Drno, ТСПУ - это DPI, он не смотрит на порты, он ищет сигнатуры. И скорее всего по сигнатурам OpenVPN в скором времени будет блокироваться весь трафик, за исключением белых списков.
Я бы делал костыли из серии: bat-файл, где запускается SSH-туннель, а затем через него OpenVPN.
Для начала было бы неплохо объяснить, что вы вкладываете в понятие "сервер". Если это условный скрипт на python, который держит 100500 одновременных SIP сессий - это одно. Если это SIP-сервер (тот же Asterisk), вокруг которого обвязка на том же python обрабатывает события и скармливает списки номеров для обзвона - это другое.
DALwick, функционал определяется софтом - Router OS. Софт можно поставить в том числе на PC-платформу, только нужно будет купить лицензию.
Производительность и компоновка определяется аппаратной составляющей.
Для решения задачи нужно сформулировать требования (количество и тип портов, объем трафика в Мбит/с, в пакетах/с, количество и тип правил фаервола, наличие шифрования и тип и т.д.) и выбирать конкретную модель.
Никита Траторов, если звонилка умеет, нужно запрещать Direct IP Call. В телефонах Yealink, к примеру, такая опция - https://support.yealink.com/en/portal/knowledge/sh...
Но главная мысль такой ситуации - "наличие NAT не избавляет от необходимости Firewall".
Если ваша телефония работает внутри ограниченного количества лиц (сотрудники компании, мафиозный клан и т.д.) то лучше отказаться от стандартного порта 5060. Ваш локальный порт 1035 я нашел перебором с 1 024 по 65 535. В худшем случае мне пришлось бы сделать 64 511 попытки, пока не попал бы на активную сессию на NAT. Если бы вы использовали нестандартный порт, и я, и боты не нашли бы вашу SIP-сессию... Либо пришлось бы перебирать ~ 4 млрд. пар Source Port - Destination Port.
Не может ли быть, что винда идет в интернет чтобы проверить ваш сертификат на отзыв, и этого интернета как раз нет? В любом случае нужно в сертификат добавлять всю цепочку, если есть кросс-сертификация с другим Центром, то их тоже. Не уверен, правда, что Mikrotik сможет )))
Александр Семененко, если теряет станция, значит на периодический "keepalive" нет ответа. А это 100% из-за NAT.
Двойной NAT - большое зло. Особенно, если на каждом из них есть свой SIP ALG со своими косяками реализации.
Никита Траторов, я попробовал "прозвонить" на указанный на картинке IP-адрес, но, увы, не получилось. Может быть он поменялся, или порт не 5060... Если скажете в личке актуальный IP, попробую позвонить еще раз.
evgeny_greek, вариант 1 (если ничего не понимаете в SIP) - снимаете второй дамп, где "все работает" и сравниваете. Вариант 2 - делаете скриншоты, замазывая логин/номер, выкладываете сюда. Вариант 3 - вникаете сами.
У вас в Wireshark должны отображаться исходящие запросы REGISTER. На них приходят ответы?
Я бы делал костыли из серии: bat-файл, где запускается SSH-туннель, а затем через него OpenVPN.