Elastix (Asterisk) как настроить две сетевые карты?

Question

[kovalr]

К Elastix (Asterisk) нужно подключить две сетевые карты. NIC1 смотрит напрямую в интернет с адресом, скажем 173.0.0.10. NIC2 смотрит в локальную сеть, 192.168.1.1.

SIP пользователи в локалке сидят под IP 192.168.1.20 - 192.168.1.30

Часть пользователей будут работать с локалки, другая часть с интернету.

Нужно сделать так, чтобы трафик пользователей локалки шел через внутренний интерфейс NIC 2 и не выходил наружу.
Пользователи с Интернету должны ходить через внешнюю сетевую.

Нужно подключить две сетевые карты. На сервере прописать статический маршрут для внешнего интерфейса, например в 173.0.0.1.

Для пользователей которые в локалке адрес VoIp сервера прописывать как 192.168.1.1, для пользователей с Интернету - 173.0.0.10.

Что еще нужно сделать чтоб всё работало? Будет ли такая схема работать коректно? Пробовал ли кто нибудь подключать по этой схеме?

Answer 1

[nApoBo3]

Данная схема работоспособна, на шлюз интерфейса 173.0.0.10 нужно прописать маршрут по умолчанию, маршрут в локальную сеть у вас пропишется сам если корректно указанна маска подсети. Но необходимо учитывать, что есть масса проблем с NAT которые надо уметь решать.

Очень рекомендую вам обратиться к специалистам. Ваш уровень знаний, судя по вопросам, выльется в большие финансовые потери в случае подключения АТС к любым внешним линиям( городским, GSM и VOIP ).

Comments

[kovalr]

nApoBo3 Какой NAT? Где ви видели в моей схеме NAT?

[nApoBo3]

У вас все оконечные устройства в интернете будет иметь выделенный ip адрес?

[kovalr]

nApoBo3 VoIp сервер подключен к интернету напрямую. Нет, не все. Только VoIp через NIC 1. NAT будут использовать пользователи в локалке для http. Но SIP трафик будет идти напрямую к серверу через NIC 2. Таким образом локальные пользователи к VoIp подключены напрямую минуя NAT через локалку, внешние пользователи тоже подключаются к серверу напрямую через Интернет.

[nApoBo3]

kovalr: ну так через интернет наверно с использованием nat, врятли на том конце устройство имеет белый адрес.

Answer 2

[mureevms]

У меня примерно так же сделано.
Никакого маршрута прописывать не надо, они же итак будут в одной подсети. Единственно - указать дополнительным локальный адрес в настройках астериска.

Comments

[nApoBo3]

Маршрут по умолчанию в любом случае прописать надо, иначе он не поймет где у вас интернет, а где локальная сеть, поскольку адреса клиентов интернет не будут находиться в подсетях адаптеров.

[kovalr]

nApoBo3 пробовал инсталировать Elastix на две сетевухи. Маршрут по умолчанию прописывается автоматически, если при инсталляции задать шлюз.

[kovalr]

nApoBo3 за NAT'ом могут находиться пользователи с Интернета за своими роутерами. Но это решается опцией use NAT = yes.

[nApoBo3]

kovalr: обе сети могут иметь шлюзы.

[nApoBo3]

kovalr: многократно сталкивался с односторонней слышимостью даже с данной галочкой.

[kovalr]

nApoBo3: шлюз будет иметь только сеть которая смотрит в Интернет.

Answer 3

[alexdora]

Как организовать корректную работу Asterisk на нескольких сетевых интерфейсах? вот почитайте мой вопрос. Вы может быть не заметите ничего общего, но по сути задачи схожие и скорее всего будет такая же проблема как у меня. Если у вас две сетевых карты и одна смотрит наружу, вторая в локалку, то легче всего будет сделать финт ушами о котором в скользь упомянул nApoBo3 , а именно все пользователи подключаются на NIC1 (Интернет интерфейс). Просто локальных пользователей пробросить через NAT с NIC2 до NIC1 не выводя их в Интернет и внутренними настройками каждого экстеншена ограничить доступ локальных пиров по IP-адресу или IP-подсети

Как я сам нарвался, не все корректно работает т.к астер изначально настраивается на какой-то один конкретный адрес. И связано это скорее всего со всякими функциями обхода NAT и UDP трафиком. Не спорю, возможно еще решить эту проблему прописывая в директиву NAT каждого экстеншена. Но там выбор из 4-х пунктов и у меня особо еще не было времени потестить все варианты.

Comments

[nApoBo3]

Астер нормально работает с несколькими ip адресами, особых проблем там нет. Такая схем это имхо бессмысленно. Проще внешних пользователей завернуть на VPN, благо многие ip телефоны умеют это из коробки, тогда и проблема NAT решиться сама собой, плюс система станет на порядок безопаснее, сколько денег теряют люди выставившие атс в интернет голой попой уже не один десяток статей найдется.

[alexdora]

nApoBo3: Если у вас отлично работает, то зайдите прочитайте мой вопрос. Несколько интерфейсов и на одном драйвере ничего не работает если на другой интерфейс делать коннект.
А вопрос про голые попы - вопрос установки другого пароля доступа к интерфейсу Астериск + fail2ban + хорошие пароли на доступ. Причем тут эта тема я так и не понял.

[nApoBo3]

alexdora: У вас не работает бесшовное переключение между ip в пределах одного драйвера, насколько я понял. Это фича несколько иного уровня, обычно такие проблемы решают за пределами астериска, например на роутерах или с помощью kamailio.

[alexdora]

nApoBo3: это не бесшовное переключение.