PF 2.4.4 проброс портов для voIP (ip-ip) проблема

Konstanti

@alex82
Здр
Я бы перехватил бы трафик RTP tcpdump-ом . Если они Вас слышат, значит от Вас RTP трафик проходит , а вот от второй стороны нет.
Посмотрите логи файрвола на PF , нет ли заблокированных пакетов от нужных Вам ip . Если есть , смотрите , какие порты блокируются . Настроен ли stun у ip атс ? у клиентов ?

alex82

На фаерволе ничего не блокируется, что и странно, на фаерволе я вижу только что 5060 пришел на нужный мне внутренний ip ну собственно звонок и проходит. Голос rtp вообще не виден никак. От нас естественно rtp проходит он же исходящий ) Исходящий в любом случаи проходит.
Я вообще все порты разрешаю и нифига, вижу только 5060 все остальное непонятно куда пропадает :)
А зачем stun ? Тут вообще никакой IP АТС нет, просто звонок напрямую с IP телефона на IP телефон по IP адресу.
Просто в локальной сети все работает, а тут получается, что к нам rtp трафик пройти не может через NAT почему то.
По одному порту все, как видно идет и для других сервисов у меня все нормально, к примеру проброшен для SQL порт, тоже все ок. А тут загвоздка в rtp который как в никуда пропадает...
Ну и конечно же смущает то, что на других железках работает, а главное настройка то такая же банальный проброс портов, что там особо настраивать? :)
Но конечно же есть (проверил уже) и другие роутеры, где тоже так же пробрасываешь порты (там и настроек то других нет) просто обычный проброс на нужный адрес, но не работает так же.
Но нам надо все же на PF разобраться чтобы нам могли напрямую по IP звонить.

Внутри сети если что у нас стоит Asterisk вся телефония работает, а вот с такими звонками загвоздка вышла.

Konstanti

@alex82 посмотреть бы логи внешнего тел. Я на 99 проц уверен, что внутренний тел ему сообщил свой внутренний ip, поэтому внешний тел и шлёт rtp трафик на этот адрес.

alex82

Мысль интересная, только почему в разных ситуациях по разному происходит, когда то внешний ip сообщается, когда то внутренний, причем это зависит почему то получается от роутера ) потому что телефоны одни и те же, только роутеры в разных местах разные )
А как тогда выходить из этой ситуации?

alex82

А ещё знаете какой момент, когда мы пробовали открывать все порты для любых ip, то мы сразу видим кучу всяких разных ip на нашем внутреннем и там где порты фигурируют от 80 до 60 тыс +
получается все пропускает.
Но все описанное мной выше вносить кучу непоняток )

Konstanti

@alex82 я бы покопался в настройках внутр телефона, есть ли там галочка про нат и stun, ice и прочее. Многие делают проще, поднимают openvpn туннель и пускают voip трафик через него. А почему нельзя пускать трафик через Астериск, он точно умеет общаться правильно с внешними клиентами?

alex82

Да это да, я тоже за vpn и другие нормальные варианты. Но вот тут у нас упёрлись и говорят надо сделать чтобы так тоже можно было.
И вот разбираемся...

Konstanti

@alex82
какая модель внутреннего телефона ?
я бы глянул документацию на сайте

Konstanti

@alex82 Про мысли всякие
чтобы точно разобраться , что происходит , нужен дамп sip трафика , там все четко видно , о чем телефоны договорились
На какой адрес и на какой порт слать rtp трафик

По поводу того , почему Zyxel работает без проблем , у этих маршрутизаторов есть такая функция , называется NAT ALG , поэтому он сразу модифицирует SIP пакеты как надо для прохождения трафика через NAT

А в PF такой функции нет

alex82

Телефоны которые участвовали
http://support.yealink.com/documentFront/forwardToDocumentDetailPage?documentId=206

http://support.yealink.com/documentFront/forwardToDocumentDetailPage?documentId=95

http://support.yealink.com/documentFront/forwardToDocumentDetailPage?documentId=15

http://support.yealink.com/documentFront/forwardToDocumentDetailPage?documentId=138

http://support.yealink.com/documentFront/forwardToDocumentDetailPage?documentId=77

Как будет возможность проанализирую трафик.
Если сейчас предположить, что телефоны между собой договорились так, что какойто роутер может сам умно маршрутизировать трафик как надо, а PF нет, но как это можно обойти, учитывая, что у той стороны может быть что угодно, не совсем понятно (
Нужно какое то универсальное решение, какой то аналог этого SIP ALG. Если действительно в нем дело.
Помню на Draytek Vigor 2960 в свое время использовали была такая галочка даже, но при ее включении она ломала всю связь на АТС :)
Да и кстати, на нем я сейчас тоже проверил такой вариант звонков, тоже не работает, порты все пробросил. Правда ту галку я не трогал.

Konstanti

@alex82

мои настройки

все тут понятно
надо чтобы внутр тел знал свой внешний ip
можете его ручками прописать
верхняя опция nat manual

werter

Добрый.

@alex82

Слушайте, детский сад какой-то (
Наберите в гугле sip voip pfsense . На 1-й же странице все есть. Обратите внимание на Static port.

P.s. Негоже открыто голосовой трафик гонять. Ваши аппараты умеют шифрование? Используйте.
Если телефоны нах-ся за роутером - настроить на нем openvpn с пф. И гонять трафик в туннеле.
Если телефоны умеют IAX2 - пользовать его вместо SIP+RTP.

@Konstanti
У вас в настройках STUN сервер указан ? Он ваш? Или это "левый"? Я бы "голос" не доверял "левым" серверам.

alex82

Да все понятно про openvpn и прочее и про шифрование тоже. Отстаивали эту позицию, я же писал выше, что уперлись некоторые :) и вот надо чтобы такой способ тоже работал и всё тут... делайте...

Konstanti

@werter
Это stun разработчиков софта ( в частности ,этому телефону stun не нужен , он наружу не лезет )
Обычно использую stun freeswitch-а или разработчика softphon-а
я этот привел , как пример для ТС , где NAT можно открыть в настройках телефона .
Кстати , Тс , не работает звук если NAT настроить ???

alex82

@konstanti
Да попробовал все и даже на обоих телефонах с двух сторон попробовал, нет звука от меня туда, от туда я слышу.
Пробовал и по отдельности NAT и еще там настройка ниже и STUN тоже, результат не меняется.
На фаерволе PF я вижу только 5060 на внутренний адрес, больше ничего на него не приходит.

werter

@alex82
Вы static port настроили в правилах NAT ?

За каким уст-вом находятся ваши телефоны? Они ж не напрямую в инет лезут?

alex82

@konstanti Да кстати Packet Capture на PF показывает естественно весь трафик UDP с телефона ко мне на мой белый адрес, в обратку тишина вообще, ну в начале только 5060 как раз есть от меня

Konstanti

@alex82

Пришлите мне посмотреть на почту этот обмен (почта есть в профиле)
в формате pcap
меня очень интересует сообщение Status : 200 OK - от вашего внутреннего телефона к внешнему

alex82

@konstanti
Там такого нет :)
Да а там смотреть то нечего, вначале пара строчек от меня на внутренний по 5060 и потом пошли все ко мне на внешний с того внутреннего UDP по разным портам и все больше там ничего нет.

Надо попробовать что тут человек посоветовал конечно... надо почитать разобраться...

Konstanti

@alex82

естественно нет
вы же видите только UDP пакеты
а мне нужно их содержимое , на этой странице есть кнопка download capture
вот после снятия трейса , нажмите эту кнопку , выгрузится файл
пришлите мне его

в результате , я увижу вот такое