Probleme mit Asterisk IAX



  • Hallo

    Ich habe schon lange pfSense in Betrieb und bin eigentlich sehr zufrieden (hatte zuvor Winroute (Windows) und dann IPCop) und pfSense ist mit abstand besser ;)

    ABER - Nun habe ich probleme mit ASterisk IAX2 protokoll.

    Ich habe 2 Asterisk server, einer hier im Büro, hinter der pfSense Firewall und einen im Internet direkt ansprechbar

    Ich habe die Regelen erstellt, das die UDP Pakete am IAX2 Port per NAT und co zum ASterisk Server durchgeschleust werden.

    Es funktioniert auch, allerdings am nächsten Tag, kann der Internet Asterisk meinen hier nicht mehr erreichen, er kann sich nicht mehr registrieren, die pakte werden verschickt, soweit ich es sehen kann  kommen die auch am pfSense an, aber das wars, die kommen nicht am ASterisk an.
    Umgekehrt gehts immer. Also der interne Asterisk kann sich immer am INet Asterisk registrieren.

    Um Asterisk Forum hat man mir nun gesagt ich sollte folgendes Fragen :

    das hört sich genauso an wie bie einer Sonicwall, da ist das Verhalten identisch.
    Sonicwall ist aus meiner Sicht nicht VoIP geeignet, da selbst Sonicwall sagt, das Portforwardings die statisch eingetragen sind, nach einer gewissen Zeit aus Sicherheitsgründen, nicht mehr gültig sind.
    Frag doch mal bei dem Hersteller nach, ob die derselben Ansicht sind, das auch statische Eintragungen aus Sicherheitsgründen sich "abschalten".

    Also, habe ich hier mit pfSense ein Problem? WEnn ja, kann ich das umgehen irgendwie? Es ist immer alles fix, also alle IP's auf beiden Seiten sind fix.

    danke im voraus
    sn00py


  • LAYER 8 Moderator

    Frag doch mal bei dem Hersteller nach, ob die derselben Ansicht sind, das auch statische Eintragungen aus Sicherheitsgründen sich "abschalten".

    Also ich muss gestehen, Sonicwall hin oder her, sowas höre ich jetzt zum ersten Mal. Dass sich "statische Einträge" abschalten, halte ich für entweder grundsätzlich falsch oder falsch ausgedrückt (würde ich eher vermuten). Statisch ist statisch, sonst müsste ich nichts eintragen. Punkt. Und wenn ein NAT Mapping eingerichtet ist, bleibt es auch. Wo kämen wir denn da hin ;)

    Was jetzt eher der Fall sein könnte, ist, dass evtl. der State verfällt (doch warum wird er dann nicht mehr neu initiiert) und/oder kein reconnect stattfindet. Du sagst, du hast auf beiden seiten statische IPs, ist das korrekt? Nicht dass da eine dynamische IP mit reinspielt.

    Andere Frage ist: kannst du evtl von deinem Asterix im Internet einen VPN Tunnel zur pfSense aufbauen und den anderen Asterix damit direkt greifen? Wäre das keine gangbare Alternative? Dann hättest du das ganze NAT-Gewusel umgangen und die beiden würden sich direkt miteinander unterhalten. Andernfalls denke ich wird das auf etwas Debugging hinauslaufen, aber dass sich "Einträge aus Sicherheitsgründen abschalten" (Sicherheitsgrund? abschalten? automatisch? huh?) halte ich für in diesem Fall nicht gegeben :)

    Vielleicht kannst du mir die Struktur noch etwas näher bringen mit den Asterixen, ich hatte damit eigentlich immer nur inhouse zu tun, nie mit einem im Internet.

    Grüße
    Grey



  • Also überall sind fixe ip, nix dynamisch.

    Ein Asterisk sthet im Internet Rechenzentrum Düsseldorf
    Der zweite bei uns hier in der Firma, hinter der pfSense Firewall.

    Alles geht immer gut, bis eben am nächsten Tag
    Dann sehe ich das der Asterisk im internet keine Registrierung mehr zum Asterisk hier aufbauen kann.

    Wenn ich die registrierung dann manuell anstosse, sehe ich (per logging am asterisk) das er Pakete wegschickt, per loggin am pfSense glaub ich auch, das dieser die pakete bekommt.
    ABER, der Asterisk Server hier bekommt keinerlei Pakete, auch ein neu restart des Asterisk bringt hier nix (wobei ich nur den dienst neu gestartet habe den rechner noch nicht)

    Noch was, der Asterisk server hier im Büro könnte eine ganze IP Adresse bekommen, bzw hat er auch ;)

    Ich habe im ein Outgoing NAT gegeben, damit er mit ...70 rausgeht
    und beim reingehen, halt nur die paar ports von ..
    .70 eben auf 192.168.11.13

    und alle anderen Rechner mit NAT oder was auch immer verwenden ...65 bis ...69 je nachdem …

    VPN Tunnel, wäre gangbar, nur weiss ich leider nicht wie :( ... weiss auch nicht ob ich das auf den ASterisk im Inet raufbekomme, da ist CentOs drauf (AsteriskNow)



  • … als info

    Da das problem gerade auch besteht, und mittagspause ist habe ich auch folgednes probieren können

    Ein neu starten des dienstes hat ja nichts gebracht, aber auch das neu starten des Asterisk Servers hat nichts gebracht - wurde gerade neu gesatertet ...

    ich werde dann den pfSense rechner neu starten, dann iwrds vermutlcih wieder funktionieren

    [edit]Hoppala, es hat doch funktioniert, mußte nur etwas warten ;) - Also das neu starten des Asterisk Servers hat das problem nun dch behoben … was bedeutet das?


  • LAYER 8 Moderator

    Also zur ersten Nachricht: Wenn du eh hin wie her nattest, hast du eine 1:1 NAT eingerichtet oder wirklich ex- und interne NATs? Denn wenn du eh die .70 für den Asterix reservierst, kannst du auch direkt ein 1:1 NAT machen.
    Zusätzliche Möglichkeit: wenn du die IP für ihn vorhältst, wäre es dann eine (infrastrukturell machbare) Möglichkeit, dem Asterix inhouse 2 IPs zu geben? Die LAN IP für interne Kommunikation und zusätzlich die externe? Dann wäre noch ein Routing der IP direkt auf die Maschine möglich (theoretisch).

    Anyway wenn ich lese, dass der Asterisk nach dem Neustart sich wieder fängt, ist das etwas seltsam. Damit wäre theoretisch die Firewall raus, es könnten aber trotzdem noch stale-handles oder dergleichen sein. Hmm… Vielleicht kannst du das nochmal im Asterisk Forum eskalieren, aber ich würde auch die FW noch nicht ganz ausschließen.

    VPN Tunnel (bzw. Verbindung) wäre theoretisch kein großer Akt, da du den auf der pfSense terminieren kannst und gibst dann dem externen CentOS ne IP, die dann per Routing intern auf den Asterisk draufkommen sollte. Da wäre OpenVPN ne Möglichkeit, das sollte unter CentOS schmerzfrei gehen. Zusätzlich müsste dann aber die externe Büchse als IP dann die interne IP eingetragen bekommen, damit sie durch den Tunnel kommuniziert, aber das sind Details ;)



  • so ich hab mal ein 1:1 NAT eingerichtet.

    Hatte mich vorher nicht getraut, da man da komischerweise nur eine "Internal subnet" und eine "External subnet" eingeben konnte.
    Ich habe auf jeden Fall trotzdem einfach die IP reingeschreiben, und es sieht so aus als obs trotzdem so geht ;)

    Mal schaun, obs so besser funktioniert …



  • Also seit dem ich auf ein reines 1:1 NAT gestellt habe, also die ganze IP Adresse durchleite, funktionierts noch immer.

    danke für den Tipp :)


Log in to reply