Как пробросить порты в туннель для Asterisk?

Question

[yarleshiy]

Задача:
В офисе стоит сервер с Астериском с серым айпишником, к нему подключены SIP-фоны. Также к нему подключен аналоговый шлюз.
Всё работает, внутри офиса все друг другу звонят. также звонят во внешний мир через аналоговую линию.
Нужно, чтобы к этому серверу подключались софтфоны, сипфоны и прочие фоны из вне.
Арендовали VDS сервер с белым IP, на нем раскатили OPENVPN. К нему подключили офисный Астериск. Между ними связь есть, оба пингуют.
в IPtables на OPENVPN указал следующие правила:
iptables -t nat -A PREROUTING -p udp -d 194.xx.yy.zz --dport 5060 -j DNAT --to-destination 10.0.0.2:5060
iptables -A FORWARD -i eth0 -d 10.0.0.2 -p tcp --dport 5060 -j ACCEPT

в IPtables на Астериске:
iptables -t nat -A PREROUTING -p udp -d 10.0.0.2 --dport 5060 -j DNAT --to-destination 192.168.0.2:5060

в sip.conf
localnet 10.0.0.2
localnet 192.168.0.2
externip 194.xx.yy.zz



Регистрация с софтфона не происходит =(

Прошу помощи, запутался в правилах, кого куда и как указать. Или может надо рыть вообще в другую сторону. Буду благодарен за дельные советы. Всем добра!

Comments

[Ilya Demyanov]

Не совсем понятно зачем нат на Asterisk. Нарисуйте схему узлов с ip.

[yarleshiy]

Ilya Demyanov: добавил схемку.

[Ilya Demyanov]

yarleshiy: На asterisk nat не нужен, но нужны маршруты на vds к asterisk и обратные - с asterisk к vpn-клиентам

Answer 1

[yarleshiy]

Немножко изменилась схема подключения



С терминала(оптический Хуавей Ростелеком) сделаны пробросы на VPN Server;
с VPN servera через туннель на Астериск.

VPN server
-A PREROUTING -i eth1 -p udp -m udp --dport 5060 -j DNAT --to-destination 10.0.0.2:5060
-A PREROUTING -i eth1 -p udp -m udp --dport 5061 -j DNAT --to-destination 10.0.0.2:5061
-A PREROUTING -i eth1 -p udp -m udp --dport 10000:20000 -j DNAT --to-destination 10.0.0.2:10000-20000
-A FORWARD -d 10.0.0.2/32 -i eth1 -p udp -m udp --dport 5060 -j ACCEPT
-A FORWARD -d 10.0.0.2/32 -i eth1 -p udp -m udp --dport 5061 -j ACCEPT
-A FORWARD -d 10.0.0.2/32 -i eth1 -p udp -m udp --dport 10000:20000 -j ACCEPT

На Астериске только принимающие разрешающие.

Теперь авторизация проходит, даже звоню. Но, клиенты которые подключены локально к серверу СИП звонилками, не слышат меня, с СОФТовой звонилки извне.
Как понимаю, застревает голос, следовательно РТП порты. Но куда дальше копать, не знаю. Пробовал на клиентах и включать и выключать STUN, на Астериске включать и выключать режимы прохождения НАТ, не помогает =(

Answer 2

[Дмитрий Шицков]

Не понятно, зачем натите на Астериск?
Помимо SIP-портов, нужно пробросить и RTP-порты.
externip у вас 194.xx.yy.zz

Лучше установить на VDS Sip-proxy, а не пробрасывать порты.

А ещё проще - арендовать белый IP у провайдера

Answer 3

[Antydrchert]

Здравствуйте! У Вас что нибудь сдвинулось с места. У меня похожая проблема и схема. Так же звонки проходят а голоса нет с обеих сторон.

Comments

[Antydrchert]

iptables -t nat -A PREROUTING --dst eth0 -p tcp --dport 5060 -j DNAT --to-destination 192.168.3.12 iptables -t nat -A POSTROUTING --dst 192.168.3.12 -p tcp --dport 5060 -j SNAT --to-source 192.168.3.1 iptables -t nat -A PREROUTING --dst eth0 -p udp -m multiport --dport 5060,10000:20000 -j DNAT --to-destination 192.168.3.12 iptables -t nat -A POSTROUTING --dst 192.168.3.12 -p udp -m multiport --dport 5060,10000:20000 -j SNAT --to-source 192.168.3.1