаза.
С провайдером не удалось договориться, пасс для подключения к серверу сип мне так и не дали, поэтому статью проверить не смог, но логически там все правильно, взял на заметку…
Ситауцию решили следующим образом: выделение доп IP-внешнего (целую подсеть) отдельно на циску..
-
голос в одну сторону? вы не слышите, или вас?
Значит у вас не настроен RTP транспорт в какую то сторону. Обычное дело. ПОтому что нужно настраивать forwarding для голосового траффика, или настраивать stun-сервер. Это уже пререгатива работы самого VOIP оборудования, копать туда. Вообще NAT + SIP = гемор.