http://mikrotik.moscow Новое в теме VOIP и NAT форума RouterOS на сайте Mikrotik.moscow [mikrotik.moscow] ru http://backend.userland.com/rss2 Sun, 05 Apr 2026 04:59:01 +0300 VOIP и NAT RouterOS в форуме RouterOS.
Создайте отдельную тему, посвящённую вашей проблеме, вместо того чтобы цепляться за слабо связанную с ней. Опубликуйте экспорт конфигурации Mikrotik в этой новой теме (при условии, что проблема одинаковая на всех 40 устройствах). Смотрите автоматическую подпись ниже, там указано, как не допустить утечки конфиденциальной информации. Отредактируйте свой вышеуказанный пост, добавив ссылку на эту новую тему.
22.10.2020 09:01:00, sindy.]]> http://mikrotik.moscow/forum/forum57/89436-voip-i-nat/message436912 http://mikrotik.moscow/forum/forum57/89436-voip-i-nat/message436912 Thu, 22 Oct 2020 09:01:00 +0300 RouterOS VOIP и NAT RouterOS в форуме RouterOS.
У меня есть роутер Mikrotik, возникли проблемы с IP-телефонией. У меня частная локальная сеть, и IP-телефоны Cisco централизованы с головного офиса. Для маршрутизации между офисами я использую роутер Cisco. Уже установлено 40 Mikrotik, и во всех них я подключил IP-телефоны, предоставленные головным офисом. Они дали IP TFTP-сервера для маршрутизации IP-телефонов и диапазон IP-адресов. Я сделал статические IP-адреса, добавил маршрут с IP TFTP, и в самих IP-телефонах вручную указал их IP с предоставленным TFTP. Но проблема — односторонний трафик, IP-телефоны не регистрируются. Я связался с офисом, они сказали, что проблема в роутере Mikrotik. Можете помочь с настройкой? У меня есть один внешний IP на port1, частные IP для маршрутизации между офисами на port2, а на port3 — мастер-порт для локальной сети. Правила NAT — masquerade, других правил нет. Что мне делать, чтобы всё заработало? Пожалуйста, подскажите.
21.10.2020 16:31:00, mystmoin.]]> http://mikrotik.moscow/forum/forum57/89436-voip-i-nat/message436911 http://mikrotik.moscow/forum/forum57/89436-voip-i-nat/message436911 Wed, 21 Oct 2020 16:31:00 +0300 RouterOS VOIP и NAT RouterOS в форуме RouterOS.
Mikrotik не предлагает настройку DMZ в виде одной кнопки. Для меня DMZ — это когда ты говоришь файрволлу перенаправлять все входящие из интернета подключения с WAN-адреса самого файрволла на конкретный адрес в локальной сети. В Mikrotik такое поведение реализуется одной dst-nat правилом, которое смотрит только на in-interface и/или dst-address, но не учитывает протокол, dst-port и прочее.

Если ты, допустим, не хочешь просто перенаправлять всё из внешней сети на Asterisk, а только SIP-сигнализацию и RTP, я предложил правило, ограниченное UDP (который, предположительно, несет RTP) и диапазоном портов 10000-19999. Можно назвать это частичным DMZ. К списку портов также можно добавить 5060, чтобы покрыть всё одним правилом.

Я вообще не понимаю, что ты имеешь в виду, говоря, что «положил Asterisk в DMZ», а потом убрал его. Где ты это настраивал? На Asterisk? На Mikrotik? Или где-то ещё?

И ещё: для регистрации клиентов достаточно одного dst-nat правила, а для trunk peers тебе понадобится ещё src-nat правило для SIP-сигнализации, потому что в этом случае Asterisk может первым отправлять пакет на peer.
27.11.2018 19:20:00, sindy.]]> http://mikrotik.moscow/forum/forum57/89436-voip-i-nat/message436910 http://mikrotik.moscow/forum/forum57/89436-voip-i-nat/message436910 Tue, 27 Nov 2018 19:20:00 +0300 RouterOS VOIP и NAT RouterOS в форуме RouterOS.
Всё в порядке, но я не понимаю, зачем мне нужно ставить Asterisk-хост в DMZ, а потом выводить его из DMZ, чтобы активировать голосовую связь по UDP на портах с 10 000 по 20 000? Это очень странно... Честно говоря, у меня нет объяснения.
27.11.2018 18:21:00, Taner.]]> http://mikrotik.moscow/forum/forum57/89436-voip-i-nat/message436909 http://mikrotik.moscow/forum/forum57/89436-voip-i-nat/message436909 Tue, 27 Nov 2018 18:21:00 +0300 RouterOS VOIP и NAT RouterOS в форуме RouterOS.
Можешь выложить экспорт своей настройки файрвола? Много всего может пойти не так, но в принципе для RTP должна хватить одна правило dst-nat:

/ip firewall nat add chain=dstnat action=dst-nat protocol=udp dst-port=10000-19999 in-interface=your-wan-interface to-addresses=your.asterisk.private.ip

И поставить её в правильное место среди правил фильтра:

/ip firewall filter add chain=forward action=accept in-interface=your-wan-interface connection-nat-state=dstnat.
26.11.2018 22:21:00, sindy.]]> http://mikrotik.moscow/forum/forum57/89436-voip-i-nat/message436908 http://mikrotik.moscow/forum/forum57/89436-voip-i-nat/message436908 Mon, 26 Nov 2018 22:21:00 +0300 RouterOS VOIP и NAT RouterOS в форуме RouterOS.
Привет. Микротик роутер — RB941-2nD, Router OS версия 6.43.4. Проблема у меня с голосовой связью. Я использую Asterisk на Raspberry Pi 3 B+. Топология простая: провайдер ← --WAN  LAN ←– Pi3. Я создал два правила фильтрации для SIP порта 5060 и диапазона портов 10 000–20 000, а также два правила NAT для этих же портов. SIP работает отлично, а вот диапазон 10 000–20 000 — нет. Я пробовал поставить хост с Asterisk в DMZ, создал новое NAT-правило для проброса всех портов на этот хост, и голосовая связь между SIP-клиентами заработала. Потом удалил NAT-правило для DMZ, и голос снова заработал между клиентами. Я не понимаю, почему так. Пробовал отключить SIP-хелпер — не помогает. Да, я понимаю, что с выставлением SIP в публичную сеть могут быть проблемы, но я использую Asterisk для учебных целей. Хочу подключать SIP-клиентов снаружи без VPN — так проще, и не нужно на стороне клиентов настраивать VPN, просто дать им SIP-аккаунт. Сейчас столкнулся с брутфорс-атаками... Пока использую Mangle, Raw и чёрные списки, но понимаю, что это работает не очень хорошо. Схема блокирует IP из черного списка, но не все адреса... Смотрю логи Asterisk и вручную добавляю IP в черный список почти ежедневно. Следующий вопрос: как лучше всего защитить RouterOS от флуда и брутфорс-атак? Например, мне нравится идея использовать нестандартные порты, чтобы обойти брутфорс. Как можно поменять SIP-порт на нестандартный? Я пытался — это возможно, сделал, но голос опять не работает. Я меняю SIP-порт в Asterisk, открываю этот порт на Mikrotik в фильтрах и NAT, но голос всё равно не идёт. Не уверен, что произойдет, если в такой ситуации поставить Asterisk в DMZ, а потом удалить оттуда — пока не пробовал. Раньше я использовал Elastix VoIP сервер с Asterisk, потом простой маршрутизатор Huawei без “умных” функций, и схема с нестандартным SIP-портом и стандартным диапазоном 10 000–20 000 udp портов работала отлично с простым пробросом портов через NAT. Что-то с RouterOS здесь не так…
26.11.2018 21:22:00, Taner.]]> http://mikrotik.moscow/forum/forum57/89436-voip-i-nat/message436907 http://mikrotik.moscow/forum/forum57/89436-voip-i-nat/message436907 Mon, 26 Nov 2018 21:22:00 +0300 RouterOS VOIP и NAT RouterOS в форуме RouterOS.
Лучшее решение — использовать VPN, чтобы телефоны клиентов видели Asterisk без NAT. Если это невозможно, можно попробовать некоторые обходные варианты, приведённые ниже, но они никогда не будут так хороши, как VPN. В некоторых сценариях NAT можно использовать SIP NAT helper, в других — он только усугубляет ситуацию. В целом, helper полезен для телефонов в локальной сети, подключающихся к PBX из интернета, но не наоборот. Если же Asterisk работает на частном IP за NAT, а телефоны клиентов подключаются к нему из-за других NAT, и при этом у NAT-устройств клиентов нет SIP helper, то заставить это всё работать будет гораздо сложнее или невозможно.

Если вы можете выделить диапазон UDP-портов на публичном IP Mikrotik для VoIP-сервиса и пробросить их на частный IP Asterisk, то можно указать Asterisk, что он доступен извне по этому публичному IP и может использовать этот диапазон UDP-портов. Тогда он будет корректно заполнять SIP-сообщения и, скорее всего, автоматически определять удалённые RTP-сокеты по источнику, так что SIP helper на NAT-устройствах телефонов не потребуется. В этом случае нужно отключить SIP helper на Mikrotik у Asterisk, так как он не поддерживает автоматическое обучение и блокирует RTP от клиентов к Asterisk.

Если всё вышесказанное непонятно, покажите схему вашей топологии.
26.11.2018 17:19:00, sindy.]]> http://mikrotik.moscow/forum/forum57/89436-voip-i-nat/message436906 http://mikrotik.moscow/forum/forum57/89436-voip-i-nat/message436906 Mon, 26 Nov 2018 17:19:00 +0300 RouterOS VOIP и NAT RouterOS в форуме RouterOS.
Здравствуйте, нужна ваша помощь. У меня проблема с RTP media. У меня роутер Microtik Router Board HAP lite с Router OS 6.42. Я использую Asterisk + Asterisk GUI 2.0 на Raspberry Pi3 B+. В локальной сети все VoIP-клиенты могут общаться друг с другом. Но если я вывожу клиента за пределы LAN, то работает только SIP. Клиент может звонить, но нет ни голоса, ни аудио между участниками звонка. Я думаю, проблема как-то связана с портами RTP 10000-20000. Нужно ли что-то особенное настраивать для перенаправления RTP-портов?
22.11.2018 09:56:00, Taner.]]> http://mikrotik.moscow/forum/forum57/89436-voip-i-nat/message436905 http://mikrotik.moscow/forum/forum57/89436-voip-i-nat/message436905 Thu, 22 Nov 2018 09:56:00 +0300 RouterOS VOIP и NAT RouterOS в форуме RouterOS.
Всем привет, пытаюсь разобраться с NAT-проблемами в VoIP (звуком «в одну сторону»). Сейчас у меня два сценария.

Первый: SIP-провайдер → Mikrotik CCR как шлюз → SIP PBX сервер (Asterisk) → роутер клиента Mikrotik Routerboard → SIP-устройства (Gigaset и Grandstream).

Второй: SIP-провайдер → Mikrotik CCR как шлюз → роутер клиента Mikrotik Routerboard → SIP PBX сервер (Asterisk), на той же подсети несколько SIP-устройств → ещё один роутер клиента Mikrotik Routerboard → SIP-устройства.

Пока что я заставил все свои устройства из сети с NAT использовать разные SIP-порты, например: Gigaset1 — 5060, Gigaset2 — 5061, Gigaset3 — 5062. Не уверен, правильно ли это.

Кроме того, заставил устройство использовать тот же диапазон портов RTP, что и у Asterisk: 10000-20000. Тоже не уверен, правильно ли так делать.

Для второго сценария настроил на RB с PBX такие правила firewall и NAT:

# jun/22/2016 20:09:48 by RouterOS 6.28  
# software id = 4X3N-4VBP  
#

/ip firewall filter  
add chain=forward comment="РАЗРЕШИТЬ ПОДКЛЮЧЕНИЯ/ОТВЕТЫ ASTERISK К ИНТЕРНЕТУ" protocol=udp src-address=192.168.2.200  
add chain=forward comment="РАЗРЕШИТЬ ПЕРЕАДРЕСАЦИЮ К ВНУТРЕННЕЙ СЕТИ (LAN)" dst-address=192.168.2.200 dst-port=5060,10000-20000 protocol=udp  

/ip firewall mangle  
add action=change-dscp chain=prerouting comment="ИЗМЕНЕНИЕ DSCP ДЛЯ SIP" dst-port=5060-5080 in-interface=ether1-WAN new-dscp=44 protocol=udp  
add action=change-dscp chain=prerouting comment="ИЗМЕНЕНИЕ DSCP ДЛЯ SIP" dst-port=5060-5080 in-interface=ether3-VOIP-master new-dscp=44 protocol=udp  
add action=change-dscp chain=prerouting comment="ИЗМЕНЕНИЕ DSCP ДЛЯ RTP" dst-port=10001-20000 new-dscp=46 protocol=udp  
add action=change-dscp chain=prerouting comment="ИЗМЕНЕНИЕ DSCP ДЛЯ RTP - GIGASET" dst-port=5004-5020 new-dscp=46 protocol=udp  

/ip firewall nat  
add action=dst-nat chain=dstnat comment="SIP/RTP Centralino" dst-address=172.18.3.40 dst-port=5060,10000-10020 log=yes protocol=udp to-addresses=192.168.2.200  
add action=masquerade chain=srcnat out-interface=ether1-WAN

Где 192.168.2.200 — IP моего Asterisk. На первый сценарий правил пока нет.

Как уже сказал, не уверен, правильно ли всё это и нужно ли что-то ещё, чтобы всё заработало стабильно. Сейчас вроде работает, но не знаю, просто совпадение это или нет.

Есть советы? Большое спасибо!
22.06.2016 18:13:00, Deathlok.]]> http://mikrotik.moscow/forum/forum57/89436-voip-i-nat/message436904 http://mikrotik.moscow/forum/forum57/89436-voip-i-nat/message436904 Wed, 22 Jun 2016 18:13:00 +0300 RouterOS