Pfsense + Elastix, não consigo abrir porta SIP

marcelloc

Além do nat no fw com as portas tcp e udp necessárias, você precisa criar no Elastix o arquivo com as informações de nat. Da uma pesquisada por nat + Elastix que você encontra fácil fácil.

fabricioborges1

localnet=10.1.1.1/255.0.0.0
nat=yes

fabricioborges1

Marcelloc, acho que editou meu comentário ao invés de responder, sem querer hahahahaha

Bem, a mascara é 255.0.0.0 mesmo, /8.
Agora quanto ao IP do localnet, então seria a rede toda 10.0.0.0?
Não o IP do pfSense, 10.1.1.1?

marcelloc

@fabricioborges1:

Marcelloc, acho que editou meu comentário ao invés de responder, sem querer hahahahaha

Bem, a mascara é 255.0.0.0 mesmo, /8.
Agora quanto ao IP do localnet, então seria a rede toda 10.0.0.0?
Não o IP do pfSense, 10.1.1.1?

Perdão. editei sem querer  ;D

marcelloc

[quote]
localnet=10.1.1.1/255.0.0.0
nat=yes

Essa localnet está errada.

ou você fecha a mascara no host ou o declara a rede toda
[b]localnet=10.0.0.0/255.0.0.0[/b]

ou 

[b]localnet=10.1.1.0/255.255.255.0[/b]

tem certeza que sua rede é um /8 com mais de 16milhões de ips?[/quote]

marcelloc

@marcelloc:

Agora quanto ao IP do localnet, então seria a rede toda 10.0.0.0?
Não o IP do pfSense, 10.1.1.1?

isso, a sua rede é 10.0.0.0/8

fabricioborges1

Não deu certo mesmo alterando isso.
Decidi retirar o pfSense e deixar um Router TP-LINK, melhorou pois ao menos conectada (registrava sip), mas ficava mudo em ligação externa ainda.
Optei por registrar ramais IAX2 e deu certo, tanto no TP-LINK quanto no pfSense, utilizando a porta 4569, tudo perfeito, registro, TX e RX. Mas não consigo entender por que o problema com SIP, mas darei uma olhada, pelo visto é referente a configuração do Elastix tendo em vista que obtive o mesmo problema com SIP no Router.

Grato pela ajuda, Marcelloc!

fabricioborges1

Além do problema do SIP externo não ter funcionado e precisei usar IAX2, ainda tem outra questão:

Com Elastix por trás do pfSense, eu não consigo acessar nada por DDNS em minha rede local, somente o pfsense.

Ex:
IP pfSense: 10.1.1.1  - DDNS: meudominio.ddns.net:1 (FUNCIONA IP E DDNS, EXTERNO E INTERNO)
IP Elastix: 10.1.1.2 - DDNS: meudominio.ddns.net:2 (FUNCIONA IP E DDNS EXTERNO, MAS INTERNO SOMENTE IP, ELE NÃO AUTENTICA O RAMAL PELO DDNS, A[Í TEM QUE FICAR ALTERANDO NO SOFTPHONE O HOST)
IP Servidor1: 10.1.1.3 - DDNS: meudominio.ddns.net:3 (FUNCIONA IP E DDNS EXTERNO, MAS INTERNO SOMENTE IP, PRECISO ACESSAR PELO IP LOCAL, OU PELO NOME DO SERVIDOR, INTERNAMENTE)

[u]A configuração de Advanced > Firewall  & NAT > NAT Reflection mode for port forwards > selecionando a opção (NAT+Proxy) já foi feita e não funcionou.

marcelloc

@fabricioborges1:

Não deu certo mesmo alterando isso.
Decidi retirar o pfSense e deixar um Router TP-LINK, melhorou pois ao menos conectada (registrava sip), mas ficava mudo em ligação externa ainda.
Optei por registrar ramais IAX2 e deu certo, tanto no TP-LINK quanto no pfSense, utilizando a porta 4569, tudo perfeito, registro, TX e RX. Mas não consigo entender por que o problema com SIP, mas darei uma olhada, pelo visto é referente a configuração do pfSense tendo em vista que obtive o mesmo problema com SIP no Router.

Grato pela ajuda, Marcelloc!

Problema de nat com certeza.

marcelloc

@fabricioborges1:

Além do problema do SIP externo não ter funcionado e precisei usar IAX2, ainda tem outra questão:

Com Elastix por trás do pfSense, eu não consigo acessar nada por DDNS em minha rede local, somente o pfsense.

Ex:
IP pfSense: 10.1.1.1  - DDNS: meudominio.ddns.net:1 (FUNCIONA IP E DDNS, EXTERNO E INTERNO)
IP Elastix: 10.1.1.2 - DDNS: meudominio.ddns.net:2 (FUNCIONA IP E DDNS EXTERNO, MAS INTERNO SOMENTE IP, ELE NÃO AUTENTICA O RAMAL PELO DDNS, A[Í TEM QUE FICAR ALTERANDO NO SOFTPHONE O HOST)
IP Servidor1: 10.1.1.3 - DDNS: meudominio.ddns.net:3 (FUNCIONA IP E DDNS EXTERNO, MAS INTERNO SOMENTE IP, PRECISO ACESSAR PELO IP LOCAL, OU PELO NOME DO SERVIDOR, INTERNAMENTE)

[u]A configuração de Advanced > Firewall  & NAT > NAT Reflection mode for port forwards > selecionando a opção (NAT+Proxy) já foi feita e não funcionou.

Você provavelmente só tem um ip externo. Seus dois ddns estão apontando para o mesmo e o modem só configura um host dmz.

Se o pfSense recebe ip inválido, e passa outra faixa para os clientes, você está enfrentando duplo nat para o sip. Isso é uma das piores situações que você pode encontrar.

fabricioborges1

@marcelloc:

Você provavelmente só tem um ip externo. Seus dois ddns estão apontando para o mesmo e o modem só configura um host dmz.

Se o pfSense recebe ip inválido, e passa outra faixa para os clientes, você está enfrentando duplo nat para o sip. Isso é uma das piores situações que você pode encontrar.

É esse cenário aí mesmo. Modem em bridge com pfSense fazendo PPPoE, somente um link, IP dinâmico e com DDNS.

Em NAT Reflection mode for port forwards Nat + Proxy e Pure Nat tanto faz, funciona tudo, ramal autenticado com ddns em rede local e acessar servidor por ddns em rede local.
Agora, se eu desabilito, o ramal continua funcionando, mas o acesso ao servidor para.

Enable NAT Reflection for 1:1 NAT e Enable automatic outbound NAT for Reflection não interfere, habilitado ou desabilitado.

Rebootando o servidor o ramal começou a autenticar com ddns interno independente de configuração de NAT, foi simplesmente rebootar hahaha. Mas mantivemos o  NAT Reflection mode for port forwards com Nat + Proxy para acesso ao Servidor funcionar, pois ramal ficou independente disso. Triste é não entender e saber aindas o por que, não me contento em simplesmente funcionar do nada.

fabricioborges1

Boa tarde!

Depois de muito tempo utilizando IAX2 como ramal externo, surgiu a necessidade de ser realmente SIP externo, para autenticar diretamente em ATA's e Terminais IP's que trabalham apenas com SIP.

Estou na mesma situação acima, o ramal SIP externo autentica, mas em 6 seg a ligação cai.
Dessa vez ao invés de Elastix, utilizo SNEP, que também é Asterisk.

Portas 5060, 10000-20000 abertas, NAT + Proxy, sip.conf no Asterisk com configuração de NAT ok.

Alguém aí trabalha com pfSense e Asterisk?
Tem ramal SIP externo autenticando normalmente?

pskinfra

@fabricioborges1:

Boa tarde!

Depois de muito tempo utilizando IAX2 como ramal externo, surgiu a necessidade de ser realmente SIP externo, para autenticar diretamente em ATA's e Terminais IP's que trabalham apenas com SIP.

Estou na mesma situação acima, o ramal SIP externo autentica, mas em 6 seg a ligação cai.
Dessa vez ao invés de Elastix, utilizo SNEP, que também é Asterisk.

Portas 5060, 10000-20000 abertas, NAT + Proxy, sip.conf no Asterisk com configuração de NAT ok.

Alguém aí trabalha com pfSense e Asterisk?
Tem ramal SIP externo autenticando normalmente?

Caro fabricioborgers1;

Li todos os tópicos agora rápido e pude verificar que a sua conexão ( configurado ), apenas acontece de forma externa (internet ) para o seu ambiente ( interno + nat). Correto ?

Além do problema do SIP externo não ter funcionado e precisei usar IAX2, ainda tem outra questão:

Com Elastix por trás do pfSense, eu não consigo acessar nada por DDNS em minha rede local, somente o pfsense.

Ex:
IP pfSense: 10.1.1.1  - DDNS: meudominio.ddns.net:1 (FUNCIONA IP E DDNS, EXTERNO E INTERNO)
IP Elastix: 10.1.1.2 - DDNS: meudominio.ddns.net:2 (FUNCIONA IP E DDNS EXTERNO, MAS INTERNO SOMENTE IP, ELE NÃO AUTENTICA O RAMAL PELO DDNS, A[Í TEM QUE FICAR ALTERANDO NO SOFTPHONE O HOST)
IP Servidor1: 10.1.1.3 - DDNS: meudominio.ddns.net:3 (FUNCIONA IP E DDNS EXTERNO, MAS INTERNO SOMENTE IP, PRECISO ACESSAR PELO IP LOCAL, OU PELO NOME DO SERVIDOR, INTERNAMENTE)

A configuração de Advanced > Firewall  & NAT > NAT Reflection mode for port forwards > selecionando a opção (NAT+Proxy) já foi feita e não funcionou.[/quote]

Como está o  seu:  Firewall > NAT > Outbound  ??

Obs:  Deixe rolando um tcpdump no fw e filtre corretamente os pacotes para testes.

Minha observação:  O que possivelmente pode está acontecendo é a volta dos pacotes!

Att,

fabricioborges1

@pskinfra:

Caro fabricioborgers1;

1.) Li todos os tópicos agora rápido e pude verificar que a sua conexão ( configurado ), apenas acontece de forma externa (internet ) para o seu ambiente ( interno + nat). Correto ?

2.) Como está o  seu:  Firewall > NAT > Outbound  ??

3.) Obs:  Deixe rolando um tcpdump no fw e filtre corretamente os pacotes para testes.

Minha observação:  O que possivelmente pode está acontecendo é a volta dos pacotes!

Att,

pskinfra, boa tarde!

1.) Então, a questão do ddns interno e externo está solucionado, consigo utilizar ddns tanto na minah rede local como externamente.
O ramal sip, autenticando internamente com ddns (não com o IP interno da minha central asterisk) funciona normalmente.
Agora esse mesmo ramal sip, autentica externamente também, mas a ligação cai aos 6 seg.

Espero que eu tenha entendido e respondido corretamente essa sua pergunta.

2.) Está "padrão de fábrica", no modo automático, não mexi nisso.

3.) Mandei um "tcpdump host IP-do-meu-4g" e fiz a ligação e um "tcpdump host IP-do-meu-celular-na-rede-local", parece haver diferenças, mas não sei ler esses logs, poderia me ajudar? Se é que o melhor jeito de filtar seja esse mesmo. Ah, também configurei meu softphone com o ramal iax2 e fiz o mesmo teste pra comparar diferenças.

Sou bem leigo nisso, mas falando pela quantidade de linhas geradas comparando sip externo e iax2 externo, você parece ter razão.

pskinfra

@fabricioborges1:

@pskinfra:

Caro fabricioborgers1;

1.) Li todos os tópicos agora rápido e pude verificar que a sua conexão ( configurado ), apenas acontece de forma externa (internet ) para o seu ambiente ( interno + nat). Correto ?

2.) Como está o  seu:  Firewall > NAT > Outbound  ??

3.) Obs:  Deixe rolando um tcpdump no fw e filtre corretamente os pacotes para testes.

Minha observação:  O que possivelmente pode está acontecendo é a volta dos pacotes!

Att,

pskinfra, boa tarde!

1.) Então, a questão do ddns interno e externo está solucionado, consigo utilizar ddns tanto na minah rede local como externamente.
O ramal sip, autenticando internamente com ddns (não com o IP interno da minha central asterisk) funciona normalmente.
Agora esse mesmo ramal sip, autentica externamente também, mas a ligação cai aos 6 seg.

Espero que eu tenha entendido e respondido corretamente essa sua pergunta.

2.) Está "padrão de fábrica", no modo automático, não mexi nisso.

3.) Mandei um "tcpdump host IP-do-meu-4g" e fiz a ligação e um "tcpdump host IP-do-meu-celular-na-rede-local", parece haver diferenças, mas não sei ler esses logs, poderia me ajudar? Se é que o melhor jeito de filtar seja esse mesmo. Ah, também configurei meu softphone com o ramal iax2 e fiz o mesmo teste pra comparar diferenças.

Sou bem leigo nisso, mas falando pela quantidade de linhas geradas comparando sip externo e iax2 externo, você parece ter razão.

Post as saídas aqui para nós!

Abraços

fabricioborges1

Conforme solicitado segue as comparações.