+7 495 320-55-52
- Назад
- Телефоны
- +7 495 320-55-52
- Заказать звонок
info@mikrotik.moscow
г. Москва, ул. Бакунинская, 84
Пн-Пт: 09-00 до 18-00
Сб-Вс: выходной

VOIP и NAT

VOIP и NAT, RouterOS

Deathlok

Guest

22.06.2016 18:13:00

Всем привет, пытаюсь разобраться с NAT-проблемами в VoIP (звуком «в одну сторону»). Сейчас у меня два сценария.

Первый: SIP-провайдер → Mikrotik CCR как шлюз → SIP PBX сервер (Asterisk) → роутер клиента Mikrotik Routerboard → SIP-устройства (Gigaset и Grandstream).

Второй: SIP-провайдер → Mikrotik CCR как шлюз → роутер клиента Mikrotik Routerboard → SIP PBX сервер (Asterisk), на той же подсети несколько SIP-устройств → ещё один роутер клиента Mikrotik Routerboard → SIP-устройства.

Пока что я заставил все свои устройства из сети с NAT использовать разные SIP-порты, например: Gigaset1 — 5060, Gigaset2 — 5061, Gigaset3 — 5062. Не уверен, правильно ли это.

Кроме того, заставил устройство использовать тот же диапазон портов RTP, что и у Asterisk: 10000-20000. Тоже не уверен, правильно ли так делать.

Для второго сценария настроил на RB с PBX такие правила firewall и NAT:

# jun/22/2016 20:09:48 by RouterOS 6.28
# software id = 4X3N-4VBP
#

/ip firewall filter
add chain=forward comment="РАЗРЕШИТЬ ПОДКЛЮЧЕНИЯ/ОТВЕТЫ ASTERISK К ИНТЕРНЕТУ" protocol=udp src-address=192.168.2.200
add chain=forward comment="РАЗРЕШИТЬ ПЕРЕАДРЕСАЦИЮ К ВНУТРЕННЕЙ СЕТИ (LAN)" dst-address=192.168.2.200 dst-port=5060,10000-20000 protocol=udp

/ip firewall mangle
add action=change-dscp chain=prerouting comment="ИЗМЕНЕНИЕ DSCP ДЛЯ SIP" dst-port=5060-5080 in-interface=ether1-WAN new-dscp=44 protocol=udp
add action=change-dscp chain=prerouting comment="ИЗМЕНЕНИЕ DSCP ДЛЯ SIP" dst-port=5060-5080 in-interface=ether3-VOIP-master new-dscp=44 protocol=udp
add action=change-dscp chain=prerouting comment="ИЗМЕНЕНИЕ DSCP ДЛЯ RTP" dst-port=10001-20000 new-dscp=46 protocol=udp
add action=change-dscp chain=prerouting comment="ИЗМЕНЕНИЕ DSCP ДЛЯ RTP - GIGASET" dst-port=5004-5020 new-dscp=46 protocol=udp

/ip firewall nat
add action=dst-nat chain=dstnat comment="SIP/RTP Centralino" dst-address=172.18.3.40 dst-port=5060,10000-10020 log=yes protocol=udp to-addresses=192.168.2.200
add action=masquerade chain=srcnat out-interface=ether1-WAN

Где 192.168.2.200 — IP моего Asterisk. На первый сценарий правил пока нет.

Как уже сказал, не уверен, правильно ли всё это и нужно ли что-то ещё, чтобы всё заработало стабильно. Сейчас вроде работает, но не знаю, просто совпадение это или нет.

Есть советы? Большое спасибо!

Taner

Guest

22.11.2018 09:56:00

Здравствуйте, нужна ваша помощь. У меня проблема с RTP media. У меня роутер Microtik Router Board HAP lite с Router OS 6.42. Я использую Asterisk + Asterisk GUI 2.0 на Raspberry Pi3 B+. В локальной сети все VoIP-клиенты могут общаться друг с другом. Но если я вывожу клиента за пределы LAN, то работает только SIP. Клиент может звонить, но нет ни голоса, ни аудио между участниками звонка. Я думаю, проблема как-то связана с портами RTP 10000-20000. Нужно ли что-то особенное настраивать для перенаправления RTP-портов?

sindy

Guest

26.11.2018 17:19:00

Лучшее решение — использовать VPN, чтобы телефоны клиентов видели Asterisk без NAT. Если это невозможно, можно попробовать некоторые обходные варианты, приведённые ниже, но они никогда не будут так хороши, как VPN. В некоторых сценариях NAT можно использовать SIP NAT helper, в других — он только усугубляет ситуацию. В целом, helper полезен для телефонов в локальной сети, подключающихся к PBX из интернета, но не наоборот. Если же Asterisk работает на частном IP за NAT, а телефоны клиентов подключаются к нему из-за других NAT, и при этом у NAT-устройств клиентов нет SIP helper, то заставить это всё работать будет гораздо сложнее или невозможно.

Если вы можете выделить диапазон UDP-портов на публичном IP Mikrotik для VoIP-сервиса и пробросить их на частный IP Asterisk, то можно указать Asterisk, что он доступен извне по этому публичному IP и может использовать этот диапазон UDP-портов. Тогда он будет корректно заполнять SIP-сообщения и, скорее всего, автоматически определять удалённые RTP-сокеты по источнику, так что SIP helper на NAT-устройствах телефонов не потребуется. В этом случае нужно отключить SIP helper на Mikrotik у Asterisk, так как он не поддерживает автоматическое обучение и блокирует RTP от клиентов к Asterisk.

Если всё вышесказанное непонятно, покажите схему вашей топологии.

Taner

Guest

26.11.2018 21:22:00

Привет. Микротик роутер — RB941-2nD, Router OS версия 6.43.4. Проблема у меня с голосовой связью. Я использую Asterisk на Raspberry Pi 3 B+. Топология простая: провайдер ← --WAN LAN ←– Pi3. Я создал два правила фильтрации для SIP порта 5060 и диапазона портов 10 000–20 000, а также два правила NAT для этих же портов. SIP работает отлично, а вот диапазон 10 000–20 000 — нет. Я пробовал поставить хост с Asterisk в DMZ, создал новое NAT-правило для проброса всех портов на этот хост, и голосовая связь между SIP-клиентами заработала. Потом удалил NAT-правило для DMZ, и голос снова заработал между клиентами. Я не понимаю, почему так. Пробовал отключить SIP-хелпер — не помогает. Да, я понимаю, что с выставлением SIP в публичную сеть могут быть проблемы, но я использую Asterisk для учебных целей. Хочу подключать SIP-клиентов снаружи без VPN — так проще, и не нужно на стороне клиентов настраивать VPN, просто дать им SIP-аккаунт. Сейчас столкнулся с брутфорс-атаками... Пока использую Mangle, Raw и чёрные списки, но понимаю, что это работает не очень хорошо. Схема блокирует IP из черного списка, но не все адреса... Смотрю логи Asterisk и вручную добавляю IP в черный список почти ежедневно. Следующий вопрос: как лучше всего защитить RouterOS от флуда и брутфорс-атак? Например, мне нравится идея использовать нестандартные порты, чтобы обойти брутфорс. Как можно поменять SIP-порт на нестандартный? Я пытался — это возможно, сделал, но голос опять не работает. Я меняю SIP-порт в Asterisk, открываю этот порт на Mikrotik в фильтрах и NAT, но голос всё равно не идёт. Не уверен, что произойдет, если в такой ситуации поставить Asterisk в DMZ, а потом удалить оттуда — пока не пробовал. Раньше я использовал Elastix VoIP сервер с Asterisk, потом простой маршрутизатор Huawei без “умных” функций, и схема с нестандартным SIP-портом и стандартным диапазоном 10 000–20 000 udp портов работала отлично с простым пробросом портов через NAT. Что-то с RouterOS здесь не так…

sindy

Guest

26.11.2018 22:21:00

Можешь выложить экспорт своей настройки файрвола? Много всего может пойти не так, но в принципе для RTP должна хватить одна правило dst-nat:

/ip firewall nat add chain=dstnat action=dst-nat protocol=udp dst-port=10000-19999 in-interface=your-wan-interface to-addresses=your.asterisk.private.ip

И поставить её в правильное место среди правил фильтра:

/ip firewall filter add chain=forward action=accept in-interface=your-wan-interface connection-nat-state=dstnat.

Taner

Guest

27.11.2018 18:21:00

Всё в порядке, но я не понимаю, зачем мне нужно ставить Asterisk-хост в DMZ, а потом выводить его из DMZ, чтобы активировать голосовую связь по UDP на портах с 10 000 по 20 000? Это очень странно... Честно говоря, у меня нет объяснения.

sindy

Guest

27.11.2018 19:20:00

Mikrotik не предлагает настройку DMZ в виде одной кнопки. Для меня DMZ — это когда ты говоришь файрволлу перенаправлять все входящие из интернета подключения с WAN-адреса самого файрволла на конкретный адрес в локальной сети. В Mikrotik такое поведение реализуется одной dst-nat правилом, которое смотрит только на in-interface и/или dst-address, но не учитывает протокол, dst-port и прочее.

Если ты, допустим, не хочешь просто перенаправлять всё из внешней сети на Asterisk, а только SIP-сигнализацию и RTP, я предложил правило, ограниченное UDP (который, предположительно, несет RTP) и диапазоном портов 10000-19999. Можно назвать это частичным DMZ. К списку портов также можно добавить 5060, чтобы покрыть всё одним правилом.

Я вообще не понимаю, что ты имеешь в виду, говоря, что «положил Asterisk в DMZ», а потом убрал его. Где ты это настраивал? На Asterisk? На Mikrotik? Или где-то ещё?

И ещё: для регистрации клиентов достаточно одного dst-nat правила, а для trunk peers тебе понадобится ещё src-nat правило для SIP-сигнализации, потому что в этом случае Asterisk может первым отправлять пакет на peer.

mystmoin

Guest

21.10.2020 16:31:00

У меня есть роутер Mikrotik, возникли проблемы с IP-телефонией. У меня частная локальная сеть, и IP-телефоны Cisco централизованы с головного офиса. Для маршрутизации между офисами я использую роутер Cisco. Уже установлено 40 Mikrotik, и во всех них я подключил IP-телефоны, предоставленные головным офисом. Они дали IP TFTP-сервера для маршрутизации IP-телефонов и диапазон IP-адресов. Я сделал статические IP-адреса, добавил маршрут с IP TFTP, и в самих IP-телефонах вручную указал их IP с предоставленным TFTP. Но проблема — односторонний трафик, IP-телефоны не регистрируются. Я связался с офисом, они сказали, что проблема в роутере Mikrotik. Можете помочь с настройкой? У меня есть один внешний IP на port1, частные IP для маршрутизации между офисами на port2, а на port3 — мастер-порт для локальной сети. Правила NAT — masquerade, других правил нет. Что мне делать, чтобы всё заработало? Пожалуйста, подскажите.

sindy Guest	#9 0 22.10.2020 09:01:00 Создайте отдельную тему, посвящённую вашей проблеме, вместо того чтобы цепляться за слабо связанную с ней. Опубликуйте экспорт конфигурации Mikrotik в этой новой теме (при условии, что проблема одинаковая на всех 40 устройствах). Смотрите автоматическую подпись ниже, там указано, как не допустить утечки конфиденциальной информации. Отредактируйте свой вышеуказанный пост, добавив ссылку на эту новую тему.

Читают тему

Главная Каталог 0 Корзина 0 Избранные Кабинет 0 Сравнение Акции Контакты Услуги Бренды Отзывы Компания Лицензии Документы Реквизиты Поиск Блог Обзоры