Задать вопрос
@alex_terekhov
mikrotik

Настройка Polycom и фаервола, где может быть ошибка?

Всем привет, прошу у вас помощи, т.к сам уже задолбался и не знаю куда копать!
Суть проблемы: есть система ВКС Polycom RPG 300 и фаервол на микротике, никак не могу настроить нормальную связь по протоколу h323 поликома с внешним миром, на сайте поликома пишут что надо для связи нужно натом проборосить порт tcp 1720 - пробросил, трафик на него разрешил в правилах, далее для передачи видео и аудио нужно разрешить динамические порты udp 3230-3235, не совсем понял что это но в фаерволе разрешил трафик на этот диапазон портов, но связь почему то не идет, или я не вижу не слушу абонента или меня не видят, конфиг фаервола прилигаю ниже:
add chain=input comment=VPN dst-port=1701,500,4500 protocol=udp src-address-list=vpn
add chain=input dst-address=212.33.3.202 protocol=ipsec-esp
add chain=input comment="Accept Established" connection-state=established in-interface=ether1 log=yes log-prefix=Established
add chain=input comment="Accept related" in-interface=ether1 log=yes log-prefix="Accept related"
add chain=input comment=polycom dst-port=1720 in-interface=ether1 protocol=tcp
add chain=input disabled=yes dst-address=212.33.3.202 dst-port=49152-65535 in-interface=ether1 protocol=tcp
add chain=output dst-port=3230-3235 protocol=tcp
add chain=input dst-port=3230-3235 in-interface=ether1 protocol=tcp
add chain=output out-interface=lan protocol=udp src-port=3230-3235
add chain=input dst-port=3230-3235 in-interface=ether1 protocol=udp
add chain=forward disabled=yes dst-address=162.168.0.6 dst-port=3230-3235 out-interface=lan protocol=tcp src-address=212.33.3.202
add chain=forward disabled=yes dst-address=192.168.0.6 dst-port=3230-3235 out-interface=lan protocol=udp src-address=212.33.3.202
add chain=input comment="gtc support" src-address=82.198.164.22
add chain=input comment="gtc support" src-address=82.198.160.0/26
add chain=forward out-interface=lan
add chain=forward in-interface=lan
add chain=input disabled=yes in-interface=lan
add chain=input dst-limit=60/1m,5,src-address in-interface=ether1 protocol=icmp
add action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w chain=input comment="Port scanners to list " in-interface=ether1 protocol=tcp psd=21,3s,3,1
add action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w chain=input comment="NMAP FIN Stealth scan" in-interface=ether1 protocol=tcp tcp-flags=fin,!syn,!rst,!psh,!ack,!urg
add action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w chain=input comment="SYN/FIN scan" in-interface=ether1 protocol=tcp tcp-flags=fin,syn
add action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w chain=input comment="SYN/RST scan" in-interface=ether1 protocol=tcp tcp-flags=syn,rst
add action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w chain=input comment="ALL/ALL scan" in-interface=ether1 protocol=tcp tcp-flags=fin,syn,rst,psh,ack,urg
add action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w chain=input comment="FIN/PSH/URG scan" in-interface=ether1 protocol=tcp tcp-flags=fin,psh,urg,!syn,!rst,!ack
add action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w chain=input comment="NMAP NULL scan" in-interface=ether1 protocol=tcp tcp-flags=!fin,!syn,!rst,!psh,!ack,!urg
add action=add-src-to-address-list address-list=ssh_blacklist address-list-timeout=1w3d chain=input connection-state=new dst-port=21,22,23,80 in-interface=ether1 protocol=tcp src-address-list=ssh_stage3
add action=add-src-to-address-list address-list=ssh_stage3 address-list-timeout=1m chain=input connection-state=new dst-port=21,22,23,80 in-interface=ether1 protocol=tcp src-address-list=ssh_stage2
add action=add-src-to-address-list address-list=ssh_stage2 address-list-timeout=1m chain=input connection-state=new dst-port=21,22,23,80 in-interface=ether1 protocol=tcp src-address-list=ssh_stage1
add action=add-src-to-address-list address-list=ssh_stage1 address-list-timeout=1m chain=input connection-state=new dst-port=21,22,23,80 in-interface=ether1 protocol=tcp
add action=drop chain=input comment="dropping port scanners" in-interface=ether1 src-address-list="port scanners"
add action=drop chain=forward connection-state=invalid
add action=drop chain=input comment="from WAN to 212" dst-address=212.33.3.202 dst-port=80 in-interface=ether1 protocol=tcp
add action=drop chain=output comment="from LAN to 212" out-interface=lan protocol=tcp src-address=212.33.3.202 src-port=80
add action=drop chain=input comment="Drop invalid connection packets" connection-state=invalid
/ip firewall nat
add action=masquerade chain=srcnat out-interface=ether1 src-address=192.168.0.0/24
add action=masquerade chain=srcnat comment=VLAN out-interface=ether1 src-address=192.168.10.0/24
add action=dst-nat chain=dstnat comment=AD dst-port=6000 in-interface=ether1 protocol=tcp to-addresses=192.168.0.11 to-ports=3389
add action=dst-nat chain=dstnat comment="WEB Service" dst-port=7000 in-interface=ether1 protocol=tcp to-addresses=192.168.0.4 to-ports=80
add action=dst-nat chain=dstnat comment=Polycom in-interface=ether1 protocol=tcp to-addresses=192.168.0.6 to-ports=1720
add action=dst-nat chain=dstnat disabled=yes dst-port=11111 in-interface=ether1 protocol=tcp to-addresses=192.168.0.5 to-ports=1720
add action=redirect chain=dstnat comment="WEB Proxy" disabled=yes dst-port=80 protocol=tcp src-address=192.168.0.31-192.168.0.76 to-ports=8080
add action=redirect chain=dstnat disabled=yes dst-port=80 protocol=tcp src-address=192.168.0.78-192.168.0.249 to-ports=8080
Подскажите где косяк?
  • Вопрос задан
  • 2559 просмотров
Комментировать
Подписаться 1 Оценить Комментировать
Пригласить эксперта
Ответы на вопрос 1
@moneron89
Сертифицированный тренер Mikrotik
В файерволе измените цепочку input на forward в правиле, открывающем 1720 порт (т.к. dst-nat отрабатывает в prerouting). В НАТе у вас два dstnat'a, один из них c comment=Polycom рулит ВЕСЬ тсп-трафик на 192.168.0.6:1720. Не уверен, что Вам это нужно, отключите его. Цепочку output использовать вообще нецелесообразно - это траффик, который генерируется самим роутером.
Разбирайтесь с файерволлом. Чтобы понять его лучше, используйте этот материал. Да, сложно. Но проще один раз разобраться.
Ответ написан
Комментировать
Комментировать
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы
Вакансии с Хабр Карьеры
Ведущий системный администратор
ФИНФОРТ Краснодар
от 200 000 ₽
Ведущий консультант 1С (бюджетирование)
Wanted.
До 300 000 ₽
Аналитик данных
Wanted. Санкт-Петербург
До 200 000 ₽
Ещё вакансии
Заказы с Хабр Фриланса
Консультация по AirFlow
27 нояб. 2024, в 19:08
1500 руб./в час
Настройка Pycharm
27 нояб. 2024, в 18:19
2000 руб./за проект
2 задачи в wp
27 нояб. 2024, в 17:41
2000 руб./за проект
Ещё заказы