Задать вопрос
@alex_terekhov
mikrotik

Настройка Polycom и фаервола, где может быть ошибка?

Всем привет, прошу у вас помощи, т.к сам уже задолбался и не знаю куда копать!
Суть проблемы: есть система ВКС Polycom RPG 300 и фаервол на микротике, никак не могу настроить нормальную связь по протоколу h323 поликома с внешним миром, на сайте поликома пишут что надо для связи нужно натом проборосить порт tcp 1720 - пробросил, трафик на него разрешил в правилах, далее для передачи видео и аудио нужно разрешить динамические порты udp 3230-3235, не совсем понял что это но в фаерволе разрешил трафик на этот диапазон портов, но связь почему то не идет, или я не вижу не слушу абонента или меня не видят, конфиг фаервола прилигаю ниже:
add chain=input comment=VPN dst-port=1701,500,4500 protocol=udp src-address-list=vpn
add chain=input dst-address=212.33.3.202 protocol=ipsec-esp
add chain=input comment="Accept Established" connection-state=established in-interface=ether1 log=yes log-prefix=Established
add chain=input comment="Accept related" in-interface=ether1 log=yes log-prefix="Accept related"
add chain=input comment=polycom dst-port=1720 in-interface=ether1 protocol=tcp
add chain=input disabled=yes dst-address=212.33.3.202 dst-port=49152-65535 in-interface=ether1 protocol=tcp
add chain=output dst-port=3230-3235 protocol=tcp
add chain=input dst-port=3230-3235 in-interface=ether1 protocol=tcp
add chain=output out-interface=lan protocol=udp src-port=3230-3235
add chain=input dst-port=3230-3235 in-interface=ether1 protocol=udp
add chain=forward disabled=yes dst-address=162.168.0.6 dst-port=3230-3235 out-interface=lan protocol=tcp src-address=212.33.3.202
add chain=forward disabled=yes dst-address=192.168.0.6 dst-port=3230-3235 out-interface=lan protocol=udp src-address=212.33.3.202
add chain=input comment="gtc support" src-address=82.198.164.22
add chain=input comment="gtc support" src-address=82.198.160.0/26
add chain=forward out-interface=lan
add chain=forward in-interface=lan
add chain=input disabled=yes in-interface=lan
add chain=input dst-limit=60/1m,5,src-address in-interface=ether1 protocol=icmp
add action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w chain=input comment="Port scanners to list " in-interface=ether1 protocol=tcp psd=21,3s,3,1
add action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w chain=input comment="NMAP FIN Stealth scan" in-interface=ether1 protocol=tcp tcp-flags=fin,!syn,!rst,!psh,!ack,!urg
add action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w chain=input comment="SYN/FIN scan" in-interface=ether1 protocol=tcp tcp-flags=fin,syn
add action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w chain=input comment="SYN/RST scan" in-interface=ether1 protocol=tcp tcp-flags=syn,rst
add action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w chain=input comment="ALL/ALL scan" in-interface=ether1 protocol=tcp tcp-flags=fin,syn,rst,psh,ack,urg
add action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w chain=input comment="FIN/PSH/URG scan" in-interface=ether1 protocol=tcp tcp-flags=fin,psh,urg,!syn,!rst,!ack
add action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w chain=input comment="NMAP NULL scan" in-interface=ether1 protocol=tcp tcp-flags=!fin,!syn,!rst,!psh,!ack,!urg
add action=add-src-to-address-list address-list=ssh_blacklist address-list-timeout=1w3d chain=input connection-state=new dst-port=21,22,23,80 in-interface=ether1 protocol=tcp src-address-list=ssh_stage3
add action=add-src-to-address-list address-list=ssh_stage3 address-list-timeout=1m chain=input connection-state=new dst-port=21,22,23,80 in-interface=ether1 protocol=tcp src-address-list=ssh_stage2
add action=add-src-to-address-list address-list=ssh_stage2 address-list-timeout=1m chain=input connection-state=new dst-port=21,22,23,80 in-interface=ether1 protocol=tcp src-address-list=ssh_stage1
add action=add-src-to-address-list address-list=ssh_stage1 address-list-timeout=1m chain=input connection-state=new dst-port=21,22,23,80 in-interface=ether1 protocol=tcp
add action=drop chain=input comment="dropping port scanners" in-interface=ether1 src-address-list="port scanners"
add action=drop chain=forward connection-state=invalid
add action=drop chain=input comment="from WAN to 212" dst-address=212.33.3.202 dst-port=80 in-interface=ether1 protocol=tcp
add action=drop chain=output comment="from LAN to 212" out-interface=lan protocol=tcp src-address=212.33.3.202 src-port=80
add action=drop chain=input comment="Drop invalid connection packets" connection-state=invalid
/ip firewall nat
add action=masquerade chain=srcnat out-interface=ether1 src-address=192.168.0.0/24
add action=masquerade chain=srcnat comment=VLAN out-interface=ether1 src-address=192.168.10.0/24
add action=dst-nat chain=dstnat comment=AD dst-port=6000 in-interface=ether1 protocol=tcp to-addresses=192.168.0.11 to-ports=3389
add action=dst-nat chain=dstnat comment="WEB Service" dst-port=7000 in-interface=ether1 protocol=tcp to-addresses=192.168.0.4 to-ports=80
add action=dst-nat chain=dstnat comment=Polycom in-interface=ether1 protocol=tcp to-addresses=192.168.0.6 to-ports=1720
add action=dst-nat chain=dstnat disabled=yes dst-port=11111 in-interface=ether1 protocol=tcp to-addresses=192.168.0.5 to-ports=1720
add action=redirect chain=dstnat comment="WEB Proxy" disabled=yes dst-port=80 protocol=tcp src-address=192.168.0.31-192.168.0.76 to-ports=8080
add action=redirect chain=dstnat disabled=yes dst-port=80 protocol=tcp src-address=192.168.0.78-192.168.0.249 to-ports=8080
Подскажите где косяк?
  • Вопрос задан
  • 2520 просмотров
Комментировать
Подписаться 1 Оценить Комментировать
Пригласить эксперта
Ответы на вопрос 1
@moneron89
Сертифицированный тренер Mikrotik
В файерволе измените цепочку input на forward в правиле, открывающем 1720 порт (т.к. dst-nat отрабатывает в prerouting). В НАТе у вас два dstnat'a, один из них c comment=Polycom рулит ВЕСЬ тсп-трафик на 192.168.0.6:1720. Не уверен, что Вам это нужно, отключите его. Цепочку output использовать вообще нецелесообразно - это траффик, который генерируется самим роутером.
Разбирайтесь с файерволлом. Чтобы понять его лучше, используйте этот материал. Да, сложно. Но проще один раз разобраться.
Ответ написан
Комментировать
Комментировать
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации
Похожие вопросы
Вакансии с Хабр Карьеры
Инженер по системному администрированию
Деловая среда от Сбербанка Москва
До 209 000 ₽
Сетевой инженер
Fix Price Москва
от 85 000 до 90 000 ₽
Системный администратор
Глобал Смарт Системс Санкт-Петербург
от 100 000 до 120 000 ₽
Ещё вакансии
Заказы с Хабр Фриланса
Требуется Java + Spring Boot специалист на разработку API-сервиса
10 мая 2024, в 17:14
2000 руб./за проект
Дописать скрипт
10 мая 2024, в 17:10
500 руб./за проект
Сайт на WordPress на конструкторе
10 мая 2024, в 16:51
15000 руб./за проект
Ещё заказы