+7 495 320-55-52
- Назад
- Телефоны
- +7 495 320-55-52
- Заказать звонок
info@mikrotik.moscow
г. Москва, ул. Бакунинская, 84
Пн-Пт: 09-00 до 18-00
Сб-Вс: выходной

3CX NAT при использовании 2 серверов

3CX NAT при использовании 2 серверов, RouterOS

stoneage

Guest

21.02.2020 22:04:00

Привет, я новичок в работе с Mikrotik и у меня есть особый вопрос к настоящим профи. Я установил два сервера 3CX в одной сети. 3CX 1: 192.168.2.183, 3CX 2: 192.168.2.182. Моя конфигурация файрвола выглядит так: (ПОРТЫ ДЛЯ 3CX 1:) /ip firewall nat add chain=dstnat action=dst-nat to-addresses=192.168.2.183 to-ports=5001 protocol=tcp dst-port=5001 in-interface-list=WAN comment=“3CX Presence and Provisioning HTTPS” /ip firewall nat add chain=dstnat action=dst-nat to-addresses=192.168.2.183 to-ports=5060 protocol=udp dst-port=5060 in-interface-list=WAN comment=“3CX SIP UDP” /ip firewall nat add chain=dstnat action=dst-nat to-addresses=192.168.2.183 to-ports=5060 protocol=tcp dst-port=5060 in-interface-list=WAN comment=“3CX SIP TCP” /ip firewall nat add chain=dstnat action=dst-nat to-addresses=192.168.2.183 to-ports=5061 protocol=tcp dst-port=5061 in-interface-list=WAN comment=“3CX SIP TLS” /ip firewall nat add chain=dstnat action=dst-nat to-addresses=192.168.2.183 to-ports=9000-10999 protocol=udp dst-port=9000-10999 in-interface-list=WAN comment=“3CX Media UDP” /ip firewall nat add chain=dstnat action=dst-nat to-addresses=192.168.2.183 to-ports=5090 protocol=tcp dst-port=5090 in-interface-list=WAN comment=“3CX Tunnel TCP” /ip firewall nat add chain=dstnat action=dst-nat to-addresses=192.168.2.183 to-ports=5090 protocol=udp dst-port=5090 in-interface-list=WAN comment=“3CX Tunnel UDP” /ip firewall filter add chain=input action=accept connection-state=established comment=“3CX” /ip firewall filter add chain=input action=accept connection-state=related /ip firewall filter add chain=forward action=accept connection-state=established /ip firewall filter add chain=forward action=accept connection-state=related /ip firewall filter add chain=forward action=drop connection-state=invalid /ip firewall filter add chain=input action=drop in-interface=WAN /ip firewall nat add chain=srcnat action=masquerade out-interface=WAN comment=“3CX MASQ” (ПОРТЫ ДЛЯ 3CX 2:) /ip firewall nat add chain=dstnat action=dst-nat to-addresses=192.168.2.182 to-ports=5101 protocol=tcp dst-port=5101 in-interface-list=WAN comment=“3CX-Test Presence and Provisioning HTTPS” /ip firewall nat add chain=dstnat action=dst-nat to-addresses=192.168.2.182 to-ports=5160 protocol=udp dst-port=5160 in-interface-list=WAN comment=“3CX-Test SIP UDP” /ip firewall nat add chain=dstnat action=dst-nat to-addresses=192.168.2.182 to-ports=5160 protocol=tcp dst-port=5160 in-interface-list=WAN comment=“3CX-Test SIP TCP” /ip firewall nat add chain=dstnat action=dst-nat to-addresses=192.168.2.182 to-ports=5161 protocol=tcp dst-port=5161 in-interface-list=WAN comment=“3CX-Test SIP TLS” /ip firewall nat add chain=dstnat action=dst-nat to-addresses=192.168.2.182 to-ports=11000-12999 protocol=udp dst-port=11000-12999 in-interface-list=WAN comment=“3CX-Test Media UDP” /ip firewall nat add chain=dstnat action=dst-nat to-addresses=192.168.2.182 to-ports=5190 protocol=tcp dst-port=5190 in-interface-list=WAN comment=“3CX-Test Tunnel TCP” /ip firewall nat add chain=dstnat action=dst-nat to-addresses=192.168.2.182 to-ports=5190 protocol=udp dst-port=5190 in-interface-list=WAN comment=“3CX-Test Tunnel UDP”. Все работает хорошо, кроме проверки файрвола! Все зависит от того, какое правило для Media UDP стоит впереди. Первое подходящее правило заставляет настроенный сервер работать. Второй сервер получает сообщения об ошибках, такие как “Тест полного конуса не выполнен” или “Сопоставление не совпадает [Порт]. Сопоставление [ДругойПорт]”. Никакой идеи, как это исправить? С наилучшими пожеланиями, Кристиан.

stoneage Guest	#2 0 13.03.2020 22:00:00 Привет! Ты используешь разные порты для RTP на обоих серверах? С наилучшими пожеланиями, Кристиан

stoneage

Guest

13.03.2020 22:02:00

Привет, я сделал это! Один сервер работает действительно хорошо. Но у другого проблемы с RTP-портами. Когда я спросил 3CX, они сказали, что это должно быть связано с маршрутизатором mikrotik, потому что проверка брандмауэра использует новые измененные порты. Но это не работает без ошибок полного конуса… всего хорошего, Кристиан

inteq Guest	#4 0 15.03.2020 15:02:00 Нет. Используйте UDP от 9000 до 10999. Один сервер на один публичный IP. Все порты являются UDP, кроме http и https. Кажется, диапазон был увеличен в каком-то обновлении. Убедитесь, что вы используете новый диапазон.

stoneage

Guest

15.03.2020 17:39:00

Хорошо, но как вы можете убедиться, что оба сервера используют (делят) один и тот же диапазон портов для RTP? Насколько я знаю, на маршрутизаторах Mikrotik можно перенаправлять только на один конкретный сервер? С наилучшими пожеланиями, Кристиан

CZFan

Guest

17.03.2020 21:06:00

3cx имеет возможность захвата пакетов, сделайте захват пакетов на сервере 3cx, просмотрите в Wireshark, чтобы убедиться, что правильные номера портов получены сервером 3cx от Mikrotik. Если да, то зарегистрируйте вызов с 3cx, если нет, вернитесь сюда с деталями захвата пакетов.

anav

Guest

15.03.2020 19:14:00

Единственный способ — это использование трансляции портов. Два сервера за одним и тем же NAT в общем не могут использовать одни и те же порты. Но если порты назначения (через которые подключаются внешние пользователи) разные, то роутер будет отслеживать встречно-движущийся трафик (так мне кажется). Итак, порт назначения 50 для 192.168.0.10 на порт=50 должен работать нормально. Таким образом, порт назначения =100 для 192.168.20.10 на порты=50 тоже должен работать нормально.

complex1

Guest

15.03.2020 21:13:00

@stoneage Я хочу предложить упростить правила NAT, как предложил @anav, для Серверов 1 и 2. Используйте стандартные фильтры. Вам не нужно добавлять или изменять их. Не используйте значения по умолчанию при установке 3CX Сервер 2, а используйте порты, которые вы хотите использовать. После установки вы уже не сможете их изменить. После установки Сервер 2 войдите в 3CX, перейдите в Настройки > Параметры и проверьте или измените FIRSTEXTPORT: 11000 и LASTEXTPORT: 12499. Также проверьте или измените WEBRTC_WRTC_FIRST_PORT: 12500 и WEBRTC_WRTC_LAST_PORT: 12999. Надеюсь, это не будет конфликтовать с диапазоном IVR_RTP, который работает в 12000-13999. Надеюсь, это поможет.

stoneage

Guest

16.03.2020 15:32:00

Привет, я попытался сократить диапазон портов для обоих серверов. Моя текущая конфигурация: 3CX 1 FIRSTEXTPORT на порту 9000 LASTEXTPORT на порту 9499 WEBRTC_WRTC_FIRST_PORT на порту 9500 WEBRTC_WRTC_LAST_PORT на порту 9999 3CX 2 FIRSTEXTPORT на порту 10000 LASTEXTPORT на порту 10499 WEBRTC_WRTC_FIRST_PORT на порту 10500 WEBRTC_WRTC_LAST_PORT на порту 10999 Теперь почти всё работает - НО: Теперь у меня возникла проблема с SIP ALG… и первый порт имеет проблему с полным конусом - есть идеи? Извините, но я получаю ту же картинку снова. Другая проблема в том, что SIP ALG уже отключен на Mikrotik (!) Извините, снова эта картинка. Версия прошивки и программного обеспечения Routerboard - 6.46.4 (последняя стабильная версия). С наилучшими пожеланиями, Кристиан.

complex1

Guest

#10

16.03.2020 16:30:00

Пожалуйста, покажите (новые) NAT-правила 3CX 1 и 3CX 2. Почему вы решили уменьшить диапазон портов? Мне не хватает результатов проверки фаервола 3CX 1. Работают ли АТС на Debian или Windows? Если на Debian, проверьте iptables. Если на Windows, проверьте правила фаервола или полностью отключите фаервол. Отключение SIP ALG кажется мне приемлемым.

stoneage Guest	#11 0 16.03.2020 18:23:00 Привет, это тот же результат — просто другие порты. Я использую Linux — думаю, это Debian? Но это образ, собранный от 3CX — понятия не имею, какие данные для входа использовать в Putty (ssh)? Всего наилучшего, Кристиан

anav Guest	#12 0 16.03.2020 18:51:00 У меня базовое VOIP-соединение, включен SIP ALG, но прямые медиа не выбраны.

complex1 Guest	#13 0 17.03.2020 17:59:00 @stoneage, я предлагаю сначала настроить всё правильно с одним АТС, а потом добавлять вторую.

stoneage Guest	#14 0 07.04.2020 09:58:00 Привет! Понадобилось время, но теперь я знаю, что проблема была с моим роутером tp-link. Сейчас я использую комплект mikrotik LHG LTE6 (RBLHGR&R11e-LTE6). Теперь публичный IP адрес напрямую на WAN интерфейсе роутера mikrotik… всё работает, всё подключено. Спасибо за ваши ответы! Всего наилучшего, Кристиан.

Читают тему

Главная Каталог 0 Корзина 0 Избранные Кабинет 0 Сравнение Акции Контакты Услуги Бренды Отзывы Компания Лицензии Документы Реквизиты Поиск Блог Обзоры