NAT, Asterisk

Тема в разделе "Вопросы начинающих", создана пользователем Konev, 13 дек 2016.

  1. Konev

    Konev Участник

    Здравствуйте, уважаемые форумчане.
    Решил развернуть Asterisk, но к сожалению не нашел материала по его работе за Микротик НАТ.
    Проблема в односторонней слышимости, звонящий слышит меня, но я не слышу звонящего.
    MAC IP-PROT... SRC-ADDRESS DST-ADDRESS
    ip udp 192.168.0.247 185.45.152.161
    ip udp 192.168.0.247 192.168.116.200
    Успешно устанавливается сессия с SIP аккаунтом.
    Настройка dst-nat:
    [konev@t-gtw-a] > ip firewall nat export
    /ip firewall nat
    add action=dst-nat chain=dstnat dst-address=89.185.95.241 dst-port=5060 in-interface=WAN-if1 protocol=udp to-addresses=192.168.0.247 to-ports=5060
    add action=dst-nat chain=dstnat dst-address=89.185.95.241 dst-port=10000-20000 in-interface=WAN-if1 protocol=udp to-addresses=192.168.0.247 to-ports=\
    10000-20000
    В Астериске, определенны порты для RTP 10000:20000
    Что еще стоит сделать? что проверить ? В чем может быть причина ?
     
  2. Konev

    Konev Участник

    Проблема решена перенаправлением с помощью добавления диапазона адресов в адрес лист.
    И дальнейшего перенаправления с этих адресов на Астериск.
    В который раз убеждаюсь, в том, что микротик - отличное решение.
     
  3. amv

    amv Участник

    Не пробовал настраивать прилодение zoiper на сот тел и связь между ними через внешку? звук в 1 сторону.
     
  4. Konev

    Konev Участник

    У тебя Астериск с телефоном в одной сети ?
    Астериск имеет белый ip адрес ? или как у меня за Натом ?
     
  5. amv

    amv Участник

    Астериск за натом, в нутри сети все норм а если с наружи 2 телефона то в одну сторону
     
  6. Илья Князев

    Илья Князев Администратор Команда форума

    Причина в попытке крутить две ручки сразу. Т.е. NAT-ом SIP однвременно занимаются и Asterisk и Mikrotik

    Вы или в астериске скажите что он не за NAT и прокиньте на него только 5060-5061
    или в /ip firewall service-port выключите SIP.
    Если первый вариант настроите и не пойдет - сделайте:
    /ip firewall service-port set sip-direct-media=no
     
  7. Konev

    Konev Участник

    Спасибо Илья, на будущее учту :)
    Обратите внимание на предыдущий пост, от Ильи.
     
  8. amv

    amv Участник

    Решено, помогло чистка листа Connections /ip firewall service-port set sip-direct-media=no и в Asteriske peers добавление за nat
     
  9. Iskatel

    Iskatel Новый участник

    Доброго времени суток! Не стал создавать новую тему, так как существует данная. Появилась проблема с астериском и микротиком.
    Поясню подробнее:
    На порту микротика настроен серый айпи от провайдера связи. Через этот порт регистрируются транки и следовательно уходят звонки наружу с ip телефонов из нашей сети. Так вот в настройках ната на микротике было настроено всего 2 правила:
    1) Маскарад на порт смотрящий до их сервера
    2) дст нат без указания входящего интерфейса и даже портов и все работало около 3х месяцев без проблем(SIP Direct Media был включен).
    Пару дней назад связь оборвалась, внутренняя работает, звонишь во внешку и тишина, по телефону видно что трубку сняли но в трубку мы ничего не слышим(даже гудка вызова нет). Вызывали техника от провайдера, на их стороне манипулаяций не было, на нашей стороне также, с сервером ничего не делалось, так же как и с микротиком. Начал менять настройки ната( что только не делал) ничего не помогает, зашел в тупик.
    На данный момент имеем следующее:
    -Нат на астериске выключен (на моем экстэншене)
    -SIP Direct Media включен
    -Настроек фильтров файрволла на микротике нет вообще(дабы исключить любые проблемы с ним).
    Вот настройки с микротика:
    add action=masquerade chain=srcnat comment="default configuration" log=yes \
    out-interface=ether4
    add action=dst-nat chain=dstnat dst-port=5060-5061 in-interface=ether4 \
    protocol=udp to-addresses=192.168.1.227 to-ports=5060-5061
    add action=dst-nat chain=dstnat dst-port=10000-20000 in-interface=ether4 \
    protocol=udp to-addresses=192.168.1.227 to-ports=10000-20000


    Слышимости нет в обе стороны, подскажите куда копнуть,зашел в тупик.
     
    Последнее редактирование: 14 фев 2017
  10. Konev

    Konev Участник

    Для некоторых провайдеров может не требоватся настройка Ната, как на Астере так и на Микротике.
    Попробуйте, запросить у провайдера список адресов его серверов, создайте адрес лист и создайте правило, перенаправляющее весь траффик от этого адрес листа на Астериск.
     
  11. Iskatel

    Iskatel Новый участник

    Микротик не перестает меня удивлять, заработало в таком виде:
    Удалил вообще все настройки дст нат и осталось только:
    /ip firewall nat export
    add action=masquerade chain=srcnat out-interface=ether4
    Service Port SIP Direct Media включен
    Нат на астериске отклюен.
     
  12. Konev

    Konev Участник

    Значит провайдер, на своей стороне выполнил верные настройки и готов принимать подключения из за ната
     
  13. Iskatel

    Iskatel Новый участник

    Проблема осталась, но немного другая. Слышимость односторонняя, нас слышат, а мы никого не слышим.
    Все заработало в таком виде:
    /ip firewall nat
    add action=masquerade chain=srcnat out-interface=ether
    add action=dst-nat chain=dstnat dst-port=10000-20000 i
    protocol=udp to-addresses=192.168.1.227
     
    Последнее редактирование: 14 фев 2017
  14. Konev

    Konev Участник

  15. Илья Князев

    Илья Князев Администратор Команда форума

    дайте настройки астериска. Файлы
    sip_nat.conf
    rtp.conf
    И настройки транка
    Можете поменять внешний IP и пароли на что-нибудь другое.
     
  16. Iskatel

    Iskatel Новый участник

    Спасибо всем за помощь. Как писал выше:
    Все заработало в таком виде:
    /ip firewall nat
    add action=masquerade chain=srcnat out-interface=ether4
    add action=dst-nat chain=dstnat dst-port=10000-20000 i
    protocol=udp to-addresses=192.168.1.227
     
  17. dr_loder

    dr_loder Новый участник

    Добрый вечер!
    Похожая проблема.
    Станция MY PBX в основном офисе и 2 удалённых офиса связанных через vpn микротиками.
    С удалённых офисов регистрация телефонов Yealink проходит без проблем, звонки тоже проходят, и голос проходит без проблем. Через неделю пробуем из центрального офиса набрать в один из филиалов - нас слышат, а мы их нет. настройки не менялись. Попробовали с удалённого филиала набрать на второй тел в этом же филиале - звонок проходит, но оно друг друга не слышат.
    Несколько дней не занимался этим, начал смотреть и телефоны с удалённых филиалов перестали регистрироваться на станции.
    после танцов с бубном - регистрация возобновилась и пока работает, а вот голоса только в одну сторону.
    1) отключил правило
    chain=dstnat action=dst-nat to-addresses=192.168.18.194 to-ports=5060 protocol=udp
    in-interface=all-ppp dst-port=5000-35600
    Всё заработало.
    Осталось только
    chain=dstnat action=dst-nat to-addresses=192.168.18.194 to-ports=5060 protocol=udp
    in-interface=all-ppp dst-port=5060

    service port - SIP dir media - yes

    в чём была проблема не ясно. Завтра протестирую связь из офиса в филиал и обратно проверим что вышло.
     
  18. bulchik

    bulchik Новый участник

    Доброго времени суток.
    У меня немного другая проблема возможно это и не в эту тему, но все же.
    Есть микротик с белым ип. внутри локальная сеть 10.0.0.1/20, в ней стоит сервер астер, проброшен порт 5060 и 10000-40000, но почему то все запросы с мира на сервер астер видит как шлюз (10.0.0.1)
    add action=dst-nat chain=dstnat comment=asterix dst-address=(белый ип)dst-port=5060 protocol=udp to-addresses=10.0.8.6 to-ports=5060
    [2017-09-22 13:45:04] NOTICE[1608] chan_sip.c: Registration from '"900" <sip:900@10.0.8.6:5060>' failed for '10.0.0.1:2780' - Wrong password
     
  19. bulchik

    bulchik Новый участник

    Дополнение, создал правило для доступа к свичу.

    add action=netmap chain=dstnat comment=svitch dst-address=(белый ип) \
    dst-port=2000 in-interface=sfp protocol=tcp to-addresses=10.50.50.50 \
    to-ports=23
    захожу на свич в лог
    500 May 4 03:54:43:CLI-6: Successful login through Telnet( User: bulchik, IP: 10.50.50.1 )
    Хотя я нахожусь в другой части города.
    Как мне нужно написать правило, что бы было видно ип с которого конектишся, а не шлюз серой подсети?
     
  20. Konev

    Konev Участник

    Во первых используйте dst-nat вместо netmap,
    Во вторых, более чем уверен, что там где у вас action=masquarade у вас явно не указан исходящий интерфейс. укажите его.