@MrDZ

Не регистрируется телефон через IPSec-туннель mikrotik-fortigate?

Добрый день, на удаленных объектах часто не регистрируются телефоны. Сети доступны, грубо говоря пинг есть. Связь между центральным офисом и удаленными филиалами организован через ipip tunnet + ipsec.
На микротиках обнаружил в connection tracking в этот момент вижу такую картину:
SAC protocol=udp src-address=10.5.0.100:5060
dst-address=172.1.0.15:5060 reply-src-address=172.1.0.15:5060
reply-dst-address=внешний ip:5060 timeout=2m28s orig-packets=6
orig-bytes=2 955 orig-fasttrack-packets=0 orig-fasttrack-bytes=0
repl-packets=6 repl-bytes=3 489 repl-fasttrack-packets=0
repl-fasttrack-bytes=0 orig-rate=0bps repl-rate=0bps

где 10.5.0.100 - удаленный sip телефон
172.1.0.15 - сервер телефонии в филиале

reply-dst-address= ожидаемый ответ почему-то внешний ip роутера. Временно помогает сброс сессии на микротике.
На микротике есть что то вроде sip helper , я так понимаю. enable или disable этой функции ни как не помог.
Отдельно в firewall или nat правила для телефона ни как не настраивал.
  • Вопрос задан
  • 87 просмотров
Пригласить эксперта
Ответы на вопрос 2
Keffer
@Keffer
Delenn Test Group
С телефонией по L3 у микротика плохо. Да и не только у микротика к слову сказать. Для телефонии православнее всего создавать отдельный vlan и гонять его между точками по MPLS\VPLS а на конечных устройствах куда телефоны подключаются, создавать access порты в этот вилан.
Ответ написан
@MrDZ Автор вопроса
Видимо nat тут при делах. Правильно ли я понимаю:
Когда микротик включают, телефонный шлюз начинает искать сервер телефонии, но найти его не может т.к. пока vpn поднимется, пока динамическая маршрутизация построится. И поэтому reply-dst-address в сессии имеет внешний ip микротика (почему эта сессия так и остаётся - другой вопрос). Сделал route type blackhole в ту сеть, наблюдаю - пока всё хорошо.
Ответ написан
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации
Похожие вопросы