Как правильно открыть порты на микротике для sip?

Question

[Роман Рензин]

Помогите новичку, наблюдаются проблемы что входящие звонки не приходят на телефонию.
Арендуем номера у Битрикс то есть сервер телефонии тоже их, нашел статью на хелп деск Битриксhttps://helpdesk.bitrix24.ru/open/1272906/ .
Настроил правила в файрволе
Вот правила пакеты идут, в конектионне есть соедения с сервером sip Битрикса по портам 5060, service sip отключил так, как это требования Битрикса.

Answer 1

[Keffer]

5060 это порт только для установки соединения и сигнализации. Для голоса нужен диапазон портов UDP а какой он вам только саппорт битрикса может сказать. Вот этот диапазон и надо пробрасывать.

Comments

[Роман Рензин]

Rtp порты, я так понимаю это от 8000-48000 и как мне пробросить порты если у меня 5 станций и Битрикс выдают 100 айпи адресов ?

[Keffer]

Значит открыть этот диапазон портов для всего интернета, 0.0.0.0/0

[Роман Рензин]

Keffer, Я думаю, что это слишком плохо, в инструкции они не пишут, что не нужно пробрасовать порты, пишут что должно быть открыто в локальной сети, я же правильно в цепочке forward открыл порты ?

[Keffer]

Роман Рензин, Нет, не правильно. Порты открываются не в фаерволе и тем более не в форвард. Курите мануалы или наймите специалиста, который все настроит.

[Роман Рензин]

Keffer, как не в файрволе, а на винбокс, я открыла 8291порт, на на входящие интерфейс wan и все работает (только с воих айпи), а если вы про нат, то открывать на все весь трафик из интернета это очень плохая идея

[Keffer]

Роман Рензин, Повторюсь, уровень вашего понимания работы RouterOS на данном этапе почти нулевой. Единственное что можно это сделать все за вас. Пошагово "тыкни сюда", "нажми туда" вам никто пояснять не будет.

[Роман Рензин]

Keffer, да, уровень низкий, вот я и написал сюда для того, чтобы мне подсказали так, как нет информации, какие ртп порты нужно открывать потому что нет информации в интернете, если бы у нас была своя телефония, то там ясно какие ртп порты, а какие для регистрации.

[Роман Рензин]

poisons, а. Регистрация без проблем проходит. Да спасибо, я тоже думал о том чтобы отключить все дроп правила, именно на форвард, правила приложу позже. Тут проблема что rtp порты не кто не говорит, не битрикс, не voxiplant.

[Fenrir89]

Роман Рензин,

как не в файрволе, а на винбокс, я открыла 8291порт, на на входящие интерфейс wan и все работает (только с воих айпи), а если вы про нат, то открывать на все весь трафик из интернета это очень плохая идея

Нужно делать через Accept input и настройку nat, зачем на весь трафик в статье есть список серверов

[Роман Рензин]

Fenrir89, почему инпут трубки же относится к форварду. Вы имеете ввиду сделать адрес листы и использовать их при пробросе портов ?

[Fenrir89]

Роман Рензин, форвард куда если вы за натом? То есть сервер о вашей внутренней сети ничего не знает, ему запрос прилетел от роутера, сервер отправил обратно на роутер, и этому роутеру надо понять куда дальше отправить, для этого правила nat и есть. Да, а как раз то что вы сделали, плохо так как не фильтруется откуда прилетело, в firewall обязательно добавить эти листы к правилам фильтрации
Ps для понимания как это работает посмотрите цикл видео сети для самых маленьких без негатива, просто и доступно о сложном

[Роман Рензин]

Fenrir89, /ip firewall address-list
add address=0.0.0.0/8 list=BOGON
add address=10.0.0.0/8 list=BOGON
add address=100.64.0.0/10 list=BOGON
add address=127.0.0.0/8 list=BOGON
add address=169.254.0.0/16 list=BOGON
add address=172.16.0.0/12 list=BOGON
add address=192.0.0.0/24 list=BOGON
add address=192.0.2.0/24 list=BOGON
add address=192.168.0.0/16 list=BOGON
add address=198.18.0.0/15 list=BOGON
add address=198.51.100.0/24 list=BOGON
add address=95.213.198.99 list=sip
add address=149.11.34.27 list=sip
add address=149.11.44.91 list=sip
add address=149.56.83.166 list=sip
add address=149.56.83.167 list=sip
add address=38.122.236.126 list=sip
add address=173.237.15.28 list=sip
add address=173.237.12.68 list=sip
add address=173.237.12.69 list=sip
add address=173.237.16.194 list=sip
add address=173.0.146.133 list=sip
add address=173.0.146.163 list=sip
add address=95.213.221.98 list=sip
add address=95.213.228.3 list=sip
add address=198.27.75.221 list=sip
add address=185.164.148.247 list=sip
add address=185.164.148.245 list=sip
add address=185.164.148.237 list=sip
add address=185.164.149.11 list=sip
add address=185.164.149.13 list=sip
add address=185.164.149.31 list=sip
add address=185.164.149.33 list=sip
add address=185.164.149.15 list=sip
add address=185.164.148.216 list=sip
add address=185.164.149.19 list=sip
add address=185.164.149.21 list=sip
add address=185.164.148.234 list=sip
add address=185.164.148.232 list=sip
add address=185.164.149.26 list=sip
add address=185.164.149.28 list=sip
add address=185.164.148.228 list=sip
add address=185.164.148.226 list=sip
add address=185.164.148.214 list=sip
add address=185.175.44.164 list=sip
add address=185.164.149.34 list=sip
add address=185.164.148.244 list=sip
add address=185.164.148.233 list=sip
add address=185.164.149.20 list=sip
add address=185.164.148.217 list=sip
add address=185.164.149.32 list=sip
add address=185.164.148.213 list=sip
add address=185.164.149.22 list=sip
/ip firewall connection tracking
set tcp-established-timeout=1h
/ip firewall filter
add action=accept chain=input comment=established/related/untra \
connection-state=established,related,untracked
add action=accept chain=input comment=gre in-interface-list=WAN protocol=gre
add action=drop chain=input comment="drop invaled" connection-state=invalid \
in-interface-list=WAN
add action=accept chain=input dst-port=8291 in-interface-list=WAN log=yes \
protocol=tcp src-address-list=Manager
add action=accept chain=input comment="l2tp/ipsek udp" dst-port=1701,4500,500 \
in-interface-list=WAN protocol=udp
add action=accept chain=input in-interface-list=WAN protocol=ipsec-esp
add action=accept chain=input in-interface-list=WAN protocol=ipsec-ah
add action=add-src-to-address-list address-list=TrapAddress \
address-list-timeout=1d chain=input comment="Trap for port scanning" \
in-interface-list=WAN protocol=tcp psd=10,10s,3,1
add action=accept chain=input comment=icmp icmp-options=8:0 in-interface-list=\
WAN limit=5,5:packet protocol=icmp
add action=drop chain=input comment="drop vsego" in-interface-list=WAN
add action=accept chain=forward comment=established/related/untracker \
connection-state=established,related,untracked
add action=drop chain=forward comment="drop invaled" connection-state=invalid \
in-interface-list=WAN
add action=accept chain=forward dst-port=5060,8000-48000,3478 \
out-interface-list=WAN protocol=udp
add action=accept chain=forward dst-port=5060,3478,443 out-interface-list=WAN \
protocol=tcp
add action=accept chain=forward in-interface=keenetic out-interface=\
"Microtik home"
add action=accept chain=forward in-interface="Microtik home" out-interface=\
keenetic
add action=drop chain=forward comment="Reject BoGogon" dst-address-list=BOGON \
out-bridge-port-list=WAN out-interface-list=WAN
add action=drop chain=forward comment="drop vsego/!dst-nat" \
connection-nat-state=!dstnat in-interface-list=WAN
/ip firewall nat
add action=src-nat chain=srcnat out-interface-list=WAN to-addresses=\
46.46.168.138
add action=dst-nat chain=dstnat dst-port=5060 in-interface-list=WAN log=yes \
protocol=udp src-address-list=sip to-addresses=192.168.88.20
add action=dst-nat chain=dstnat dst-address-list=sip dst-port=5060 \
in-interface-list=WAN log=yes protocol=udp to-addresses=192.168.88.20
add action=dst-nat chain=dstnat dst-port=3478 in-interface-list=WAN log=yes \
protocol=udp src-address-list=sip to-addresses=192.168.88.20
add action=dst-nat chain=dstnat dst-port=8000-48000 in-interface-list=WAN log=\
yes protocol=udp src-address-list=sip to-addresses=192.168.88.20
add action=dst-nat chain=dstnat dst-port=5060,3478,8000-48000 \
in-interface-list=WAN log=yes protocol=udp src-address-list=sip \
to-addresses=192.168.88.21
add action=dst-nat chain=dstnat dst-port=5060,3478,8000-48000 \
in-interface-list=WAN log=yes protocol=udp src-address-list=sip \
to-addresses=192.168.88.22
add action=dst-nat chain=dstnat dst-port=5060,3478,8000-48000 \
in-interface-list=WAN log=yes protocol=udp src-address-list=sip \
to-addresses=192.168.88.23
add action=dst-nat chain=dstnat dst-port=5060,3478,8000-48000 \
in-interface-list=WAN log=yes protocol=udp src-address-list=sip \
to-addresses=192.168.88.24
add action=dst-nat chain=dstnat dst-port=5060,3478,8000-48000 \
in-interface-list=WAN log=yes protocol=udp src-address-list=sip \
to-addresses=192.168.88.25
/ip firewall raw
add action=drop chain=prerouting src-address-list=TrapAddress
add action=notrack chain=prerouting dst-address-type=multicast \
in-interface-list=WAN
add action=notrack chain=prerouting dst-address-type=multicast in-interface=\
"Microtik home"
add action=notrack chain=prerouting dst-address-type=multicast in-interface=\
keenetic
add action=notrack chain=prerouting dst-address-type=multicast in-interface=\
school1561
add action=notrack chain=output disabled=yes out-interface=ether1
Вот как я начал делать, я без негатива, но как я знаю инпут он отвечает за микротик, там всякие сервисы и тд, но не как за телефонию.

[Fenrir89]

Есть же to address list, свои устройства тоже можно спрятать в листы, и получится куда меньше правил, в которых комуто придётся разбираться

[Fenrir89]

инпут он отвечает за микротик, там всякие сервисы

правильно, а маршрутизация пакетов их маркировка, коннектов и их маркировка, и не дай бог контекста вложений пакетов, тоже внутренние сервисы роутера

[Роман Рензин]

Fenrir89, Я ими пользуюсь, просто удалил, чтобы тут не видели мой айпи с которых я хожу, я же правильно начал делать ? dst nat сделал адрес листы с айпи, который дает битрикс, и прокинул их на айпи телефонии.

[Fenrir89]

Роман Рензин, смотрел поверхностно, основное правильно вроде правильно, логи на udp только для теста?

[Роман Рензин]

Fenrir89, да, я смотрю, идут ли те айпи адреса которые я задал в адрес листах