Telefone IP Cisco em uma Sub Rede



  • Bom dia pessoal,

    Explicando o problema:

    Eu tenho uma Rede com pFsense dentro de outra rede. O que acontece é que eu tenho que fazer um telefone "Cisco IP Phone 7911" ter um IP da rede de fora do pFsense.
    Minha rede do pfsense (192.168.4.0/20) é onde está o telefone Cisco. A outra rede é um segmento privado (10.xx.xx.xx).

    Há algum modo de fazer o telefone, seja por MAC ou IP da rede pFsense, ter um IP da rede da Empresa?
    Seria por regra de firewall, algum forwarder ou alguma coisa assim?

    Obrigado!



  • Vit, experiencia propria. Tinha 15 telefones cisco spa502g na mesma rede do firewall e das maquinas.
    Sem contar com o ponto que uma ligacao, se sua rede nao tiver qos, ou nao tiver switchs bons, deixara a ligacao e a rede com muito lag, ele deu um grande problema relacionado a roubo de creditos no voip.

    Pois eu tenho uma central cisco voip, UC560, e a mesma distribuia ip para os spa. O que ocorreu foi que conseguiram acesso a rede, por meio de uma vpn mal configurada, pegaram ip do voip, distribuido pelo cisco, e comeram uns 300 reais de creditos.
    Conselho, faca a rede do voip fora da rede de dados. Eu aconselharia a criar uma vlan ou utilizar outra placa de rede.

    Abcs



  • @vithort:

    Há algum modo de fazer o telefone, seja por MAC ou IP da rede pFsense, ter um IP da rede da Empresa?
    Seria por regra de firewall, algum forwarder ou alguma coisa assim?

    você pode tentar um nat 1:1 com um ip virtual adicional na interface rede 10 do seu pfsense.
    De qualquer forma você vai precisar procurar as opções de nat do seu telefone para evitar problemas de one-way-audio.

    ps:
    Separar a rede do voip da rede comum como o Pedro sugeriu, é uma excelente idéia principalmente usando vlans.
    Dependendo dos recursos de vlan do telefone, você consegue implementar isso sem alterar o cabeamento de rede.

    att,
    Marcello Coutinho



  • Valeu as dicas.

    Achei tambem um tutorial aqui no forum explicando um outro método.

    Vou tentar colocar tudo em prática e aviso os resultados.

    Obrigado.



  • Fiz todos os passos indicados por vocês:

    • Criei um NAT 1:1
        - Interface WAN
        - External IP: 10.xx.xx.xx (IP na LAN "externa")
        - Internal IP: 192.168.4.73 (IP na minha LAN)
        - Destination: *
        - Description:

    • Criei um Virtual IP:
        - Virtual IP Address: 10.xx.xx.xx/32 (o mesmo que External IP do NAT 1:1)
        - Type: If Alias
        - Description:

    O problema é que nao escuto a voz da pessoa, mas ela me escuta, acho que é o problema do one-way-audio que voce mencionou marcelloc.

    Alguem tem alguma ideia do que posso fazer?

    Estou buscando solucoes, se alguem puder ajudar mais um pouco agradeco.

    Valeu!!!!



  • No virtual ip, coloque a mascara de rede correta se não estiver usando proxy arp.

    Além desta configuração você criou o outbound nat com static port=yes?

    obs:
    para anexar imagens no post, basta clicar em additional options  ;)



  • Valeu a dica das imagens… realmente vai me facilitar a vida.

    Voce diz Proxy ARP, seria a opcao do Static ARP no DHCP Server?

    Static ARP
    Enable Static ARP entries
    Note: Only the machines listed below will be able to communicate with the firewall on this NIC.

    Se for essa opcao, ela está ativada em meu servidor.

    Criei o Outbound, mas segue com o mesmo problema.
    Troquei tambem a mascara de rede.

    Repassando:

    • Criei o Virtual IP: 10.x.x.50/32 (Só quero este IP) - ou devo colocar /24 que é a mascara da minha subnet?
    • Criei um NAT 1:1, com:
          - IP externo 10.x.x.50 (IP que vai sair o meu telefone para a outra rede)
          - Internal IP 192.168.4.73 (IP da minha rede local)
          - Destination IP *
    • Por fim, criei o Outbound (na verdade nao sei bem o que faz, e nao sei se está bem criado)
          - Source: 192.168.0.0/20
          - Source Port: *
          - Destination: *
          - Destination Port: *
          - NAT Address: 10.x.x.50 (coloquei o IP Alias que criei)
          - NAT Port: *
          - Static Port: yes (como foi indicado)

    Tive o mesmo problema. A pessoa do outro lado (fora da rede) me escuta, mas eu nao escuto a pessoa.

    Nao sei se é alguma regra de Firewall na WAN que tenho que implementar ou alguma outra coisa assim.

    –-

    Fiz um teste e quando esta com senha para fazer a ligacao eu tenho esse problema que mencionei.
    Quando tiro a opcao de senha no telefone, ele escuta normalmente.

    Vou verificar segunda com Telefonica se eh alguma configuracao no router deles.

    Enquanto isso, se alguem tiver alguma sugestao eu agradeco.

    Valeu.



    ![TIP2 NAT 1.1.jpg](/public/imported_attachments/1/TIP2 NAT 1.1.jpg)
    ![TIP2 NAT 1.1.jpg_thumb](/public/imported_attachments/1/TIP2 NAT 1.1.jpg_thumb)
    ![TIP2 Outbound.jpg](/public/imported_attachments/1/TIP2 Outbound.jpg)
    ![TIP2 Outbound.jpg_thumb](/public/imported_attachments/1/TIP2 Outbound.jpg_thumb)



  • @vithort:

    Voce diz Proxy ARP, seria a opcao do Static ARP no DHCP Server?

    Quando você precisa subir uma faixa inteira de ips, você usa o proxy arp no lugar de ip alias.
    Vi na imagem que você usa ip alias.

    @vithort:

    • Criei o Virtual IP: 10.x.x.50/32 (Só quero este IP) - ou devo colocar /24 que é a mascara da minha subnet?

    O seu problema está ou parece estar bem aqui.

    Você esta fazendo dois nats no sip até chegar no ip real?

    @vithort:

    • Por fim, criei o Outbound (na verdade nao sei bem o que faz, e nao sei se está bem criado)
          - Source: 192.168.0.0/20
          - Source Port: *
          - Destination: *
          - Destination Port: *
          - NAT Address: 10.x.x.50 (coloquei o IP Alias que criei)
          - NAT Port: *
          - Static Port: yes (como foi indicado)

    Mude source para o ip do seu telefone sip. Mas acredito que o nat 1:1 ignora regras de outbound.

    @vithort:

    Fiz um teste e quando esta com senha para fazer a ligacao eu tenho esse problema que mencionei.
    Quando tiro a opcao de senha no telefone, ele escuta normalmente.

    Na configuração da central (se existir) o reinvite do rtp deve ser diferente quando nas duas situações.
    Para "ouvir" a senha, a central precisar receber o audio enquanto uma ligação sem senha, a central pode sinalizar para um telefone mandar o audio direto para a outra(reinvite).


Locked