Problema con pfsense y asterisk + multiwan



  • Hola amigos buenas tardes, llevo algun tiempo siguiendo los foros aunque nunca habia publicado nada, me ha ayudado mucho a aprender de pfsense ya que soy relativamente nuevo con esto, pero aun asi lo poco que se lo he aprendido de ustedes. Pues bien mi solicitud de ayuda es la siguiente.
    Estoy intentando implementar un servidor pfsense para dar servicio de internet a algunas pc's, laptops y equipos moviles(cell phones con android). La idea es tener varias lineas de internet para balancear la carga, ademas de tolerancia a fallos. Hasta aqui voy bien y ya lo tengo funcionando gracias a lo que he aprendido en esta pagina.
    El siguiente paso es tener corriendo un servidor asterisk para telefonia IP, el cual esta ya funcionando con una direccion IP estatica de mi LAN. Ademas que los usuarios que esten fuera de la red, osea desde cualquier parte del mundo conectados a internet puedan conectarse al servidor asterisk y hacer llamadas entre los demas usuarios ya sea telefonos ip fijos dentro de mi red u otros moviles dentro y fuera de mi red tambien conectados al asterisk. La parte del NAT ya la tengo funcionando tambien y puedo conectarme al asterisk desde fuera de mi red.
    Pongo un diagrama de como esta la situacion:

    Mi problema es que tengo configurados los moviles hacia la direccion wan1(201.X.X.X) de asterisk(Zoiper) para poder conectarme estando dentro o fuera de mi red y que vean el servidor asterisk atraves del NATEO. Cuando estoy fuera de la red por ejemplo en otra parte de la ciudad funciona bien, pero al estar dentro de mi red no logro que se conecte al asterisk, solo cambiando la configuracion de mi cliente softphone(Zoiper) en el movil a la direccion ip local de asterisk(192.168.1.2). La idea es que los usuarios no tengan que estar metiendose a la configuracion de su movil y si estan fuera poner una IP y si estan dentro poner otra. Espero haberme dado a entender y si hubiera alguien que me pueda ayudar se los agradecere mucho.
    Saludos desde Mexico. :) :)



  • Prueba con  System: Advanced: Firewall and NAT : Disable NAT Reflection for port forwards

    A ver si en tu instalación esto resuelve el problema…

    En los móbiles deberías dejar puesta la IP pública, para hacer la prueba.



  • Muchas gracias por tu respuesta, ya revise el punto que mencionas, estaba activada la opcion y la desactive pero nada, sigo sin poder conectarme usuando la direccion wan. Alguna otra sugerencia que se le ocurra?? Habra manera de monitorear en algun log los las peticiones de los paquetes y poder encontrar donde se esta bloqueando? Lo extraño es que de afuera hacia adentro funciona bien.
    Saludos!!



  • Algo que podría funcionar…

    Subred específica para Asterisk (vía VLAN en switch+pfSense o tarjeta de red adicional en pfSense)

    NAT Port Forward en LAN para que las peticiones hacia la IP pública sean redireccionadas al Asterisk.


  • Rebel Alliance

    Una que se me ocurre, y no se si funcione por tema de DNS's, etc, etc…

    Pero puedes probar con un equipo... y no te afecta a la red...

    Tu IP pública es estática (201.x.x.x) cierto ?

    Tienes el DNS forwarder del pfSense como servidor DNS para tu LAN, cierto ?

    Si haces un nslookup a tu IP publica, te devuelve algo como "x.x.x.201.myisp.com"

    Entonce el tema sería;

    En la parte "Host Overrides" agregas una linea que apunte el resultado del nslookup de tu IP publica "x.x.x.201.myisp.com" a la IP privada del Asterisk.

    Y en los equipos SIP, en lugar de poner la IP del SIP server, pones el nombre "x.x.x.201.myisp.com"

    Supongo deberás tener configurados 2 servidores DNS en los equipos SIP, primero el del pfSense, y segundo uno publico...

    repito, solo una idea loca que se me cruzó por la cabeza....



  • Cierto, ptt… pero no sabemos si los equipos admiten configuración por nombre en lugar de IP.

    A ver qué dice GustavoP.


  • Rebel Alliance

    Tengo entendido que el SoftPhone que utiliza (el "Zoiper") tiene la opcion "Domain:" para el SIP server, y supongo que GustavoG colocaba allí la IP Publica 201.x.x.x

    Pero como mencioné antes, es solo una idea, y no se como resultará con el tema de los DNS ;)



  • Efectivamente como mencionas ptt estoy poniendo la IP publica en el zoiper en la parte de host, estuve leyendo y si permite que se especifique el servidor asterisk por nombre y por IP, voy a probar esta opcion y les hago saber. Bellera ya trate con la opcion de NAT Port Forward en LAN que mencionas arriba pero no funciono, te comento que tengo un adaptador de red sin asignar en el pfsense, crees que me pueda ser util de alguna manera para resolver el problema? Saludos!!



  • Hola A todos

    Bueno puedes colocar el servidor con un nombre DNS tanto afuera en internet como en la red local si el DNS esta apuntando bien no debe ponerte problema, en en lugar donde trabajo trabajamos de esta manera y no hay problema, ademas utilizamos las ext SIp y IAX y funciona muy bien

    Saludos desde Colombia



  • Hola nuevamente yo, no habia podido responder por que estaba fuera, les comento que aun continua mi problema, hice lo que mencionó ptt pero no me funciona. Les comento que tengo un equipo que hace algo similar a pfsense, es un drytek con multiwan, en este equipo confugure el nat y si me funciona todo OK, puedo conectarme al asterisk desde fuera o dentro de mi red local con los equipos apuntando a la direccion WAN. Compañero gersonofstone, me podrias decir mas o menos como tienes tu configuracion con DNS o un pequeño diagrama para darme una idea. Saludos y gracias.



  • Es posible que te falte NAT Outbound estático para los puertos de Asterisk.

    http://doc.pfsense.org/index.php/VoIP_Configuration



  • Hola, tengo una duda, tu estas haciendo port foward al asterisk directo ?? osea estas dejando el puerto 5060 hacia la calle ?? Ojo con eso hay script que se corren y detectan esos servidores y te pueden arruinar haciendo llamadas telefonicas a diferentes paises… yo te recomiendo que usen una VPN los telefonos grandstream ya incluyen un cliente VPN y zoipher funciona bien a traves de VPN.

    Saludos desde Venezuela.



  • Si tengo el port forward pero al puerto IAX(4569),  el sip no lo tengo abierto ya que mi extensiones serian IAX, si habia escuchado algo de esto de los script para hackear, pero otra alternativa es cambiar el puerto por defecto a otro no tan comun, que opinas de esto? El problema es que necesito tener los moviles conectados donde quiera que se encuentren y no le puedo configurar el cliente vpn por que entonces me deshabilitaria el servicio de internet para otros usos del movil mientras estan conectados a vpn. El problema mayor es que aun no puedo hacerlos funcionar configurado el zoiper a la ip publica estan en la red local, ya hice todo lo que menciona el maestro bellera pero en los moviles no funciona. Hice la prueba que meciona ptt de usar el host override y tampoco se conecta en la red local. Lo extraño es que si en una pc de la red local con zoiper instalado le configuro con el metodo de ptt (x.x.x.201.myisp.com) ahi si funciona. En resumen el movil solo funciona estando en la red local con el zoiper apuntando a la ip local del asterisk(192.168.x.x) y desde otra red con internet, por ejemplo la casa de un amigo apuntando el zoiper a la ip publica a traves del nat.



  • En casos como estos conviene emplear herramientas de análisis de redes para ver qué puertos se están empleando cuando se produce la comunicación correcta.

    Seguramente te falta algún permiso o algún NAT (de puertos) estático.


Locked