PF 2.4.4 проброс портов для voIP (ip-ip) проблема
-
@alex82
какая модель внутреннего телефона ?
я бы глянул документацию на сайте -
@alex82 Про мысли всякие
чтобы точно разобраться , что происходит , нужен дамп sip трафика , там все четко видно , о чем телефоны договорились
На какой адрес и на какой порт слать rtp трафикПо поводу того , почему Zyxel работает без проблем , у этих маршрутизаторов есть такая функция , называется NAT ALG , поэтому он сразу модифицирует SIP пакеты как надо для прохождения трафика через NAT
А в PF такой функции нет
-
Телефоны которые участвовали
http://support.yealink.com/documentFront/forwardToDocumentDetailPage?documentId=206http://support.yealink.com/documentFront/forwardToDocumentDetailPage?documentId=95
http://support.yealink.com/documentFront/forwardToDocumentDetailPage?documentId=15
http://support.yealink.com/documentFront/forwardToDocumentDetailPage?documentId=138
http://support.yealink.com/documentFront/forwardToDocumentDetailPage?documentId=77
Как будет возможность проанализирую трафик.
Если сейчас предположить, что телефоны между собой договорились так, что какойто роутер может сам умно маршрутизировать трафик как надо, а PF нет, но как это можно обойти, учитывая, что у той стороны может быть что угодно, не совсем понятно (
Нужно какое то универсальное решение, какой то аналог этого SIP ALG. Если действительно в нем дело.
Помню на Draytek Vigor 2960 в свое время использовали была такая галочка даже, но при ее включении она ломала всю связь на АТС :)
Да и кстати, на нем я сейчас тоже проверил такой вариант звонков, тоже не работает, порты все пробросил. Правда ту галку я не трогал. -
мои настройки
все тут понятно
надо чтобы внутр тел знал свой внешний ip
можете его ручками прописать
верхняя опция nat manual -
Добрый.
Слушайте, детский сад какой-то (
Наберите в гугле sip voip pfsense . На 1-й же странице все есть. Обратите внимание на Static port.P.s. Негоже открыто голосовой трафик гонять. Ваши аппараты умеют шифрование? Используйте.
Если телефоны нах-ся за роутером - настроить на нем openvpn с пф. И гонять трафик в туннеле.
Если телефоны умеют IAX2 - пользовать его вместо SIP+RTP.@Konstanti
У вас в настройках STUN сервер указан ? Он ваш? Или это "левый"? Я бы "голос" не доверял "левым" серверам. -
Да все понятно про openvpn и прочее и про шифрование тоже. Отстаивали эту позицию, я же писал выше, что уперлись некоторые :) и вот надо чтобы такой способ тоже работал и всё тут... делайте...
-
@werter
Это stun разработчиков софта ( в частности ,этому телефону stun не нужен , он наружу не лезет )
Обычно использую stun freeswitch-а или разработчика softphon-а
я этот привел , как пример для ТС , где NAT можно открыть в настройках телефона .
Кстати , Тс , не работает звук если NAT настроить ??? -
@konstanti
Да попробовал все и даже на обоих телефонах с двух сторон попробовал, нет звука от меня туда, от туда я слышу.
Пробовал и по отдельности NAT и еще там настройка ниже и STUN тоже, результат не меняется.
На фаерволе PF я вижу только 5060 на внутренний адрес, больше ничего на него не приходит. -
@alex82
Вы static port настроили в правилах NAT ?За каким уст-вом находятся ваши телефоны? Они ж не напрямую в инет лезут?
-
@konstanti Да кстати Packet Capture на PF показывает естественно весь трафик UDP с телефона ко мне на мой белый адрес, в обратку тишина вообще, ну в начале только 5060 как раз есть от меня
-
Пришлите мне посмотреть на почту этот обмен (почта есть в профиле)
в формате pcap
меня очень интересует сообщение Status : 200 OK - от вашего внутреннего телефона к внешнему -
@konstanti
Там такого нет :)
Да а там смотреть то нечего, вначале пара строчек от меня на внутренний по 5060 и потом пошли все ко мне на внешний с того внутреннего UDP по разным портам и все больше там ничего нет.Надо попробовать что тут человек посоветовал конечно... надо почитать разобраться...
-
естественно нет
вы же видите только UDP пакеты
а мне нужно их содержимое , на этой странице есть кнопка download capture
вот после снятия трейса , нажмите эту кнопку , выгрузится файл
пришлите мне егов результате , я увижу вот такое
-
@alex82
мне нужен толькоudp и порт 5060
позвонили , подняли трубку , положили трубку - стоп -
@konstanti
Это трейс моего звонка с внешнего ( мобильного софтфона ) на ip телефон , находящийся за NAT PF ( тоже с пробросом портов) -
Да немного попозже сделаю. Заодно и то что посоветовали настроить вот тут:
https://docs.netgate.com/pfsense/en/latest/nat/configuring-nat-for-a-voip-pbx.html
https://support.onsip.com/hc/en-us/articles/204029430-PFSense-Firewall-Settings-for-VoIP
https://www.3cx.com/docs/pfsense-firewall/Что вы по этому поводу думаете?
-
@alex82
Так проблему-то я вижу пока не в PFSense
Настроить PF на проброс портов проблемы нет
Для начального анализа проблемы мне нужно
1 диапазон RTP портов , настроенных на внутреннем и внешнем телефоне
2 трейс SIP протокола + RTP сообщений , которые уходят к внешнему телефонуснимите трейс на внутреннем интерфейсе ( например , lan)
поле протокол UDP
порт - любой
host - ip адрес внутреннего телефонаили на внешнем ( wan)
в поле host - ip адрес внешнего телефона -
@konstanti
Да попозже сделаю, пока нет возможности.
А по портам, на всех этих телефонах по умолчанию rtp порты 12780 - 11780 -
@konstanti
Не понял где в профиле мыло посмотреть )
Можете в чате написать вышлю файлики. -
@alex82
Смотрите
В сообщении , которое посылает удал телефон я вижу
Мол, я звоню с адреса 89.23.XXX.XXX - болтать будем на порту 12740
Ответ - а я тебе отвечаю с адреса !!!! 192.168.111.23 порт 12698
Поэтому я вижу rtp пакеты от 111.123
на адрес 89.23 (и вы слышите там звук )
а вот обратно 89.23 не может отправить rtp пакеты , потому что ему сообщили неверный IPЧто надо сделать - открываем web интерфейс 111.23 раздел NAT - Ручной нат включено , в раздел IP вбиваем внешний IP адрес внутр телефона
идем в аккаунт/аккаунт - внизу выбираем NAT ручной сохраняемся и проверяем
