VPN и SIP телефония



  • Добрый день,

    Есть два Pfsense один клиент другой сервер, соединенные через Open VPN. Со стороны сервера установлена АТС, со стороны клиента SIP телефон. Пингуются в обе стороны, но телефон не может зарегистрироваться на АТС через порт 5060 UDP. В правилах фаервола, разрешено все,без ограничений.

    Сам VPN работает нормально, так как по мимо АТС, клиенту доступны все остальные сервисы по VPN.

    Подскажите куда копать? NMAP проверил, через vpn порт 5060 UDP доступен.



  • @goldsmith Здр
    включаете tcpdump на lan или openvpn интерфейсе и изучаете SIP трафик ( есть ли запрос - ответ , нет ли ошибок в ответах )
    Что пишет телефон при регистрации ? какая ошибка ?



  • @Konstanti said in VPN и SIP телефония:

    Что пишет телефон при регистрации ? какая ошибка ?

    Телефон пытается зарегистрироваться, и после кого то времени пишет "Ошибка регистрации".

    @Konstanti said in VPN и SIP телефония:

    включаете tcpdump на lan или openvpn интерфейсе и изучаете SIP трафик ( есть ли запрос - ответ , нет ли ошибок в ответах )

    с какими ключами должна быть команда? Со стороны клиента проверять?



  • @goldsmith
    лучше это сделать на pfsense (web интерфейс)
    1 нужен интерфейс
    2 протокол udp
    3 порт 5060
    4 адрес хоста

    Ошибка - есть ли номер ошибки ?



  • @Konstanti

    Вы имеете ввиду? Packet Capture? им я правильно Вас понял.

    И получается запись сделать когда именно Телефон пытается зарегистрироваться?



  • @goldsmith
    да , именно там
    так вы всегда можете выгрузить pcap файл для анализа + всегда можно увидеть обмен пакетами
    Я бы лично грешил на неверные настройки телефона или атс ( но это мое личное мнение )



  • А в той сети где АТС, без участия тоннеля если включить телефон он работает?



  • @luha said in VPN и SIP телефония:

    А в той сети где АТС, без участия тоннеля если включить телефон он работает?

    Его не проверяли здесь, хотя другие которые в сети АТС все без проблем работают.

    Во общем записал я пакеты просто белое окно, во время регистрации телефона.

    Когда запускаю пинг с телефона до атс, запись происходит пакетов.

    Что такое не понятно...ничего. Интересно провайдер может как то блокировать SIP, хотя у меня впн. ни чего не пойму.



  • @goldsmith
    Идите по цепочке и ищите место , где блокируются пакеты

    lan сервер - openvpn сервер - openvpn клиент - lan клиент
    в какой-то из этих точек пакеты теряются



  • Я зачем спрашивал. У нас АТС avaya передаёт настройки через свой отдельный VLAN и чтобы работало надо во-первых в DHCP этот VLAN прописать, а во-вторых если через VPN то для сети VLAN надо бы добавить правила.



  • @luha said in VPN и SIP телефония:

    Я зачем спрашивал. У нас АТС avaya передаёт настройки через свой отдельный VLAN и чтобы работало надо во-первых в DHCP этот VLAN прописать, а во-вторых если через VPN то для сети VLAN надо бы добавить правила.

    не у меня по другому, телефоны в то же сети, что и pc находятся их просто не много. проще во общем.



  • Добрый.
    @goldsmith

    но телефон не может зарегистрироваться на АТС через порт 5060 UDP

    Проверяйте что ШЛЮЗОМ у телефона. Должен быть адрес его пф.
    Пинганите адрес телефона из сети ЗА впн-сервером.

    Проверяйте что ШЛЮЗОМ у АТС. Должен быть адрес ее пф.
    Пинганите адрес АТС из сети ЗА впн-клиентом.

    Это же основы.

    Зы. Если это Freepbx, то у него в настройках есть fw . Там нужно поправить , добавив адрес сети телефонов в разрешенные.



  • А не включено ли на АТС ограничение на доступ из других (под)сетей?
    @werter об этом уже написал.



  • У меня немного была другая ситуация. Я поменял в самих телефонах SIP с UDP на TCP. Время просто нет сейчас с этим разбираться но телефоны работают только регистрация правда вместо 2 минут занимает 15.



  • @pfrickroll

    регистрация правда вместо 2 минут занимает 15.

    Ни 2 ни тем более 15 минут - это ненормально. Регистрация занимает СЕКУНДЫ.
    У меня 14 филиалов, в к-ых не самые простые с точки зрения настроек Cisco 79xx подключены к FreePBX и по SIP и по SCCP. Филиалы объединены по опенвпн с центром.
    Телефоны рег-ся секунд 10-15 максимум.

    Обновляйте ПО телефонов и смотрите логи атс-ки (debug астера в помощь). У вас что-то неверно настроено.



  • @werter said in VPN и SIP телефония:

    Проверяйте что ШЛЮЗОМ у телефона. Должен быть адрес его пф.
    Пинганите адрес телефона из сети ЗА впн-сервером.
    Проверяйте что ШЛЮЗОМ у АТС. Должен быть адрес ее пф.
    Пинганите адрес АТС из сети ЗА впн-клиентом.
    Это же основы.
    Зы. Если это Freepbx, то у него в настройках есть fw . Там нужно поправить , добавив адрес сети телефонов в разрешенные.

    Все так и есть.

    @pfrickroll said in VPN и SIP телефония:

    . Я поменял в самих телефонах SIP с UDP на TCP.

    Попробуем спасибо за совет.



  • @goldsmith
    Протокол тут не при чем ( не важно tcp или udp )
    Вы проверили всю цепочку , как я Вам говорил ?
    Нашли место , где пакеты теряются ?
    Проверьте настройки телефона еще раз
    отсутствие пакетов на интерфейсе говорит о том , что
    1 или блок где-то
    2 или неверные настройки телефона



  • Добрый.
    @goldsmith

    Обновите freepbx.
    Обновите ПО телефонов.

    Зы. Как понять что происходит на астериске http://asterisk-support.ru/question/38386/kak-poniat-chto-proiskhodit-na-asteriske/



  • @goldsmith
    Скрины правил fw на ВСЕХ интерфейсах покажите.



  • Ребят, у меня АТС и Телефоны https://www.yealink.ru/

    На самой АТС на ее фаерволе добавил сети клиента и добавил стат маршруты.



  • Вот так выглядит правило на фаерволах https://i.postimg.cc/76jzQmry/image.jpg



  • @goldsmith

    Вот так выглядит правило на фаерволах

    Это на ВСЕХ интерфейсах? Показывайте все.

    у меня АТС и Телефоны

    ПО свежее на них?

    и добавил стат маршруты.

    Какие маршрутЫ? Достаточно указать шлюзом (gateway) адрес пф в настройках сети АТС-ки. Всё.
    Скрины покажите того, что добавили.

    ЗЫ. Скрины тут прикрепляйте. Не надо на сторонних ресурсах их размещать.

    Зы2. Если на АТС-ке есть shell, то зайдите на нее и пинганите ip addr телефона из удаленной сети.


Log in to reply