нестандартный sip порт
-
sip сервер на стандартном 5060 порту.
внешний адрес pfsense 1.1.1.1 внутренний sip сервера 192.168.1.1nat outbound в pfsense автоматом
при правиле nat wan to 1.1.1.1:5060 >> 192.168.1.1:5060 (для фаервола правило автоматом) телефония работает нормально
Хочется повысить безопасность и сделать нестандартный порт 51234
при правиле nat wan to 1.1.1.1:51234 >> 192.168.1.1:5060 (для фаервола правило автоматом) звонок длится ровно 32 секунды и сбрасывается
гугль предлагает ручной outbound и static port. Пробовал не работает
где то в дебрях фаервола скрыты особые условия для порта 5060. Нужна помощь специалистов
И насколько вообще правильна такая схема проброса нестандартного порта на стандартный -
Что в кач-ве sip-сервера исп-ся ? У меня на MyPBX (FreePBX) было такое , пока в настройках extensions не поставил руками 0 (нуль) в настройках длительности разговора. А так - надо логи смотреть. И pfsense и sip-сервера.
-
в качестве сервера поделка от welltime. вся фишка в том, что на 5060 порту все нормально работает. порт внешний меняю начинает рваться соединение
-
Всё намного проще, с тебя, уважаемый, шоколадка. И плюс в мою карму ;)
Посмотри сниф звонка, и убедись, что сип сервер в пакетах(в сип пакетах, не в поверхностном IP) оставляет свой контактный порт 5060, ибо он у него в конфиге записан.
PS:
sip+nat=вселеннское зло. -
спасибо Добрый Человек.
Как же посоветуете обезопасить подключения с динамических внешних адресов? -
спасибо Добрый Человек.
Как же посоветуете обезопасить подключения с динамических внешних адресов?Что-то типа fail2ban, как минимум (для SIP). Можно пакет pfblock (забыл как правильно наз-ся) и блокировать все китайские IP на WAN.
Как вариант - Suricata\ Snort - http://pfsensesetup.com/tag/suricata/