Asterisk теряет подключение к пиру за NAT?

Question

[.git/config]

Есть asterisk сервер 10.133.20.100
Есть vpn сервер 10.133.20.102
Есть клиенты в других сетях 192.168.*.*
Периодически возникает односторонняя работа звонков, а именно клиентам в 192.168.*.* позвонить невозможно, т.к. asterisk их не видит, но они звонят успешно. Чтобы можно было им позвонить, с их стороны необходимо перезагрузить телефоны.

Смотрю pjsip show endpoints

Работающий телефон

Contact:  1902/sip:1<code></code>902@10.133.20.102:50764;x-ast-or f8ec9b030b Avail        14.936

Вывод на VPN server по порту 50764

# cat /proc/net/nf_conntrack | grep 50764
ipv4     2 udp      17 116 src=10.8.0.22 dst=10.133.20.100 sport=5060 dport=5060 src=10.133.20.100 dst=10.133.20.102 sport=5060 dport=50764 [ASSURED] mark=0 zone=0 use=2

Вывод для неработающего пира

Contact:  1701/sip:1701@10.133.20.102:38180;x-ast-or e9f7dc35df Unavail       0.000

Вывод на VPN сервер по порту 38180

# cat /proc/net/nf_conntrack | grep 38180
ipv4     2 udp      17 27 src=10.133.20.100 dst=10.133.20.102 sport=5060 dport=38180 [UNREPLIED] src=10.133.20.102 dst=10.133.20.100 sport=38180 dport=5060 mark=0 zone=0 use=2

На vpn сервере настроен маскарадинг

-A POSTROUTING -s 10.8.0.0/24 -o enp1s0 -j MASQUERADE

Подскажите какие-то ключевые слова, как это продебажить?
nf_conntrack_max даже близко не занят, подключений всего 100-200 штук в nf_conntrack

Comments

[Drno]

телефон с астерикс пингуется в этот момент?

[.git/config]

Drno, Да, и в обратную сторону успешно звонит.

[Valentin Barbolin]

Зачем использовать NAT?

[.git/config]

Andrey Barbolin, клиенты в других сетях за vpn.

[Valentin Barbolin]

.git/config, Почему бы не настроить маршрутизацию?

[.git/config]

Andrey Barbolin,

На объекте стоит роутер со своей 192.168.X.0/24 сетью, на каждом объекте своя сеть
На роутере настроен openvpn туннель в 10.8.0.*/24 сети.
vpn сервер находится в сети 10.133.20.0/24
asterisk настроен ходить в 192.168.*.* сети через openvpn

Чтобы телефон на объекте работал, он со своим адресом 192.168.*.* приходит через туннель на vpn сервер, где маскарадинг подменяет его на адрес vpn сервера внутри сеть 10.133.20.102, и с адресом 102 он приходит на asterisk 10.133.20.100

Дополнительная сложность, что речь не только про телефонию. Компьютеры на объектах должны иметь доступ ко всем ресурсам сети 10.133.20.0/24, а настраивать везде маршрутизацию (а это десятки серверов) - накладно. Поэтому маскарадинг.

[Valentin Barbolin]

.git/config,
> настраивать везде маршрутизацию (а это десятки серверов) - накладно.
ничего накладного если знаешь как автоматизировать

openvpn позволяет пушить маршруты на клиентов, все маршруты можно настроить на одном сервере.

> он со своим адресом 192.168.*.* приходит через туннель на vpn сервер, где маскарадинг подменяет его на адрес vpn сервера внутри сеть 10.133.20.102
Получается, что обратного маршрута нет на самом сервере телефонии для работы без NAT.

В настройках пират разрешено использовать NAT?

> -A POSTROUTING -s 10.8.0.0/24 -o enp1s0 -j MASQUERADE
А че так? У тебя двойной нат? Сначала на роутере клиента потом на VPN сервере?

> Чтобы можно было им позвонить, с их стороны необходимо перезагрузить телефоны.
Хочешь мучасться дальше, уменьши время регистрации с 3600 до 60 секунд на стороне клиента.

Answer 1

[brar]

Скорее всего, на впн сервере протухает соединение по таймауту.
Копайте в сторону настройки хэлпера.
типа такого:

ct helper sip-5060 {
             type "sip" protocol udp;

Подробнее тут https://wiki.nftables.org/wiki-nftables/index.php/...

Но на самом деле лучше настроить site-to-site туннели на всех роутерах. И настроить маршрутизацию.