Mikrotik не проходит rtp трафик sip телефонии. Где ошибка?

Question

[SofroN]

Добрый день
Есть два офиса 192.168.1.0/24 и 192.168.10.0/24 между ними настроен l2tp тунель. маршруты настроены. пинги проходят
В первом стоит АТС во втором addpac ap200d. оба устройства настроены и работали на старом tp link'e через внешний ip адрес.
addpac регистрируется на АТС нормально. при входящем вызове сигнализация тоже проходит нормально. при ответе(поднятие трубки) на этот звонок вызывающая сторона все так же слышит длинные гудки. принимающая сторона слушает тишину.
Судя по tcpdump на микротике офиса с addpac ответные rtp пакеты не уходят в сеть назначения.
Когда все работало через внешний ip схема была такая
АТС(статический ip) - tp-link(статический ip) - addpac
Пробовал следующую схему так же без результатно
АТС(статический ip) - mikrotik(статический ip) - addpac
Сейчас схема
АТС(192.168.1.151) - mikrotik(статический ip)-l2tp(192.168.100.1) - l2tp(192.168.100.178) - mikrotik(статический ip) - addpac(192.168.10.151)

Микротик1(офис с АТС)

/ip firewall address-list
add address=192.168.1.0/24  list=office-networks
add address=192.168.10.0/24  list=office-networks
add address=192.168.100.0/24  list=office-networks
add address=GGG.GGG.GGG.GGG  list=remote-office
/ip firewall filter
add action=drop chain=input  connection-state=invalid log-prefix=DROP-INVALID-INPUT
add action=drop chain=forward  connection-state=invalid log-prefix=DROP-INVALID-FORWARD
add action=drop chain=input  log-prefix=BLACK-LIST src-address-list=black-list
add action=accept chain=input  protocol=icmp
add action=accept chain=forward  src-address-list=office-networks
add action=accept chain=input  src-address-list=office-networks
add action=accept chain=input  src-address=192.168.100.0/24
add action=accept chain=input  in-interface-list=WAN protocol=ipsec-esp
add action=accept chain=input comment=VPN dst-port=1701,500,4500 in-interface-list=WAN protocol=udp
add action=accept chain=input  dst-port=1723 protocol=tcp src-address-list=remote-office
add action=accept chain=input  src-address-list=remote-office
add action=drop chain=forward  log-prefix=DROP-FORWARD
add action=drop chain=input  log-prefix=DROP-INPUT
/ip firewall mangle
add action=mark-connection chain=input  connection-mark=no-mark in-interface=RT new-connection-mark=ISP1-IN passthrough=yes
add action=mark-connection chain=input  connection-mark=no-mark in-interface=ether2-wan new-connection-mark=ISP2-IN \
    passthrough=yes
add action=mark-routing chain=output  connection-mark=ISP1-IN new-routing-mark=ISP1-ROUTE passthrough=no
add action=mark-routing chain=output  connection-mark=ISP2-IN new-routing-mark=ISP2-ROUTE passthrough=no
/ip firewall nat
add action=masquerade chain=srcnat  out-interface=RT
add action=masquerade chain=srcnat  out-interface=ether2-wan
/ip firewall service-port
set sip disabled=yes sip-direct-media=no

[triada@it-modus-gw] > ip route print          
Flags: X - disabled, A - active, D - dynamic, C - connect, S - static, r - rip, b - bgp, o - ospf, m - mme, B - blackhole, U - unreachable, P - prohibit 
 #      DST-ADDRESS        PREF-SRC        GATEWAY            DISTANCE
 0 A S  0.0.0.0/32                         RT                       10
 1 A S  0.0.0.0/0                          ether2-wan                1
 2 A S  0.0.0.0/0                          RT                       10
 3 ADS  0.0.0.0/0                          MMM.MMM.MMM.1              1
 5 ADC  MMM.MMM.MMM.0/25    MMM.MMM.MMM.66   ether2-wan                0
 6 ADC  192.168.1.0/24     192.168.1.253   default-bridge            0
 7 ADC  192.168.2.0/24     192.168.2.252   voip-bridge               0
 8 ADC  192.168.3.0/24     192.168.3.1     video-bridge              0
 9   S  192.168.10.0/24    192.168.1.253   GH-vpn                    1

Микротик(офис с addpac)

/ip firewall address-list
add address=GGG.GGG.GGG.178  list=remote-office
add address=MMM.MMM.MMM.66  list=remote-office
add address=192.168.100.0/24 comment=VPN list=office-networks
add address=192.168.10.0/24  list=office-networks
add address=192.168.1.0/24  list=office-networks
add address=AAA.AAA.AAA.AAA  list=remote-office
/ip firewall filter
add action=drop chain=input  connection-state=invalid
add action=drop chain=input  connection-state=invalid src-address-list=black-list
add action=drop chain=forward  connection-state=invalid
add action=accept chain=input in-interface-list=WAN protocol=icmp
add action=accept chain=input  connection-state=established,related
add action=accept chain=forward  connection-state=established,related
add action=accept chain=input  in-interface-list=!WAN src-address=192.168.10.0/24
add action=accept chain=forward  src-address-list=office-networks
add action=accept chain=forward  src-address-list=remote-office
add actiadd action=accept chain=input  protocol=ipsec-esp
add action=accept chain=input comment=VPN dst-port=1701,500,4500 protocol=udp
add action=accept chain=forward comment=fxo disabled=yes dst-address=192.168.10.151 dst-port=23,80,23000-23003 protocol=tcp
add action=accept chain=input  in-interface-list=!WAN src-address-list=office-networks
add action=accept chain=input  in-interface-list=!WAN src-address-list=remote-office
add action=drop chain=forward 
add action=drop chain=input  log-prefix=TT
/ip firewall mangle
add action=mark-connection chain=input connection-mark=no-mark in-interface=RT new-connection-mark=ISP1-IN passthrough=yes
add action=mark-connection chain=input connection-mark=no-mark in-interface=eth2-wan new-connection-mark=ISP2-IN passthrough=yes
add action=mark-routing chain=output connection-mark=ISP1-IN new-routing-mark=ISP1-ROUTE passthrough=no
add action=mark-routing chain=output connection-mark=ISP2-IN new-routing-mark=ISP2-ROUTE passthrough=no
/ip firewall nat
add action=masquerade chain=srcnat out-interface=RT
add action=masquerade chain=srcnat out-interface=eth2-wan
add action=dst-nat chain=dstnat  dst-port=35023 protocol=tcp to-addresses=192.168.10.151 to-ports=23
add action=dst-nat chain=dstnat  dst-port=35080 protocol=tcp to-addresses=192.168.10.151 to-ports=80
add action=dst-nat chain=dstnat  disabled=yes dst-port=23000-23003 protocol=udp to-addresses=192.168.10.151
/ip firewall service-port
set ftp disabled=yes
set tftp disabled=yes
set irc disabled=yes
set h323 disabled=yes
set sip disabled=yes ports=5060,5061,23000,23001 sip-timeout=10m
set pptp disabled=yes
set udplite disabled=yes
set dccp disabled=yes
set sctp disabled=yes

[triada@gh-pcn-rt] > ip route print 
Flags: X - disabled, A - active, D - dynamic, C - connect, S - static, r - rip, b - bgp, o - ospf, m - mme, B - blackhole, U - unreachable, P - prohibit 
 #      DST-ADDRESS        PREF-SRC        GATEWAY            DISTANCE
 0 A S  0.0.0.0/0                          RT                        1
 1 A S  0.0.0.0/0                          eth2-wan                  2
 2 ADS  0.0.0.0/0                          RT                        1
 3  DS  0.0.0.0/0                          GGG.GGG.GGG.254            1
 4 A S  0.0.0.0/32                         eth2-wan                  2
 5 X S  0.0.0.0/32                         RT                        1
 6 ADC  GGG.GGG.GGG.1/32     GGG.GGG.GGG.GGG    RT                        0
 7 ADC  GGG.GGG.GGG.0/24    GGG.GGG.GGG.178  eth2-wan                  0
 8 A S  MMM.MMM.MMM.66/32   GGG.GGG.GGG.GGG    RT                        1
 9 A S  AAA.AAA.AAA.72/32   GGG.GGG.GGG.GGG    RT                        1
10   S  192.168.1.0/24     192.168.10.1    l2tp-triada               1
11 ADC  192.168.10.0/24    192.168.10.1    default-br                0

Comments

[Дмитрий Шицков]

Выложите конфигурацию фильтра, ната, маршруты.
Трафик в туннель просто заворачивается или натится? Если не натится, то вы уверены, что случайно какой-то трафик все-таки не попадает в nat?

[SofroN]

Дмитрий Шицков, На первом микротике таблицы достаточно объемные, не хотелось бы выставлять на всеобщее обозрение, со вторым попроще. Можно ли лично вам отправить? или достаточно таблиц со второго микротика?

[Максим Гришин]

SofroN, достаточно только кусков, которые хоть как-то пересекаются с айпишниками addpac и АТС.

Как вариант, микротик лазает в SIP грязными руками и правит IP+port АТС на что-то а-ля маскарад, чего addpac в упор не понимает.

[SofroN]

Максим Гришин, Дмитрий Шицков, Добавил в вопрос

[Дмитрий Червонобаб]

Для начала покажите с астериска, пожалуйста:
grep local /etc/asterisk/sip*.conf

так же, сделайте, пожалуйста, дамп одного вызова и покажите нам его.

[SofroN]

Дмитрий Червонобаб, к сожалению АТС не астериск, железка от Eltex(внутри не астериск)
Дамп на АТС с фильтром по ип офиса с addpac
Дополнение в том же офисе на том же столе стоит sip телефон который нормально работает с теми же настройками на АТС

[Дмитрий Червонобаб]

SofroN, Про астериск это я что то погорячился, да)

[Максим Гришин]

RTP ходит по UDP, а у вас на тике правило разрешения для TCP: add action=accept chain=forward comment=fxo disabled=yes dst-address=192.168.10.151 dst-port=23,80,23000-23003 protocol=tcp. Добавьте такое же на UDP и может быть будет вам щщастье.

[SofroN]

состояние подключений в момент звонка и поднятой трубки

[Дмитрий Червонобаб]

В вашем дампе обратите внимание на SDP, который отдает адпаку ваша SMG.
Видно, что адпак корректно указывает внутренний адрес для голоса, а от SMG приходит внешний 185.61.246.72 адрес.
Таким образом, вам нужно на вашем SMG сказать, что пир в лице адпака - не нужно натировать (корректировать SDP), что это локальный пользователь.
Во вторых, в дампе у вас должно быть два локальных пользователя, вы же впн построили, адресация должна быть приватной, а у вас со стороны SMG адрес для сигнализации указан внешний.

На микротике можете в сервисах отключить sip. Это вредил поможет, но думать мы об этом тут все перестанем :)

[SofroN]

Максим Гришин,
disabled=yes ну и

add action=accept chain=input  in-interface-list=!WAN src-address-list=office-networks
add action=accept chain=input  in-interface-list=!WAN src-address-list=remote-office

Хотя да пропустил. что udp.

[SofroN]

Дмитрий Червонобаб, Я вас малость вас запутал и сам запутался, это дамп при схеме без впн. АТС - микротик() - addpac
причем разницы нет для проблемы(впн или напрямую)

set sip <b>disabled=yes</b> ports=5060,5061,23000,23001 sip-timeout=10m

дамп через vpn

[Максим Гришин]

SofroN, ну про disabled - да, промазал, но почему вы приводитеправила от input-цепи вместо цепи forward? input отвечает только за то, что адресовано самому микротику, а не устройствам за ним или перед ним.

[SofroN]

Максим Гришин, тоже есть, чуть выше

add action=accept chain=forward  src-address-list=office-networks
add action=accept chain=forward  src-address-list=remote-office

добавил дамп через vpn

[Дмитрий Червонобаб]

SofroN, в последнем дампе smg голос в сторону адпака отдает. Но адпак не знает, что делать с голосом и на 192.168.1.151 не хочет данные отдавать. Обычно такое происходит, когда устройство или реально не отдает голос, потому что не знает сеть 192.168.1.151, или голос где то теряется "до" устройства сбора данных. Склоняюсь к первому варианту.

[SofroN]

Дмитрий Червонобаб, пинги с addpac(192.168.10.151) идут до 192.168.1.151 обратно тоже идут
так же добавил маршрут в ручную, изменений нет

[Дмитрий Червонобаб]

SofroN, на адпаке? Не думаю, что это изначально как то могло бы помочь.
Вы можете показать voip настройки на адпаке?

[SofroN]

Дмитрий Червонобаб,
Да на addpac'e, на АТС тоже есть маршрут до нужной сети

addpac run config

GH1-FXO# show run
!
version 8.30W
!
hostname GH1-FXO
!
!
no bridge spanning-tree
!
dhcp-list 0 type server
dhcp-list 0 address server interface ether0.0
dhcp-list 0 option dhcp-lease-time 600
!
!
ip-share enable
ip-share interface net-side ether0.0
ip-share interface local-side ether1.0
!
interface ether0.0
 ip address dhcp
!
interface ether1.0
 no ip address
 shutdown
 ip dhcp-group 0
!
snmp name AP200D
!
no arp reset
!
route 192.168.1.0 255.255.255.0 192.168.10.1
!
logging event 4-warning
logging on
!
ntp refresh 60
ntp offset 03:00
ntp server 185.22.183.73
!
!
!
!
!
! VoIP configuration.
!
!
! Voice service voip configuration.
!
voice service voip
 fax protocol t38 redundancy 0
 fax rate 9600
 h323 call start preferred-slow
 h323 call tunnel disable
 no local-ringback-tone
!
!
! Voice port configuration.
!
! FXO
voice-port 0/0
 connection plar 310
 ring detect-timeout 50
 busyout action tone
 no caller-id enable
!
!
! FXO
voice-port 0/1
 no caller-id enable
!
!
!
!
!
voice service voip
 minimize-voip-port multiply 1
!
! Pots peer configuration.
!
dial-peer voice 2 pots
 destination-pattern T
 port 0/0
 user-name 408
 user-password *****
!
!
!
! Voip peer configuration.
!
dial-peer voice 1 voip
 destination-pattern 310
 session target sip-server
 session protocol sip
 voice-class codec 1
 vad
 no dtmf-relay
!
!
!
!
!
!
! Gateway configuration.
!
gateway
 h323-id voip.192.168.10.151
 no ignore-msg-from-other-gk
!
!
! Codec classes configuration.
!
voice class codec 1
 codec preference 1 g729
 codec preference 2 g7231r53
 codec preference 3 g726r32
!
!
!
! SIP UA configuration.
!
sip-ua
 user-register
 sip-server 192.168.1.151
 signaling-port 50639
 remote-party-id
 route-by-auxiliary
 register e164
!
!
! MGCP configuration.
!
mgcp
 no codec
 vad
!
!
! Tones
voice class clear-down-tone 0 450 0 500 500
!
!
!
!
!

[Дмитрий Червонобаб]

SofroN, адпак простой как две копейки, всё и тут правильно, на мой взгляд.
В первом вашем сообщении -это актуальный конифг, с которым не работает как раз?

[SofroN]

Дмитрий Червонобаб, да актуальный. Скинул вам на почту полный конфиг микротика офиса с addpac

[Дмитрий Червонобаб]

SofroN, На вскидку, проблем с конфигом не вижу, но я не ас l2tp/pptp, ipsec ближе.
Почему, кстати, не используется ipsec?

По хорошему, нужно на каждом узле делать дамп и ловить проблему по факту.

Банально, попробуйте на Астериске включить запись разговора и убедиться, что голос при проблемном вызове на АТС приходит с двух сторон. Давайте так попробуем.

[SofroN]

Дмитрий Червонобаб, Добавил eoip тунель до телефонной сети, изменений нет. Поставил adpac напрямую в офис с атс ситуация не изменилась. Сигнализация есть, поднятую трубку не видит.
Спасибо за помощь.

Answer 1

[SofroN]

Addpac был проверен, на трех АТС. Две из них ELTEX, одна в офисе, вторая у провайдера. И на Астериске. На всех одна и таже проблема.
Addpac буду возвращать.