Как подключить клиентов SIP, находящихся за NAT?

Question

[Алексей Смирнов]

Добрый день! Есть сервер "Awaya Office IP" в корпоративной сети, адрес сервера например 10.0.0.2. К сети подключен роутер Asus RT-N12 через порт WAN со статическим адресом 10.0.0.3. На роутере включен NAT и DHCP, которые создают подсеть 192.168.0.0/24. Внутри подсети подключен IP-телефон клиента, имеющий например адрес 192.168.0.2. Модель телефона "Awaya J129". Одно из требований IP-провайдера - это доступность портов TCP 5061 и UDP 1024-65535 в обе стороны. По TCP 5061 происходит сигнализация, по портам UDP голос. Перенаправить порт 10.0.0.3:5061 на 192.168.0.2:5061 у меня получилось без проблем. В настоящий момент с IP-телефона клиента идет дозвон на любой номер. Но при соединении (взятии трубки) нет голоса в обе стороны. Подскажите - какие правила можно было бы задать в роутере, чтобы разрешить диапазон UDP 1024-65535 для телефона 192.168.0.2 ? Я пытался их прописывать разными способами, но голос не передается через NAT. Может быть причина в другом? Не в портах, а ещё чего-то не хватает в настройках ? P.S. при соединении телефона напрямую в сеть 10.0.0.0/24, минуя роутер, связь работает без проблем, голос в обе стороны, поэтому провайдер утверждает, что его миссия выполнена, услуги предоставляются без ограничений и никакие настройки на сервере менять не собирается, а проблему с роутером я должен решать сам.

Answer 1

[Армянское Радио]

Чтобы правильно работал NAT через роутер, должен быть настроен один из вариантов

1) Телефон должен уметь делать дырку в NAT. Это всякие технологии типа STUN, TURN и прочие, находящиеся под общим термином ICE

2) АТС и телефон должны понимать, что между ними есть NAT - нужно сделать соответствующие настройки и там и там.

Что касается проброса портов в роутере, это действие не совсем для данного случая - оно нужно, когда у вас за роутером единственный эндпоинт (типа ATC), куда должны приходить входящие звонки (например, от внешенго провайдера телефонии)

Я бы рекомендовал избавиться от NAT и DHCP, работающих в роутере - перевести его в режим точки доступа.

Comments

[Алексей Смирнов]

Спасибо, про STUN почитал. Насколько я понял, раз IP-сервер в той же сети, то он мог бы сразу выполнять роль STUN-сервера. Но это в любом случае епархия хозяина сервера и я вмешаться туда не смогу.

Проброс портов на самом деле ничего не дал. Так как из внутренней подсети сервер и так был виден без всякого проброса. И исходящий звонок и так работал. А перенаправление входящего порта с роутера на телефон ничего не улучшило.

Если избавиться от NAT и DHCP, то придется на всех ПК в подсети менять IP на статические. Я конечно рассматривал этот вариант. Но он очень трудоемкий, т.к. количество устройств порядка 100 и + клиенты Wi-Fi со смартфонами, которым прописывание статического IP-адреса точно не подойдет.

Значит остается только вариант проведения кабеля к каждому телефону (телефонов порядка 15). И все телефоны подключить напрямую, минуя NAT. Он тоже трудозатратный, но менее рискованный, т.к. не затронет работу остальных клиентов уже настроенной подсети.

Ок. Спасибо за ответ.

[Армянское Радио]

Алексей Смирнов, ведь можно перенести роль маршрутизатора на другое устройство - сделать не NAT, а обычную маршрутизацию пакетов и фильтрацию.

[Алексей Смирнов]

Вы имеете ввиду на сервере Windows Server поставить две сетевые карты. Одну воткнуть во внешнюю сеть, вторую во внутреннюю, и между ними настроить маршрутизацию? При этом NAT у нас отключается, будет как-бы мост, соединяющий две подсети. И тогда голос будет спокойно проходить через этот мост. Вы это имеете ввиду?

[Армянское Радио]

Алексей Смирнов, Я не знаю, как устроена ваша сеть и что у вас есть в наличии (например, где в сети расположена Авайа), но имею в виду примерно это.

[Алексей Смирнов]

Фокс Йовович, адрес сервера Awaya - 10.0.0.2. К сети подключен роутер Asus RT-N12 через порт WAN со статическим адресом 10.0.0.3. На роутере включен NAT и DHCP, которые создают подсеть 192.168.0.0/24. Внутри подсети подключен IP-телефон клиента, имеющий например адрес 192.168.0.2