• Categories
  • Recent
  • Tags
  • Popular
  • Users
  • Search
  • Register
  • Login
Netgate Discussion Forum
  • Categories
  • Recent
  • Tags
  • Popular
  • Users
  • Search
  • Register
  • Login

SIP за NAT

Scheduled Pinned Locked Moved Russian
9 Posts 5 Posters 5.0k Views
Loading More Posts
  • Oldest to Newest
  • Newest to Oldest
  • Most Votes
Reply
  • Reply as topic
Log in to reply
This topic has been deleted. Only users with topic management privileges can see it.
  • M Offline
    Myero
    last edited by Oct 14, 2014, 11:05 AM Oct 14, 2014, 11:00 AM

    Добрый день. 3 день не получается настроить клиента sip стоящий за pfsense.
    имеется pf 2.1.5, cisco spa122, настроенная, порты по умолчанию. sip сервер находится у провайдера с выделенным внешним ip.
    до этого момента стоял обычный роутер dlink, циска была выведена в dmz, телефон работал нормально.
    что сделал:
    1 на  pf пробросил порты 5060,5061, и уже с 6000-65000 на циску (в фаерволе прописалось). не завелось.
    2 включил сервис upnp&NAT,  честно говоря плохо в этом разбрался, но после разрешения трафика из вне на
    destination 239.255.255.250:1900
    239.255.255.250:3702
    255.255.255.255:5678
    224.0.0.252:5355
    Телефон заработал, но только в одну сторону (меня слышат - я нет)

    что это за ip такие ?
    в ту ли сторону я курю?
    начитался что SSDP кроме 1900 порта udp использует еще TCP 2189 . но кому и куда его прикручивать?

    главный вопрос , что сделать то чтобы телефон заработал? ))

    1 Reply Last reply Reply Quote 0
    • Z Offline
      ZLoBNbIY
      last edited by Oct 14, 2014, 11:26 AM

      У меня в офисе тоже самое(ну почти), стоит сервак с PFSense на нем поднят LightSquid фильтрующий трафик, Limiter ограничивающий юзверов. Все машины в сети ходят через сквид, на каждой машине стоит софтофон который подключается к серваку IP телефонии в дата центре. Все работает. В самом файрволе правил не делал(ест только 1 -проброс RDP, ну это не считается). Как открыл доступ для софтофонов-просто в правилах сквида поставил адрес на который подключаются софтофоны в исключения(при обращении на этот адрес запросы обходят файрвол) и все прекрасно!

      1 Reply Last reply Reply Quote 0
      • M Offline
        Myero
        last edited by Oct 14, 2014, 12:14 PM

        установил  сквид, в прозрачном режиме, нашел там только
        Bypass proxy for these destination IPs для удаленного
        и Unrestricted IPs для циски
        прописал ип, не заработало(
        Почитал, и не должно было заработать. в этих состояниях он просто опускает проксю и действует по правилам фаервола.. ((

        1 Reply Last reply Reply Quote 0
        • A Offline
          A_M
          last edited by Oct 14, 2014, 3:19 PM

          IMHO, squid в данном случае ни при чем, если речь идет об обычной sip-телефонии.
          Циска ведь у вас NAT'ится?
          У меня совершенно без дополнительных правил работают (NAT) циски через pfsense, еще и провайдеры разные.
          Я бы для начала(убрав предварительно все костыли и убедившись в нормальной работе NAT) попробовал определить, на каком уровне возникают грабли, к примеру, сделать дамп трафика - а соединение, вообще, устанавливается?

          1 Reply Last reply Reply Quote 0
          • W Offline
            werter
            last edited by Oct 15, 2014, 5:37 AM

            2 ZLoBNbIY

            … PFSense на нем поднят LightSquid фильтрующий трафик

            LightSquid никогда не был фильтрующим механизмом. Это механизм отчетности.

            Как открыл доступ для софтофонов-просто в правилах сквида поставил адрес на который подключаются софтофоны в исключения(при обращении на этот адрес запросы обходят файрвол) и все прекрасно!

            С каких пор телефония стала использовать 80\tcp (http) для соединения ?

            Разрешите временно всё на LAN, включите логирование и смотрите какие порты и протоколы исп-ся вашими sip-клиентами. Их и разрешайте в правилах fw.

            1 Reply Last reply Reply Quote 0
            • M Offline
              Myero
              last edited by Oct 15, 2014, 9:18 AM

              Открыл в фаерволе все  и куда угодно на WANe и на LANe, поставил логирования всего этого (Страшно смотреть на зелененькие стрелочки). все остальные правила удалены… (OPT1 сеть и IPSec на других интерфейсах соответсвенно, но там только то что необходимо для работы)

              циска даже не соединяется, хотя вижу в states
              udp чч.яяя.214.33:5060 <- 192.168.21.150:5060                                                          (192.168.21.150 -static IP  циски )
              делаю NAT1:1 весь трафик с wanIP на циску = связь работает только в одну сторону.
              ни одного запрещающего правила нет, в логах фаервола проходит регистарция на 5060 и из диапозона 10000-20000 RTP.

              включаю напрямую провод от провайдера в циску- связь в норме в обе стороны.

              вообщем я в ступоре( есть еще какие предложения?
              на циске включен NAT Keep Alive

              1 Reply Last reply Reply Quote 0
              • W Offline
                werter
                last edited by Oct 15, 2014, 10:38 AM

                https://doc.pfsense.org/index.php/Asterisk_VoIP

                1 Reply Last reply Reply Quote 0
                • M Offline
                  Myero
                  last edited by Oct 22, 2014, 12:02 PM

                  Благодарю, всех кто обратил внимание на мою проблему, werter, отдельное спасибо за статью, сам ее почему то не смог найти((не попадалась на глаза.

                  С провайдером не удалось договориться, пасс для подключения к серверу сип мне так и не дали, поэтому статью проверить не смог, но логически там все правильно, взял на заметку…

                  Ситауцию решили следующим образом: выделение доп IP-внешнего (целую подсеть) отдельно на циску..

                  1 Reply Last reply Reply Quote 0
                  • D Offline
                    derwin
                    last edited by Oct 24, 2014, 1:32 AM

                    голос в одну сторону? вы не слышите, или вас?
                    Значит у вас не настроен RTP транспорт в какую то сторону. Обычное дело. ПОтому что нужно настраивать forwarding для голосового траффика, или настраивать stun-сервер. Это уже пререгатива работы самого VOIP оборудования, копать туда. Вообще NAT + SIP = гемор.

                    1 Reply Last reply Reply Quote 0
                    • First post
                      Last post
                    Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.
                      This community forum collects and processes your personal information.
                      consent.not_received