Подключение из офиса к своему же внешнему IP



  • Коллеги, добрый день.
    Подскажите пожалуйста, как можно решить следующую задачу:

    Имеется в офисе PFSense 2.4.2, настроен стандартно NAT, внешняя сетевая карта со статическим IP (89.99.102.zz) и внутренняя сетевая карта (10.10.30.ххх), смотрящая в офисный свитч.
    PFSense у всех прописан как шлюз, и через него люди выходят в интернет .
    Внутри офиса имеется IP АТС Asterisk, с адресом 10.10.30.3, на неё снаружи проброшен порт для подключения внешних IP телефонов и софтофонов, установленных на мобильных телефонах сотрудников.

    Так вот, когда сотрудники находятся вне офиса, они без проблем подключаются и используют офисную телефонию. Но когда приходят в офис, то находясь в офисной Wi-Fi сети (с той же адресацией 10.10.30.ххх) уже не могут подключиться к адресу 89.99.102.zz.
    PFSense видимо как-то не настроен, чтобы был один и тот же адрес источника и адрес назначения.

    Можно что-то предпринять и настроить PF, чтоб из локальной сети можно было подключаться к своему же внешнему IP адресу ?



  • Разобрался

    Идём в  System > Advanced, в разделе Firewall/NAT
    тут в параметре NAT Reflection mode for port forwards выбираем режим Pure NAT. И ставим две галочки Enable NAT Reflection for 1:1 NAT, и Enable automatic outbound NAT for Reflection.

    Сохраняем настройки.



  • мсье знает толк.
    Самый простой вариант для вас - сделать разный dns резолв. Для внешки резолв во внешний адрес, для внутренних клиентов - в серый локальный.
    А за такие "решения" нужно по пальцам стукать молотком.



  • Добрый.

    то находясь в офисной Wi-Fi сети (с той же адресацией 10.10.30.ххх) уже не могут подключиться к адресу 89.99.102.zz.

    Как вариант-костыль, port forwarding на LAN-интерфейсе того, что идет во вне на 89.99.102.zz на локальный адрес Астера 10.10.30.3 (5060 TCP\UDP + RTP). Но нужно тестить. VOIP - штука капризная  :-\

    Или dyndns (https://freemyip.com) + красивый совет от derwin. После настройки динднс в dns resolver пф создаете запись о том, что такое-то динднс-имя имеет локальный адрес 10.10.30.3. И указываете это имя в настройках сип-клиентов в кач-ве сип-сервера. Только обязательно лок. адрес пф должен быть 1-ым днс в сет. настройках клиентов (лучше автоматом по дхцп). Всё.

    С вашим же решением, хоть и работающим, получается петля\loopback

    З.ы. Кстати, крайне рекомендую вместо связки SIP+RTP пользовать IAX2, т.к. всего один порт для всего пользуется.
    Тот же Zoiper отлично умеет IAX2.



  • werter
    на самом деле фиолетово на протокол, на качество не влияет. IAX2 имеет другие плюшки, и они придуманы для связи астериск/астериск.

    Но любая телефония через NAT это порно. Я бы рекомендовал ставить аппараты с OPENVpn. В туннель просто делаем статичный маршрут до OpenVPN и делаем его включенным всегда.
    На VOIP телефонных аппаратах я так и делаю.



  • Добрый.

    @derwin:

    на самом деле фиолетово на протокол, на качество не влияет. IAX2 имеет другие плюшки,

    Про кач-во речь не шла. Кач-во зависит от канала (задержки), от кодеков, к-ые исп-ся (opus - сила, но далеко не все железки могут). Дело в удобстве (один порт) и в возможности нативно использовать шифрование трафика, напр.

    и они придуманы для связи астериск/астериск.

    Можно и по sip связывать атс-ки, если уж на то пошло. Для чего сейчас можно (и нужно) использовать - это главное.



  • если уж на то пошло…
    а ты попробуй сделать обмен информации о пирах между 2мя астерисками на SIP-e.
    Это когда астер знает без маршрутизации на каком транке находится нужный пир.



  • Добрый.
    https://www.asanka.me/2016/12/connecting-two-asteriskfreepbx-using-sip-trunks/

    type=friend

    и

    Password common for both trunks.
    Trunk names used under Peer Details acts as the usernames.
    Extension numbers should differ on each PABX otherwise it would not be possible to route calls correctly.



  • сам телефонию не настраивал? это простой ман по транку на SIP-e
    В заголовке так и написано.

    http://voip.rus.net/tiki-index.php?page=Asterisk+sip+type первая ссылка из гугла.
    type=friend  - означает тип пира, его права на входящий и исходящий инвайт.

    PS: чукча писатель, чукча не читатель?  ::)



  • Добрый.

    2 derwin
    Грубить не стоит. Не стоит также безосновательно сомневаться в проф. кач-вах других. Это вызовет обратный эффект. Сомнение в навыках "сомневающегося".

    IAX для связки, ес-но, больше подходит. Я в этом и не сомневался. Он для этого и создавался. Однако, справедливо и то, что можно связывать и по SIP.

    Вот здесь https://www.voip-info.org/asterisk-dual-servers/ хорошо описано в каких случаях связка 2-ух voip-серверов будет работать по SIP. Добавьте себе в закладки. Пригодится.

    P.s. Насчет "чукчи". Для понимания того, с чем лично сталкивался. И как решал https://forum.asterisk.ru/viewtopic.php?f=6&t=2999&start=10#p78373 . Ник мой по ссылке такой же, как и здесь.



  • да никто не грубит, там в конце стоит смайлик.