Почему голос идет в одну сторону?

Question

[Вадим]

Есть 2 офиса с Микротиками, и поднятым OVPN между ними.
В первом офисе стоит Elastix. Во втором офисе должны регаться на него софтфонами, регистрация идет, а вот голос ходит только в одну сторону...
VPN работает на 1194 порту, он проброшен в Filter rules. Также добавлены роуты ospf. В чем может быть проблема прохождения голоса через VPN? В какую сторону копать?

Comments

[mureevms]

NAT? тогда копать в эту сторону. Вероятно порты 10000:20000 не проходят между клиентом и сервером

Answer 1

[Вадим]

Извиняюсь, забыл отписаться на счет нынешней проблемы.
Отвечу на последний ответ.
1. Сети разные.
2. Один пул для VPN,другой для сети.
3. Нат на Elastix и VPN не используется
4. Без OSPF не ходили пинги и не было доступа в другую сеть.
А теперь вернусь к сути своего вопроса, он решился только полной перенастройки VPN с 0. Если кому то еще интересна какая либо информация, задавайте вопросы, отвечу =)
Всем спасибо =)

Comments

[Evgeniy]

Каким образом в итоге решили вопрос, чего не хватало в вашей настройке изначально?

[Вадим]

Евгений: в том то и дело, что я ничего нового не добавлял...

Answer 2

[rediskus]

Голос идёт только ИЗ второго офиса, а ВО второй офис не идёт? Тогда посмотрите tcpdump ответные пакеты с elastix. Скорее всего они идут с адресом назначения=адресу шлюза по умолчанию в первом офисе. Если так правьте настройки elastix в части локальных сетей, он считает подсеть второго офиса внешней и шлёт ответные пакеты не верно.

Comments

[Вадим]

дамп все криво показывал, т.е при мониторинге он подставлял то, внешний IP, то нужный(внутренний) IP и в итоге rtp терялся. К сожалению пример дампа уже не могу предоставить. Спасибо =)

Answer 3

[Azazel PW]

Как чаще всего бывает проблема с фаерволом
по TCP устанавливается соединение,
голос идет в UDP
С первого узла UDP пакеты ходят, а с со второго не ходят.
============
Либо запрещен прием UDP пакетов на 1 узле, с адреса второго.
Либо запрещена отправка UDP пакетов со второго узла до первого.
============

Comments

[Вадим]

UDP должен был ходить по VPN, и даже с пробросами оно не работало

[Maksim]

Так а как по суди должно было быть?:)
Сумбур, туннель для чего поднимается - для того чтоб в нем ходило что должно ходить.
Аль вы подняли тунель, а трафик пускаете мимо.

[Вадим]

Maksim: почему ДОЛЖНО было быть? Оно так и есть. Почему трафик пропускается мимо? Он идет куда нужно.

[Maksim]

Вадим: Так вы сами написали что Должен был ходить по ВПН - от сюда вывод должен был, а не ходил.

В вашем случае должно было все просто получится (Адресация с "потолка"):

К примеру офис 1:
1.Сеть 192.168.2.0/24
2.Еластикс в этой сети
3. ОпенВНП x.x.x.1/31
4.Прописан статический маршрут 192.168.1.0/24 через OPENVPN тунель

второй офис:

1.Сеть 192.168.1.0/24
2.Телефоны тут
3.ОПЕНВПН x.x.x.2/31
4.Прописан статический маршрут 192.168.2.0/24 через OPENVPN

И без всяких НАТ, OSPF (зачем вам динамическая маршрутизация между двумя офисами?)

P.S.
Единственно чтобы не было запрещающих (SIP,RTP)...для начала можно выключить (блокирующие правила) а потом включить если есть сомнение

Answer 4

[Maksim]

Ну начнем с того что на роутерах Микротик есть странная штука как SIP ALG (не знаю насколько она хорошо работает но стоит выключить), не совсем понятна топология сети, где нибудь используется NAT (На одном из микротиков, если да то вопрос зачем они там если можно объявить сети статическими маршрутами).
Чуть больше информации.
1. какая сеть у офиса 1 и 2 x.x.x.x маска x.x.x.x
2. как настроен OPENVPN (адресация)
3. используется ли НАТ, если да то может стоит отказаться от него?
4.OSPF - у вас настолько большая сеть?

Comments

[Evgeniy]

А разве OpenVPN пропускает UDP трафик в Mikrotik,
… если не ошибаюсь разработчики RouterOS отказались от этой идеи.
Удалось ли вам все-таки корректно настроить VoIP внутри OpenVPN в Mikrotik, в чем была проблема?

[Maksim]

Евгений: Ну во превый они не отказались они так и не сделали возможность поднятия тунеля по протоколу UDP (вроде как в 7 версии планируют и UDP и по статическим ключам) по ТСP должно работать, а знаете почему - хотя бы по тому что в одну сторону голос гуляет :)
Но судя по тому что человек молчит возможно не так важно.

[Maksim]

Стоп он не молчит отписал, не могу привыкнуть как в тостере все устроено.
Работает - ну и самое главное.

[Evgeniy]

Maksim: да, но это радует ждем 7 версию)) так в чем же была у вас проблема?

[Maksim]

Евгений: Ну судя по сообщению полная переустановка OPENVPN...одни загадки.

[Вадим]

Maksim: Евгений: по поводу UDP трафика... пробросов дополнительных не делал для VPN, только проброс самого порта VPN (TCP). Почему помогла именно переустановка VPN, сказать не могу =) Если прилетят новые баги и я в них все же смогу разобраться, я Вам скажу =)

[Maksim]

Вадим: И вот тут самый важный вопрос, ОПЕНВПН тунель поднимается обоими микротиками? т.е. один микротик у вас сервер второй у вас клиент, или один микротик сервер и на Elastix стоит OPEVPN клиент который подключается к микротику который выполняет роль сервера?
Мне очень настораживает ваша фраза я переустановил ОПЕНВПН (на микротике вроде как и не возможно переустановить его, удалить конфигурацию и заново это другой вопрос)

[Вадим]

Maksim: "Есть 2 офиса с Микротиками, и поднятым OVPN между ними. ". Окай, не переустановил, перенастроил, т.е сгенерировал новые ключи, удалили пробросы, пулы, пользователей, вообщем почистил ВСЕ, связанное с настройкой OVPN, после заново все по тем же пунктам создал по новому, т.е с учетом создание новых правил, ключей и тд, Переустановил.