Pfsense + Elastix, não consigo abrir porta SIP
-
Opa galera, tranquilo?
Estou com um problema na rede da empresa. Estamos estudando a ferramenta Elastix, já trabalhamos com PABX, inclusive IP, Digistar e Intelbras. Mas Elastix estamos aprendendo ainda. Mas mesmo com PABX IP Digistar, nunca conseguimos fazer o ramal autenticar externamente.
Cenário atual:
Modem Contremd VR3031u em modo Bridge
pfSense 2.3.4-RELEASE
WAN em PPPoE
LAN 10.1.1.1
DDNSElastix 2.3.0-6
Firewall Desabilitado
LAN 10.1.1.151Gateways FXO, FXS, GSM… Subsequente 152, 153, 154... Tudo funciona perfeitamente internamente.
Tenho várias NAT's funcionando:
- Acessar o Firewall externamente
- Acessar o Servidor externamente
- Acessar DVR externamente
Entre outras
Tudo funcionando, mas em testes para verificar se as portas estão abertas em sites como testeportas.com.br todas as que funcionam dão como abertas mas as relacionadas a VoIP não.
5060 - SIP
10000 ~ 20000 - RTP
Existe alguma configuração especial para ambas as portas abrirem? Além de NAT? Eu copio idêntico as que funcionam e não abre, utilizei diversos protocolos, mudei regras de portas que funcionam, mas a porta não abre. Cheguei até a resetar as configurações do Firewall e configurar todo do zero!Testes de autenticação externa realizados utilizando 4G em Zenfone 3 5.5" com o Softphone Zoiper.
Conto com a ajuda de vocês, estou sem muito por onde ir agora :(
Grato desde já.
Fabrício BorgesEdit: Caso não tenha ficado muito claro, eu não consigo autenticar o ramal externamente em Softphones fora de minha rede utilizando meu DDNS. Acredito que seja pela porta não estar aberta.
-
Além do nat no fw com as portas tcp e udp necessárias, você precisa criar no Elastix o arquivo com as informações de nat. Da uma pesquisada por nat + Elastix que você encontra fácil fácil.
-
localnet=10.1.1.1/255.0.0.0
nat=yes -
Marcelloc, acho que editou meu comentário ao invés de responder, sem querer hahahahaha
Bem, a mascara é 255.0.0.0 mesmo, /8.
Agora quanto ao IP do localnet, então seria a rede toda 10.0.0.0?
Não o IP do pfSense, 10.1.1.1? -
Marcelloc, acho que editou meu comentário ao invés de responder, sem querer hahahahaha
Bem, a mascara é 255.0.0.0 mesmo, /8.
Agora quanto ao IP do localnet, então seria a rede toda 10.0.0.0?
Não o IP do pfSense, 10.1.1.1?Perdão. editei sem querer ;D
-
[quote] localnet=10.1.1.1/255.0.0.0 nat=yes Essa localnet está errada. ou você fecha a mascara no host ou o declara a rede toda [b]localnet=10.0.0.0/255.0.0.0[/b] ou [b]localnet=10.1.1.0/255.255.255.0[/b] tem certeza que sua rede é um /8 com mais de 16milhões de ips?[/quote] -
Agora quanto ao IP do localnet, então seria a rede toda 10.0.0.0?
Não o IP do pfSense, 10.1.1.1?isso, a sua rede é 10.0.0.0/8
-
Não deu certo mesmo alterando isso.
Decidi retirar o pfSense e deixar um Router TP-LINK, melhorou pois ao menos conectada (registrava sip), mas ficava mudo em ligação externa ainda.
Optei por registrar ramais IAX2 e deu certo, tanto no TP-LINK quanto no pfSense, utilizando a porta 4569, tudo perfeito, registro, TX e RX. Mas não consigo entender por que o problema com SIP, mas darei uma olhada, pelo visto é referente a configuração do Elastix tendo em vista que obtive o mesmo problema com SIP no Router.Grato pela ajuda, Marcelloc!
-
Além do problema do SIP externo não ter funcionado e precisei usar IAX2, ainda tem outra questão:
Com Elastix por trás do pfSense, eu não consigo acessar nada por DDNS em minha rede local, somente o pfsense.
Ex:
IP pfSense: 10.1.1.1 - DDNS: meudominio.ddns.net:1 (FUNCIONA IP E DDNS, EXTERNO E INTERNO)
IP Elastix: 10.1.1.2 - DDNS: meudominio.ddns.net:2 (FUNCIONA IP E DDNS EXTERNO, MAS INTERNO SOMENTE IP, ELE NÃO AUTENTICA O RAMAL PELO DDNS, A[Í TEM QUE FICAR ALTERANDO NO SOFTPHONE O HOST)
IP Servidor1: 10.1.1.3 - DDNS: meudominio.ddns.net:3 (FUNCIONA IP E DDNS EXTERNO, MAS INTERNO SOMENTE IP, PRECISO ACESSAR PELO IP LOCAL, OU PELO NOME DO SERVIDOR, INTERNAMENTE)[u]A configuração de Advanced > Firewall & NAT > NAT Reflection mode for port forwards > selecionando a opção (NAT+Proxy) já foi feita e não funcionou.
-
Não deu certo mesmo alterando isso.
Decidi retirar o pfSense e deixar um Router TP-LINK, melhorou pois ao menos conectada (registrava sip), mas ficava mudo em ligação externa ainda.
Optei por registrar ramais IAX2 e deu certo, tanto no TP-LINK quanto no pfSense, utilizando a porta 4569, tudo perfeito, registro, TX e RX. Mas não consigo entender por que o problema com SIP, mas darei uma olhada, pelo visto é referente a configuração do pfSense tendo em vista que obtive o mesmo problema com SIP no Router.Grato pela ajuda, Marcelloc!
Problema de nat com certeza.
-
Além do problema do SIP externo não ter funcionado e precisei usar IAX2, ainda tem outra questão:
Com Elastix por trás do pfSense, eu não consigo acessar nada por DDNS em minha rede local, somente o pfsense.
Ex:
IP pfSense: 10.1.1.1 - DDNS: meudominio.ddns.net:1 (FUNCIONA IP E DDNS, EXTERNO E INTERNO)
IP Elastix: 10.1.1.2 - DDNS: meudominio.ddns.net:2 (FUNCIONA IP E DDNS EXTERNO, MAS INTERNO SOMENTE IP, ELE NÃO AUTENTICA O RAMAL PELO DDNS, A[Í TEM QUE FICAR ALTERANDO NO SOFTPHONE O HOST)
IP Servidor1: 10.1.1.3 - DDNS: meudominio.ddns.net:3 (FUNCIONA IP E DDNS EXTERNO, MAS INTERNO SOMENTE IP, PRECISO ACESSAR PELO IP LOCAL, OU PELO NOME DO SERVIDOR, INTERNAMENTE)[u]A configuração de Advanced > Firewall & NAT > NAT Reflection mode for port forwards > selecionando a opção (NAT+Proxy) já foi feita e não funcionou.
Você provavelmente só tem um ip externo. Seus dois ddns estão apontando para o mesmo e o modem só configura um host dmz.
Se o pfSense recebe ip inválido, e passa outra faixa para os clientes, você está enfrentando duplo nat para o sip. Isso é uma das piores situações que você pode encontrar.
-
Você provavelmente só tem um ip externo. Seus dois ddns estão apontando para o mesmo e o modem só configura um host dmz.
Se o pfSense recebe ip inválido, e passa outra faixa para os clientes, você está enfrentando duplo nat para o sip. Isso é uma das piores situações que você pode encontrar.
É esse cenário aí mesmo. Modem em bridge com pfSense fazendo PPPoE, somente um link, IP dinâmico e com DDNS.
Em NAT Reflection mode for port forwards Nat + Proxy e Pure Nat tanto faz, funciona tudo, ramal autenticado com ddns em rede local e acessar servidor por ddns em rede local.
Agora, se eu desabilito, o ramal continua funcionando, mas o acesso ao servidor para.Enable NAT Reflection for 1:1 NAT e Enable automatic outbound NAT for Reflection não interfere, habilitado ou desabilitado.
Rebootando o servidor o ramal começou a autenticar com ddns interno independente de configuração de NAT, foi simplesmente rebootar hahaha. Mas mantivemos o NAT Reflection mode for port forwards com Nat + Proxy para acesso ao Servidor funcionar, pois ramal ficou independente disso. Triste é não entender e saber aindas o por que, não me contento em simplesmente funcionar do nada.
-
Boa tarde!
Depois de muito tempo utilizando IAX2 como ramal externo, surgiu a necessidade de ser realmente SIP externo, para autenticar diretamente em ATA's e Terminais IP's que trabalham apenas com SIP.
Estou na mesma situação acima, o ramal SIP externo autentica, mas em 6 seg a ligação cai.
Dessa vez ao invés de Elastix, utilizo SNEP, que também é Asterisk.Portas 5060, 10000-20000 abertas, NAT + Proxy, sip.conf no Asterisk com configuração de NAT ok.
Alguém aí trabalha com pfSense e Asterisk?
Tem ramal SIP externo autenticando normalmente? -
Boa tarde!
Depois de muito tempo utilizando IAX2 como ramal externo, surgiu a necessidade de ser realmente SIP externo, para autenticar diretamente em ATA's e Terminais IP's que trabalham apenas com SIP.
Estou na mesma situação acima, o ramal SIP externo autentica, mas em 6 seg a ligação cai.
Dessa vez ao invés de Elastix, utilizo SNEP, que também é Asterisk.Portas 5060, 10000-20000 abertas, NAT + Proxy, sip.conf no Asterisk com configuração de NAT ok.
Alguém aí trabalha com pfSense e Asterisk?
Tem ramal SIP externo autenticando normalmente?Caro fabricioborgers1;
Li todos os tópicos agora rápido e pude verificar que a sua conexão ( configurado ), apenas acontece de forma externa (internet ) para o seu ambiente ( interno + nat). Correto ?
Além do problema do SIP externo não ter funcionado e precisei usar IAX2, ainda tem outra questão:
Com Elastix por trás do pfSense, eu não consigo acessar nada por DDNS em minha rede local, somente o pfsense.
Ex:
IP pfSense: 10.1.1.1 - DDNS: meudominio.ddns.net:1 (FUNCIONA IP E DDNS, EXTERNO E INTERNO)
IP Elastix: 10.1.1.2 - DDNS: meudominio.ddns.net:2 (FUNCIONA IP E DDNS EXTERNO, MAS INTERNO SOMENTE IP, ELE NÃO AUTENTICA O RAMAL PELO DDNS, A[Í TEM QUE FICAR ALTERANDO NO SOFTPHONE O HOST)
IP Servidor1: 10.1.1.3 - DDNS: meudominio.ddns.net:3 (FUNCIONA IP E DDNS EXTERNO, MAS INTERNO SOMENTE IP, PRECISO ACESSAR PELO IP LOCAL, OU PELO NOME DO SERVIDOR, INTERNAMENTE)A configuração de Advanced > Firewall & NAT > NAT Reflection mode for port forwards > selecionando a opção (NAT+Proxy) já foi feita e não funcionou.[/quote]
Como está o seu: Firewall > NAT > Outbound ??
Obs: Deixe rolando um tcpdump no fw e filtre corretamente os pacotes para testes.
Minha observação: O que possivelmente pode está acontecendo é a volta dos pacotes!
Att,
-
Caro fabricioborgers1;
1.) Li todos os tópicos agora rápido e pude verificar que a sua conexão ( configurado ), apenas acontece de forma externa (internet ) para o seu ambiente ( interno + nat). Correto ?
2.) Como está o seu: Firewall > NAT > Outbound ??
3.) Obs: Deixe rolando um tcpdump no fw e filtre corretamente os pacotes para testes.
Minha observação: O que possivelmente pode está acontecendo é a volta dos pacotes!
Att,
pskinfra, boa tarde!
1.) Então, a questão do ddns interno e externo está solucionado, consigo utilizar ddns tanto na minah rede local como externamente.
O ramal sip, autenticando internamente com ddns (não com o IP interno da minha central asterisk) funciona normalmente.
Agora esse mesmo ramal sip, autentica externamente também, mas a ligação cai aos 6 seg.Espero que eu tenha entendido e respondido corretamente essa sua pergunta.
2.) Está "padrão de fábrica", no modo automático, não mexi nisso.
3.) Mandei um "tcpdump host IP-do-meu-4g" e fiz a ligação e um "tcpdump host IP-do-meu-celular-na-rede-local", parece haver diferenças, mas não sei ler esses logs, poderia me ajudar? Se é que o melhor jeito de filtar seja esse mesmo. Ah, também configurei meu softphone com o ramal iax2 e fiz o mesmo teste pra comparar diferenças.
Sou bem leigo nisso, mas falando pela quantidade de linhas geradas comparando sip externo e iax2 externo, você parece ter razão.
-
Caro fabricioborgers1;
1.) Li todos os tópicos agora rápido e pude verificar que a sua conexão ( configurado ), apenas acontece de forma externa (internet ) para o seu ambiente ( interno + nat). Correto ?
2.) Como está o seu: Firewall > NAT > Outbound ??
3.) Obs: Deixe rolando um tcpdump no fw e filtre corretamente os pacotes para testes.
Minha observação: O que possivelmente pode está acontecendo é a volta dos pacotes!
Att,
pskinfra, boa tarde!
1.) Então, a questão do ddns interno e externo está solucionado, consigo utilizar ddns tanto na minah rede local como externamente.
O ramal sip, autenticando internamente com ddns (não com o IP interno da minha central asterisk) funciona normalmente.
Agora esse mesmo ramal sip, autentica externamente também, mas a ligação cai aos 6 seg.Espero que eu tenha entendido e respondido corretamente essa sua pergunta.
2.) Está "padrão de fábrica", no modo automático, não mexi nisso.
3.) Mandei um "tcpdump host IP-do-meu-4g" e fiz a ligação e um "tcpdump host IP-do-meu-celular-na-rede-local", parece haver diferenças, mas não sei ler esses logs, poderia me ajudar? Se é que o melhor jeito de filtar seja esse mesmo. Ah, também configurei meu softphone com o ramal iax2 e fiz o mesmo teste pra comparar diferenças.
Sou bem leigo nisso, mas falando pela quantidade de linhas geradas comparando sip externo e iax2 externo, você parece ter razão.
Post as saídas aqui para nós!
Abraços
-
Conforme solicitado segue as comparações.
