SIP за NAT



  • Добрый день. 3 день не получается настроить клиента sip стоящий за pfsense.
    имеется pf 2.1.5, cisco spa122, настроенная, порты по умолчанию. sip сервер находится у провайдера с выделенным внешним ip.
    до этого момента стоял обычный роутер dlink, циска была выведена в dmz, телефон работал нормально.
    что сделал:
    1 на  pf пробросил порты 5060,5061, и уже с 6000-65000 на циску (в фаерволе прописалось). не завелось.
    2 включил сервис upnp&NAT,  честно говоря плохо в этом разбрался, но после разрешения трафика из вне на
    destination 239.255.255.250:1900
    239.255.255.250:3702
    255.255.255.255:5678
    224.0.0.252:5355
    Телефон заработал, но только в одну сторону (меня слышат - я нет)

    что это за ip такие ?
    в ту ли сторону я курю?
    начитался что SSDP кроме 1900 порта udp использует еще TCP 2189 . но кому и куда его прикручивать?

    главный вопрос , что сделать то чтобы телефон заработал? ))



  • У меня в офисе тоже самое(ну почти), стоит сервак с PFSense на нем поднят LightSquid фильтрующий трафик, Limiter ограничивающий юзверов. Все машины в сети ходят через сквид, на каждой машине стоит софтофон который подключается к серваку IP телефонии в дата центре. Все работает. В самом файрволе правил не делал(ест только 1 -проброс RDP, ну это не считается). Как открыл доступ для софтофонов-просто в правилах сквида поставил адрес на который подключаются софтофоны в исключения(при обращении на этот адрес запросы обходят файрвол) и все прекрасно!



  • установил  сквид, в прозрачном режиме, нашел там только
    Bypass proxy for these destination IPs для удаленного
    и Unrestricted IPs для циски
    прописал ип, не заработало(
    Почитал, и не должно было заработать. в этих состояниях он просто опускает проксю и действует по правилам фаервола.. ((



  • IMHO, squid в данном случае ни при чем, если речь идет об обычной sip-телефонии.
    Циска ведь у вас NAT'ится?
    У меня совершенно без дополнительных правил работают (NAT) циски через pfsense, еще и провайдеры разные.
    Я бы для начала(убрав предварительно все костыли и убедившись в нормальной работе NAT) попробовал определить, на каком уровне возникают грабли, к примеру, сделать дамп трафика - а соединение, вообще, устанавливается?



  • 2 ZLoBNbIY

    … PFSense на нем поднят LightSquid фильтрующий трафик

    LightSquid никогда не был фильтрующим механизмом. Это механизм отчетности.

    Как открыл доступ для софтофонов-просто в правилах сквида поставил адрес на который подключаются софтофоны в исключения(при обращении на этот адрес запросы обходят файрвол) и все прекрасно!

    С каких пор телефония стала использовать 80\tcp (http) для соединения ?

    Разрешите временно всё на LAN, включите логирование и смотрите какие порты и протоколы исп-ся вашими sip-клиентами. Их и разрешайте в правилах fw.



  • Открыл в фаерволе все  и куда угодно на WANe и на LANe, поставил логирования всего этого (Страшно смотреть на зелененькие стрелочки). все остальные правила удалены… (OPT1 сеть и IPSec на других интерфейсах соответсвенно, но там только то что необходимо для работы)

    циска даже не соединяется, хотя вижу в states
    udp чч.яяя.214.33:5060 <- 192.168.21.150:5060                                                          (192.168.21.150 -static IP  циски )
    делаю NAT1:1 весь трафик с wanIP на циску = связь работает только в одну сторону.
    ни одного запрещающего правила нет, в логах фаервола проходит регистарция на 5060 и из диапозона 10000-20000 RTP.

    включаю напрямую провод от провайдера в циску- связь в норме в обе стороны.

    вообщем я в ступоре( есть еще какие предложения?
    на циске включен NAT Keep Alive





  • Благодарю, всех кто обратил внимание на мою проблему, werter, отдельное спасибо за статью, сам ее почему то не смог найти((не попадалась на глаза.

    С провайдером не удалось договориться, пасс для подключения к серверу сип мне так и не дали, поэтому статью проверить не смог, но логически там все правильно, взял на заметку…

    Ситауцию решили следующим образом: выделение доп IP-внешнего (целую подсеть) отдельно на циску..



  • голос в одну сторону? вы не слышите, или вас?
    Значит у вас не настроен RTP транспорт в какую то сторону. Обычное дело. ПОтому что нужно настраивать forwarding для голосового траффика, или настраивать stun-сервер. Это уже пререгатива работы самого VOIP оборудования, копать туда. Вообще NAT + SIP = гемор.