Mikrotik RB951G-2HnD – настройки для SIP телефонии.

Тема в разделе "Вопросы начинающих", создана пользователем Vig2001, 18 авг 2015.

  1. Vig2001

    Vig2001 Новый участник

    Здравствуйте,
    Подскажите как на Mikrotik RB951G-2HnD наиболее корректно настроить правила фильтрации и NATдля работы с Sipпровайдером. Пример требования к роутеру: «разрешить входящие соединения и исходящий трафик по протоколу UDP и TCP для STUN-сервер для адреса: 81.88.86.11 порт 3478,3479»?

    Или иначе: как разрешить входящие соединения к Sip-телефонам локальной сети 192.168.0.0/24, находящимся за NAT-ом по протоколу UDP и TCP для внешнего адреса: 81.88.86.11 и портам 3478,3479?
     
  2. Илья Князев

    Илья Князев Администратор Команда форума

    Если телефоны регистрируются на сервере провайдера на стандартных 5060-5061 то ничего делать не надо. Если на других - правьте firewall service ports.
    STUN отключите. Микротик поддерживает SIP ALG
     
  3. Vig2001

    Vig2001 Новый участник

    Как отключить на Микротик SIP ALG? Достаточно ли для этого в firewall service ports выполнить disable для сервиса под именем sip с портами 5060, 5061?
    Отключить проще, чем на всех Sip телефонах вносить изменения, к тому же Микротик выполняет роль холодного резерва для другого оборудования. Спасибо.
     
  4. Илья Князев

    Илья Князев Администратор Команда форума

    Да, достаточно.
     
  5. Dadka

    Dadka Новый участник

    добрый день. столкнулся с такой же проблемой.
    у меня VoIP Dlink не коннектится к SIP линии по 5060 порту.
    в настройках микротика правил в NAT по SIP телефонии нет, в Service Ports sip отплючил.
    нужно ли дополнительно что то настраивать в mikrotik?
     
  6. конфиг фаервола и NAT покажите
     
  7. Dadka

    Dadka Новый участник

  8. Dadka

    Dadka Новый участник

  9. У вас до микротика эта схема работал ?
     
  10. Dadka

    Dadka Новый участник

    до микротика у меня стоял тупой tplink, который nat-ил инет в сеть.
    схему http://prntscr.com/icbkus взял в инете, поскольку нужно было как то решать проблему. пока не работает.
     
  11. Проверьте STUN сервер на телефоне. Выключите. Если не поможет, тогда пробросьте на телефон порты 5060 и RTP порты которые указаны в настройках телефона.
     
  12. binx

    binx Новый участник

    Добрый вечер. Помогите пожалуйста еще одному страждущему.
    ОФИС1 внутри которой PBX 192.168.1.99, VOIP Адрес:192.168.1.98. В качестве роутера стоит микротик: WAN:80.234.35.100
    К нему через L2TP подключен другой офис сеть 192.168.0.0 WAN 88.200.157.210
    в которой подключены IP Телефоны.
    VPN адрес ОФИС 1 - 192.168.112.1
    VPN адрес ОФИС 2 - 192.168.112.11
    Проблема односторонняя слышимость если звонить на IP Телефон? слышно звонящего, со стороны IP телефона не слышно ничего., а если звонить с IP телефона то не слышно совсем.
    сигнализация проходит.
    Я так полагаю что моя проблема прекрасно описана на английском сайте:
    The audio traffic is handled by another protocol and to make matters worse, the port on which the audio traffic is sent is random. The NAT router may be able to handle the
    signalling traffic, but it has no way of knowing that the audio traffic is related to the signalling and should hence be passed to the same device the signalling traffic is passed to. As a result, the audio traffic is not translated properly between the address spaces
    делал анализ Wiresharkoм - показывает что пакеты останавливаются перед NAT со стороны ОФИСА 2 Тоесть данные по RTP протоколы упираются в NAT, вероятно не знают на какой порт идти.
    куда копать не знаю.
    SIP helper включал, отключал, также пытался отключать SIP direct
    на FIREWALL разрешены все входящие пакеты через VPN соединение

    0 D ;;; special dummy rule to show fasttrack counters
    chain=forward action=passthrough
    1 chain=input action=accept protocol=udp dst-port=1701 log=no log-prefix=""
    2 chain=input action=accept in-interface=<l2tp-vpn> log=no log-prefix=""
     
    Последнее редактирование: 14 апр 2018
  13. None

    None Новый участник

    вам не нужен NAT между офисами, нужно его отключить, и на время проверки отключите запрещающие правила в фаерволе
    покажите с обоих микротиков
    /ip firewall nat export
    /ip route export
     
  14. binx

    binx Новый участник

    Доброе утро. Спасибо за ответ. Проблему решил, у меня был косяк в правиле NAT. Для правила NAT подключения к интернету указал interface=all ppp. Это повлияло на мой l2tp vpn канал.
     
  15. Дежавю

    Дежавю Новый участник

    Подскажите глупому)))
    Есть несколько подсетей, все они сидят за Микротами, которые в свою очередь внешними портами сидят в еще одной "транспортной подсети".
    Эта транспортная подсеть "заканчивается" на "главном" Микроте, который подсоединен к Zentyal, выступающему в роли шлюза, у него есть белый IP.
    В "главном" Микроте, который выступает "источником" интернета для мелких настроен masquerade (srcnat).
    На локальных тачках в мелких подсетях всё OK.
    Недавно меняли "медь" на IP-телефоны Grandstream, и начались пляски.
    Вроде похожие проблемы, как и у всех. Провайдер связи - в Интернете с белым IP, на конечном Роутере у нас белый IP.
    Но у меня вопрос.
    1.Есть ли зависимость вероятности успеха от того, насколько дорогие и соответственно "умные" IP-телефоны стоят?
    2. Отключать ли мне для полноценной работы IP-телефонов в разделе Service_Ports sip? Если да, то на всех микротах или как?
    3. Если нет, то как улучшить ситуацию?)))
    Заранее благодарю за ответ.
     
  16. Илья Князев

    Илья Князев Администратор Команда форума

    Есть. Часто с более "умными" может быть больше проблем.
    Нарисовать схему сети. Я понимаю, что ваше описание вам понятно и просто. Но вот мне в уме приходится рисовать ВАШУ схему и не факт что я ее понял правильно.
     
  17. zaqik

    zaqik Новый участник

    Понимаю, что некропостинг, но это единственное, что нашлось в гугле по схожей с моей проблеме.
    Что делать если телефона два? Т.е. да, я могу пробросить RTP-порты строго на IP-адрес телефона пока он один, и всё, что будет прилетать извне на роутер на такие-то порты (порты RTP) будет безусловно форвардиться на телефон. Но когда телефонов несколько, и работают они одновременно - как сделать, чтоб микротик понимал, что на сервер телефонии (который в интернете) позвонил такой-то телефон (из моей локалки, которая за NAT-ом) и вот этот RTP-трафик предназначен для такого-то телефона, а вон тот - уже для другого?
     
  18. Илья Князев

    Илья Князев Администратор Команда форума

    Телефону сказать что NAT нету. Отключить STUN если включен.
    На Роутере IP->Firewall->Service-Port там проверить что включен SIP и что АТС у вас на портах 5060-5061. Если это не так - добавить порт в этот сервис.
     
  19. zaqik

    zaqik Новый участник

    Спасибо за ответ, но так перестаёт работать. Работает только один телефон (пусть будет программный, а не аппаратный), если:
    а) в нём включён STUN (если выключить - сервер телефонии, который, напоминаю, в интернет, это не АТС у меня в локалке, к которой я имел бы доступ, получает SIP с обратным серым адресом, и он там серый всегда пока не сделать Б и независимо от В)
    б) на микротике dstnat UDP по портам назначения 1024-65535 (также в правиле указан входящий интерфейс - соединение с интернетом) на адрес телефона (без этого весь RTP трафик не доходит до телефона, а отбрасывается на роутере)
    в) на микротике выключен SIP ALG (его включение ломает даже такую работу на костылях при активных А и/или Б, а при неактивных - работать ничего не начинает)
     
    Последнее редактирование: 25 окт 2020