Два Интернет провайдера - Policy Routing

strannik

Что у Вас за интефейс - TUN100 ?

Konstanti

Это мой туннель в " прекрасное туда" GRE over IPSEC ( не обращайте внимания, это просто для примера , что вместо WAN1 по умолчанию , Вам надо указывать WAN2 принудительно в качестве маршрута для SIP и RTP) .
Т е в Вашем случае - вместо моего 192.168.1.96 - ваш адрес сервера
вместо UDP - TCP
вместо 53 порта - порт 5060/5061
вместо Default gateway - интерфейс нужного вам провайдера

strannik

Уважаемые коллеги, большое спасибо за советы. Теперь, вооружённый Вашими советами, я пытаюсь отработать конкретные шаги - сначала в дом. лаборатории а затем - на производстве.

Прилагаю картинки. Если какая ошибка - пожалуйста поправляйте

0_1534343983671_Oubound NAT for 3CX server.png 0_1534343987376_Outbound NAT for 3CX server - config.png 0_1534344011327_LAB - FW rule - LAN - policy routes.png 0_1534344055004_Port Forward to 3CX server.png

Konstanti

@strannik скажем там , вектор атаки выбран правильный .
ничего сложного нет
только не забудьте про проброс портов с wan 2 на 3cx сервер
вот мой вариант
0_1534344253749_ae117e82-d359-4676-98b7-f1e506cca202-image.png

strannik

@konstanti said in Два Интернет провайдера - Policy Routing:

вместо Default gateway - интерфейс нужного вам провайдера

Спасибо за пояснение. Я только-что показал скрин-шаты моих настроек. Если Вас не затруднит - посмотрите, пожалуйста - есть ли какие ошибки

Konstanti

@strannik все ответил чуть выше

strannik

@konstanti
Спасибо

Konstanti

@strannik так как я - пользователь новый, не могу быстро отвечать ((( блокирует система ответы
Не за что , если что , обращайтесь

strannik

@konstanti

Проброс к 3CX - так будет правильно ?

0_1534345558073_NAT - Port Forward to 3CX server.png

0_1534345565191_NAT - Port Forward to 3CX server - Config.png

igroykt

@strannik в outbound должно быть 2 правила на интерфейс один который с двумя стрелками пересекающимися и один который с галочкой.
manual outbound nat лучше поменяй на hybrid outbound nat (automatic outbound nat + rules below).
в edit advanced outbound nat entry вроде все верно кроме source. там должна быть указана сеть локальная (то бишь 192.168.10.0/24 или какая там маска).
далее в firewall/rules/lan1 в destination надо указать адрес sip сервера т.е. до куда надо достучатсья через шлюх wan2_dhcp (удобно это делать через firewall->aliases поскольку потом в этот список можно будет добавить другие адреса не плодя лишних правил). если будет стоять wildcard то бишь * то возникнет конфликт и весь трафик пойдет через дефолтный гейтвей которым наверное является wan1_dhcp.
firewall/rules/wan это лишнее. обычно правила для внешних интерфейсов используются для проброса трафика извне в локалку, а у тебя задача наоборот выпустить из локалки туда-то по определенному шлюзу.

igroykt

@strannik said in Два Интернет провайдера - Policy Routing:

@konstanti

Проброс к 3CX - так будет правильно ?

лучше укажи конкретный протокол udp поскольку в tcp будут задержки (зависит от конфига атс но лучше перестраховаться пусть лучше коннекта не будет чем будет плохой коннект).
source address все таки лучше указывать если конечно на той стороне статический адрес (чтобы никто лишний без дела не вклинивался).
source port лучше указать конкретный если известно.
nat ports пусть уж лучше совпадает с source ports (хотя тоже зависит от настроек атс).
остальное вроде норм.

Konstanti

@igroykt я бы sourceports указал any - по-моему, тут косяк вылезет
мало ли с какого порта придет пакет
а вот destination - да ,надо
рабочий вариант
0_1534346133362_67621eea-a31b-426c-bfca-c28afa3c44f1-image.png

igroykt

@konstanti а я бы не стал. мало ли что прилетит с той стороны. максимум какой нить диапазон портов не большой. в любом случае уточнился бы у провайдера услуги.

strannik

Спасибо за советы.

все проблемы: требования документации на 3CX: они требуют пробрасывать вот так:

0_1534346579781_3CX Port Forward - Recomended.png

а порты транслировать вот так:
0_1534346626786_3CX Oubound NAT - Recomended.png

strannik

@igroykt said in Два Интернет провайдера - Policy Routing:

в outbound должно быть 2 правила на интерфейс один который с двумя стрелками пересекающимися и один который с галочкой.

Прилагаю какртинку: у меня первое правило - конкретое 3CX-Server и порты 3CX - через WAN-2, а следующее за ним правило - общее для всех остальных VLAN - через WLAN-1 (Default Gateway).

3CX сервер тоже часть одной VLAN. Таким способом я надеюсь, что через WAN-2 пойдёт только траффик с/на 3CX-server-IP и только на портах 3CX-Ports, а любой другой траффик (например HTTP/HTTPS) останется на WAN-1.

Вот такая идея. Надеюсь, всё правильно
0_1534350534729_Outbound NAT for 3CX server.png

werter

Доброго.
3CX ? Это те, к-ые Elastix "сожрали"? И те, у к-ых карма на хабре (да, для меня это показатель) в минусах? Еще скажите, что он у вас на Windows. Перевел компанию с этого "чуда" на FreePBX\Asterisk и привязал старые cisco-фоны (7905\7912) по sccp к нему (на sip нет русского интерфейса). Четвертый год - "ни единого разрыва".

Даю ссылку https://www.freepbx.org/. Продукт с GUI. В ком. строку лезть в 99% вообще не прийдется. Прекрасно живет на Proxmox (KVM).

Большие нагрузки и Asterisk не справляется? Да пожалуйста - https://habr.com/post/353156/ , https://github.com/fusionpbx/fusionpbx

Нужна видеоконференция? Задаром? С интеграцией в открытый корп. чат (Mattermost)? Да сколько угодно https://github.com/bigbluebutton/bbb-install, https://github.com/blindsidenetworks/mattermost-plugin-bigbluebutton

Видеоконференция с завязкой на сетевое хранилище + сервис корп. работы (Nextcloud). И тоже нахаляву? Так вот же ж - https://nextcloud.com/talk/

Нужен софт-телефон с поддержкой лучшего на сегодн. день голосового кодека Opus? Вот оно - http://www.linphone.org/.

Не благодарите. Хотя нет. Спасибо приму. Мало кто знаниями делится даром в наше время (

P.s. У 3CX, надо отдать должное, неплохой софт-телефон и (уже) с Opus https://habr.com/company/3cx/blog/418587/ Вот его советую.