PF 2.4.4 проброс портов для voIP (ip-ip) проблема

alex82

Телефоны которые участвовали
http://support.yealink.com/documentFront/forwardToDocumentDetailPage?documentId=206

http://support.yealink.com/documentFront/forwardToDocumentDetailPage?documentId=95

http://support.yealink.com/documentFront/forwardToDocumentDetailPage?documentId=15

http://support.yealink.com/documentFront/forwardToDocumentDetailPage?documentId=138

http://support.yealink.com/documentFront/forwardToDocumentDetailPage?documentId=77

Как будет возможность проанализирую трафик.
Если сейчас предположить, что телефоны между собой договорились так, что какойто роутер может сам умно маршрутизировать трафик как надо, а PF нет, но как это можно обойти, учитывая, что у той стороны может быть что угодно, не совсем понятно (
Нужно какое то универсальное решение, какой то аналог этого SIP ALG. Если действительно в нем дело.
Помню на Draytek Vigor 2960 в свое время использовали была такая галочка даже, но при ее включении она ломала всю связь на АТС :)
Да и кстати, на нем я сейчас тоже проверил такой вариант звонков, тоже не работает, порты все пробросил. Правда ту галку я не трогал.

Konstanti

@alex82

мои настройки

все тут понятно
надо чтобы внутр тел знал свой внешний ip
можете его ручками прописать
верхняя опция nat manual

werter

Добрый.

@alex82

Слушайте, детский сад какой-то (
Наберите в гугле sip voip pfsense . На 1-й же странице все есть. Обратите внимание на Static port.

P.s. Негоже открыто голосовой трафик гонять. Ваши аппараты умеют шифрование? Используйте.
Если телефоны нах-ся за роутером - настроить на нем openvpn с пф. И гонять трафик в туннеле.
Если телефоны умеют IAX2 - пользовать его вместо SIP+RTP.

@Konstanti
У вас в настройках STUN сервер указан ? Он ваш? Или это "левый"? Я бы "голос" не доверял "левым" серверам.

alex82

Да все понятно про openvpn и прочее и про шифрование тоже. Отстаивали эту позицию, я же писал выше, что уперлись некоторые :) и вот надо чтобы такой способ тоже работал и всё тут... делайте...

Konstanti

@werter
Это stun разработчиков софта ( в частности ,этому телефону stun не нужен , он наружу не лезет )
Обычно использую stun freeswitch-а или разработчика softphon-а
я этот привел , как пример для ТС , где NAT можно открыть в настройках телефона .
Кстати , Тс , не работает звук если NAT настроить ???

alex82

@konstanti
Да попробовал все и даже на обоих телефонах с двух сторон попробовал, нет звука от меня туда, от туда я слышу.
Пробовал и по отдельности NAT и еще там настройка ниже и STUN тоже, результат не меняется.
На фаерволе PF я вижу только 5060 на внутренний адрес, больше ничего на него не приходит.

werter

@alex82
Вы static port настроили в правилах NAT ?

За каким уст-вом находятся ваши телефоны? Они ж не напрямую в инет лезут?

alex82

@konstanti Да кстати Packet Capture на PF показывает естественно весь трафик UDP с телефона ко мне на мой белый адрес, в обратку тишина вообще, ну в начале только 5060 как раз есть от меня

Konstanti

@alex82

Пришлите мне посмотреть на почту этот обмен (почта есть в профиле)
в формате pcap
меня очень интересует сообщение Status : 200 OK - от вашего внутреннего телефона к внешнему

alex82

@konstanti
Там такого нет :)
Да а там смотреть то нечего, вначале пара строчек от меня на внутренний по 5060 и потом пошли все ко мне на внешний с того внутреннего UDP по разным портам и все больше там ничего нет.

Надо попробовать что тут человек посоветовал конечно... надо почитать разобраться...

Konstanti

@alex82

естественно нет
вы же видите только UDP пакеты
а мне нужно их содержимое , на этой странице есть кнопка download capture
вот после снятия трейса , нажмите эту кнопку , выгрузится файл
пришлите мне его

в результате , я увижу вот такое

Konstanti

@alex82
мне нужен только

udp и порт 5060
позвонили , подняли трубку , положили трубку - стоп

Konstanti

@konstanti
Это трейс моего звонка с внешнего ( мобильного софтфона ) на ip телефон , находящийся за NAT PF ( тоже с пробросом портов)

alex82

Да немного попозже сделаю. Заодно и то что посоветовали настроить вот тут:

https://docs.netgate.com/pfsense/en/latest/nat/configuring-nat-for-a-voip-pbx.html
https://support.onsip.com/hc/en-us/articles/204029430-PFSense-Firewall-Settings-for-VoIP
https://www.3cx.com/docs/pfsense-firewall/

Что вы по этому поводу думаете?

Konstanti

@alex82
Так проблему-то я вижу пока не в PFSense
Настроить PF на проброс портов проблемы нет
Для начального анализа проблемы мне нужно
1 диапазон RTP портов , настроенных на внутреннем и внешнем телефоне
2 трейс SIP протокола + RTP сообщений , которые уходят к внешнему телефону

снимите трейс на внутреннем интерфейсе ( например , lan)
поле протокол UDP
порт - любой
host - ip адрес внутреннего телефона

или на внешнем ( wan)
в поле host - ip адрес внешнего телефона

alex82

@konstanti
Да попозже сделаю, пока нет возможности.
А по портам, на всех этих телефонах по умолчанию rtp порты 12780 - 11780

alex82

@konstanti
Не понял где в профиле мыло посмотреть )
Можете в чате написать вышлю файлики.

Konstanti

@alex82
Смотрите
В сообщении , которое посылает удал телефон я вижу
Мол, я звоню с адреса 89.23.XXX.XXX - болтать будем на порту 12740
Ответ - а я тебе отвечаю с адреса !!!! 192.168.111.23 порт 12698

Поэтому я вижу rtp пакеты от 111.123

на адрес 89.23 (и вы слышите там звук )
а вот обратно 89.23 не может отправить rtp пакеты , потому что ему сообщили неверный IP

Что надо сделать - открываем web интерфейс 111.23 раздел NAT - Ручной нат включено , в раздел IP вбиваем внешний IP адрес внутр телефона
идем в аккаунт/аккаунт - внизу выбираем NAT ручной сохраняемся и проверяем

werter

@alex82
В настройках Asterisk укажите явно внешний адрес и вкл NAT.

alex82

Да уже разобрались )
Астериск тут вообще не участвовал ) в теме же обсудили )