Телефоны циско

tydfgr

Не пинайте сильно, я не админ а программер контроллеров, однако тут на тыщу верст, другого специалиста нет. Приходиться браться за несвойственные задачи. Была циска 2800 серии. Сгорела от удара молнии. Поставил временно, а может постоянно Pfsense. Интернет работает нормально. Проблема с телефонами. Есть удаленная АТС, на CUCM на нашу площадку туннель. Думаю GRE, в общем GRE заработал. Вижу АТС и телефоны на других площадках. Мои телефоны к АТС коннектятся, скачиваются настройки. Звонок идет. Речь, между двумя телефонами на моей площадке - тоже. Звоню на внешнюю линию, меня слышат, а я не слышу никого. Как такое может быть? Шейпер пока не трогал. Может надо сконфигурировать шейпер? Как с цисковского конфига перевести на pfsensовский?

class-map match-any AutoQoS-VoIP-Remark
match ip dscp ef
match ip dscp cs3
match ip dscp af31
class-map match-any AutoQoS-VoIP-Control-UnTrust
match access-group name AutoQoS-VoIP-Control
class-map match-any AutoQoS-VoIP-RTP-UnTrust
match protocol rtp audio
match access-group name AutoQoS-VoIP-RTCP
!
!
policy-map AutoQoS-Policy-UnTrust
class AutoQoS-VoIP-RTP-UnTrust
  priority percent 70
  set dscp ef
class AutoQoS-VoIP-Control-UnTrust
  bandwidth percent 5
  set dscp af31
class AutoQoS-VoIP-Remark
  set dscp default
class class-default
  fair-queue

Вот это в описании интерфейса туннеля, как я понимаю красить до туннеля
  qos pre-classify
Может ли это pfsense?

Оттуда же, как сделать на pfsense?
  keepalive 10 3

Это с WAN интерфейса
service-policy output AutoQoS-Policy-UnTrust

Может еще какая-то причина? Как протестить? Мне еще не нравиться закрытые соединения:

tcp 10.5.1.10:2000 <- 10.6.4.212:18770 ESTABLISHED:ESTABLISHED
tcp 10.6.4.212:18770 -> 10.5.1.10:2000 ESTABLISHED:ESTABLISHED
tcp 10.5.1.12:2000 <- 10.6.4.212:26025 TIME_WAIT:TIME_WAIT
tcp 10.6.4.212:26025 -> 10.5.1.12:2000 TIME_WAIT:TIME_WAIT
tcp 10.6.4.209:2000 <- 10.6.4.212:15445 TIME_WAIT:TIME_WAIT
tcp 10.5.1.12:2000 <- 10.6.4.212:22936 CLOSED:SYN_SENT
tcp 10.6.4.212:22936 -> 10.5.1.12:2000 SYN_SENT:CLOSED
tcp 10.6.4.209:2000 <- 10.6.4.212:21200 CLOSED:SYN_SENT

10.5.1.10 это CUCM
10.6.4.212 - телефон cisco 711
10.6.4.209 - vlan 5 pfsense

werter

Включите логирование fw и смотрите что блокируется.

tydfgr

Я еще ничего не ограничивал на интерфейсе туннеля и на vlane 5. Соответственно файрволлом ничего не блокируется.

werter

Скрины правил на интерфейсах.

tydfgr

Приложил. opt1 - vlan 5 10.6.4.209/28, opt2 - gre туннель 172.20.1.54/30, для подсети 10.5.1.0/24 указан статический маршрут через 172.20.1.53/30. NAT на opt1 отсутствует.

Тут можно не смотреть. 10.5.1.12 резервный tftp для загрузки телефонов. Его сейчас в сети нет.
PING 10.5.1.12 (10.5.1.12) from 172.20.1.54: 56 data bytes
–- 10.5.1.12 ping statistics ---
3 packets transmitted, 0 packets received, 100.0% packet loss

наверное с шейпером надо разбираться.