Задать вопрос
AVXNWNK
@AVXNWNK
Middle DevOps-engineer

Почему не регистрируется телефон через IPSec-туннель Cisco-Mikrotik?

Приветствую, ИТ-шники! У меня такая неприятная проблема: не регистрируется удаленный IP-телефон. Между "филиалами" поднят IP-IP туннель с IPSec шифрованием. Туннель работает отлично, телефон видится со стороны АТС, а АТС видится со стороны телефона, все бы ничего.. Но телефон ни в какую не хочет регистрироваться на АТС. Я уже что только не пробовал, пробрасывал порты 5060 с туннельного интерфейса на внутренний адрес, отключал SIP ALG, на циске пробовал НАТить зоны с сетью телефона, но все безуспешно. Уже не знаю, где копать, Интернет рыл рыл, ничего не нарыл (( Буду признателен за помощь.

cb2fe86530bf49d7ae09ccf511b9a799.pngc21bef419a0043dfb99c638788689ce9.pngf157c0245b2b4579b2d9c6b1e9267892.png70966fda001a49f689ce62525062ac96.pngb624fb70b7344bd79e562510fdf2fe12.pngeeb8de35c947443d875ad563633136cc.png993a3573515142898ec4d65d33db7b25.pngfc8faf8416774fdf97d5fc3f3fcb0c5c.png

Конфиг циски:
Current configuration : 5049 bytes
!
! Last configuration change at 09:24:34 UTC Sat Aug 6 2016 by admin
! NVRAM config last updated at 09:14:34 UTC Sat Aug 6 2016 by admin
! NVRAM config last updated at 09:14:34 UTC Sat Aug 6 2016 by admin
version 15.1
no service pad
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname TELEFON
!
boot-start-marker
boot-end-marker
!
!
enable secret 4 X4ZqtPJ///KxuEWxHSsJrv3beQVnz2ise/xj8fF6eFU
enable password 7 094D4A04100B59435322013D7270
!
aaa new-model
!
!
aaa authentication login default local
aaa authentication ppp default local
aaa authorization exec default local
!
!
!
!
!
aaa session-id common
!
memory-size iomem 10
crypto pki token default removal timeout 0
!
!
ip source-route
!
!
!
ip dhcp excluded-address 10.0.0.2
ip dhcp excluded-address 10.0.0.3
ip dhcp excluded-address 10.0.0.1
ip dhcp excluded-address 10.0.2.1
!
ip dhcp pool ARM
 network 10.0.2.0 255.255.255.0
 default-router 10.0.2.1
 dns-server 10.0.0.2 78.8.8.8
!
!
ip cef
ip domain name vol***p.ru
no ipv6 cef
!
!
multilink bundle-name authenticated
vpdn enable
!
vpdn-group L2TP
 ! Default L2TP VPDN group
 accept-dialin
  protocol l2tp
  virtual-template 10
 no l2tp tunnel authentication
!
license udi pid CISCO881-PCI-K9 sn FCZ1628C0JX
!
!
username admin password 7 106F0D140C195C5A542A2F3C7D7C
username *** privilege 0 password 0 ***
!
!
!
!
ip ssh version 2
!
!
crypto isakmp policy 10
 encr 3des
 authentication pre-share
 group 2
 lifetime 3600
!
crypto isakmp policy 20
 encr 3des
 hash md5
 authentication pre-share
 group 2
crypto isakmp key a***** address 109.***** no-xauth
crypto isakmp key a*****1 address 0.0.0.0 0.0.0.0 no-xauth
crypto isakmp keepalive 3600
!
!
crypto ipsec transform-set L2TP-TS esp-3des esp-sha-hmac
 mode transport
crypto ipsec transform-set Mikrotik-TS esp-3des esp-md5-hmac
 mode transport
!
crypto dynamic-map L2TP-DM 10
 set nat demux
 set transform-set L2TP-TS
!
!
crypto dynamic-map Mikrotik-DYN 10
 set transform-set Mikrotik-TS
 reverse-route
!
!
!
!
!
!
crypto map L2TP-SM 10 ipsec-isakmp dynamic L2TP-DM
!
crypto map Mikrotik-MAP client configuration address respond
crypto map Mikrotik-MAP 5 ipsec-isakmp dynamic Mikrotik-DYN
crypto map Mikrotik-MAP 10 ipsec-isakmp
 ! Incomplete
crypto map Mikrotik-MAP 20 ipsec-isakmp
 description Crypto_map_for_Mikrotik
 set peer 109.*****
 set security-association lifetime seconds 86400
 set transform-set Mikrotik-TS
 set pfs group2
 match address 109
!
!
!
!
!
!
interface Tunnel20
 description Tunnel_interface_to_Mikrotik
 ip unnumbered FastEthernet4
 tunnel source 37.*****
 tunnel mode ipip
 tunnel destination 109.*****
!
interface FastEthernet0
 description ATS
 no ip address
!
interface FastEthernet1
 description RDC-01
 no ip address
!
interface FastEthernet2
 description RDC-02
 no ip address
!
interface FastEthernet3
 description ARM-UPR
 switchport access vlan 20
 no ip address
!
interface FastEthernet4
 description PROVIDER
 ip address 37.***** 255.255.255.0
 ip nat outside
 ip virtual-reassembly in
 duplex auto
 speed auto
 no keepalive
 crypto map Mikrotik-MAP
!
interface Virtual-Template10
 ip unnumbered FastEthernet4
 peer default ip address pool IPVPN
 ppp encrypt mppe 40
 ppp authentication ms-chap ms-chap-v2
!
interface Vlan1
 ip address 10.0.0.1 255.255.255.0
 ip nat inside
 ip virtual-reassembly in
!
interface Vlan20
 ip address 10.0.2.1 255.255.255.0
!
ip local pool IPVPN 10.0.0.200 10.0.0.254
ip forward-protocol nd
ip http server
no ip http secure-server
!
!
ip nat inside source list CST interface FastEthernet4 overload
ip nat inside source static tcp 10.0.0.10 80 37.***** 80 extendable
ip nat inside source static tcp 10.0.0.2 3389 37.***** 3389 extendable
ip nat inside source static tcp 10.0.0.10 5060 37.***** 5060 extendable
ip nat inside source static udp 10.0.0.10 5060 37.***** 5060 extendable
ip nat inside source static udp 10.0.0.10 6000 37.***** 6000 extendable
ip route 0.0.0.0 0.0.0.0 37.*****
ip route 10.37.1.0 255.255.255.0 Tunnel20
!
ip access-list extended CST
 permit ip 10.0.0.0 0.0.0.255 any
 permit tcp 10.0.0.0 0.0.0.255 any
 permit udp 10.0.0.0 0.0.0.255 any
 permit tcp any eq 5060 10.0.0.0 0.0.0.255 eq 5060
 permit udp any eq 5060 10.0.0.0 0.0.0.255 eq 5060
 permit udp 10.0.0.0 0.0.0.255 eq 5060 any eq 5060
 permit tcp 10.0.0.0 0.0.0.255 eq 5060 any eq 5060
!
access-list 109 permit ip host 37.***** host 109.*****
dialer-list 1 protocol ip permit
!
!
!
!
tftp-server flash:SEP44D3CA257670.cnf.xml
tftp-server flash:SEPC44D3CA257605.cnf.xml
tftp-server flash:SEP44D3CA25778F.cnf.xml
tftp-server flash:BOOT69xx.0-0-0-14.zz.sgn 1
tftp-server flash:DSP69xx.12-4-122-02-121029.zz.sgn 1
tftp-server flash:SIP69xx.9-4-1-3.loads 1
tftp-server flash:SIP69xx.9-4-1-3.zz.sgn 1
tftp-server flash:SEPC89C1D6E3E82.cnf.xml
tftp-server flash:SEP44D3CA257605.cnf.xml
!
!
!
control-plane
!
!
line con 0
line aux 0
line vty 0 4
 transport input ssh
!
end


Информация по соединению телефона с АТСкой:
afbfe4a7138949f58de029f2ca969ebe.png4c8ecaa07ac84b49983e5a9ec99b98bd.png
  • Вопрос задан
  • 1535 просмотров
Подписаться 2 Оценить 3 комментария
Решения вопроса 1
AVXNWNK
@AVXNWNK Автор вопроса
Middle DevOps-engineer
Решено, проблема в неправильной настройке SIP телефона. На АТС необходимо было указать флаг "Удаленная регистрация", потому что телефон находится в другой подсети, которая прописана статическим маршрутом.
Ответ написан
Пригласить эксперта
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы