kirbak: в вашем фаерволе нельзя указывать домен?
Посмотрите сколько А-записей на домене, скорее всего одна и возьмите ip оттуда.
Еще хороший вам совет дали ниже. Либо.Сделать как там, либо: В качестве основного шлюза указать чтото заведомо не правильное и прописать статический маршрут до вашего сервера. Это даже без применения фаерволла получается.
kirbak: нет, не знаю.
3 правила, при условии что по-умолчанию все разрешено:
allow gre from me to 1.1.1.1 out via rl0 keep-state
allow tcp from me to 1.1.1.1 1723 out via rl0 keep-state
deny ip from me to any out via rl0
где 1.1.1.1 - адрес впн-сервера, rl0 - ваш внешний интерфейс
kirbak: тогда на фаерволле через внешний интерфейс разрешить ходить только до впн-сервера, что позволит только поднять канал. А уже через интерфейс впн-канала будет ходить все.
Андрей Шитько: это коммерческие продукты, из аналогов - TraffucInspector. Вообщем то их полно. Гуглите "билинговые системы".
Через впн Вы можете выпускать пользователей в сеть, но смотреть кто куда ходил всеравно не сможете, после впн трафик всеравно должен идти на проксю.
Андрей Шитько: если у Вас задача смотреть кто куда ходит, то это надо заворачивать трафик на прокси-сервер. И это отдельные темы - статистика и впн-сервер. Маршрутизатор работает на другом уровне и максимум, что вы можете видеть это айпи и порты. Если вы не раскашелитесь на ооочень дорогие железки.
rostel:
Без SIP-ALG несколько voip-шлюзов за NAT не будут работать же?
Asterisk есть, но в данной цепочке он не участвует. Считал его лишним звеном отказа.
Думаете лучше чтобы сип шлюзы и Астериск находились в одной подсети и взаимодействовали между собой, а Астериск уже регился у сип-провайдера + прокинуть на него rtp порты из внешки?
rostel
Пытаюсь отловить звонок, то пользователи не фиксируют время и номер проблемы, то меня нет на месте. Пока дампа нет подходящего.
Но вот что еще выловил.
На всех железках было выставлено:
Listen Port UDP: 5060
RTP Starting Port UDP: 9000
Соответственно при регистрации первая забирала 5060 порт, а все остальные регистрировались на портах 1024 и далее. Может это их как то сбивало?
Я щас прописал на второй, третье и т.д. железке сип-порты 5062, 5064 и т.д. ; rtp порты 9100, 9200 и т.д.
Сразу возник вопрос - через один порт надо указывать, т.е. каждому устройству надо два порта или один? В инете где-то встретил упоминание, что надо два порта. Хотя по логике нужен один порт.
А вот в описании rtp написано, что надо два порта на линию.
И что на счет SIP-ALG, на сколько это глючная вещь, не подскажите? Ее лучше отключить?
Dynaton
сорри, все верно, скорее всего до шлюза от провайдера не доходят rtp-пакеты.
но почему они не доходят в таком маленьком проценте звонков(соединений)? сама проблема в чем может крыться - в таймауте, в занятых портах или еще в чем?
Пробросить порты через NAT на одну железку нельзя, так как железок много.
На всех железках было выставлено:
Listen Port UDP: 5060
RTP Starting Port UDP: 9000
Соответственно при регистрации первая забирала 5060 порт, а все остальные регистрировались на портах 1024 и далее. Может это их как то сбивало?
Я щас прописал на второй, третье и т.д. железке сип-порты 5062, 5064 и т.д. ; rtp порты 9100, 9200 и т.д.
Сразу возник вопрос - через один порт надо указывать, т.е. каждому устройству надо два порта или один? В инете где-то встретил упоминание, что надо два порта. Хотя по логике нужен один порт.
А вот в описании rtp написано, что надо два порта на линию.
Dynaton
nat есть.
Если потерю пакетов из внешки можно как нибудь объяснить, то во внешку то пакеты как могу не уходить? При условии что фаерволл не при чем, а фаерволл не при чем так как 90% звонков проблем не имеют. Что значит проверить RTP порты, на фаерволле и на шлюзах?
@rostel: если связанно с тем, что шлюз не знает, что он за НАТ, то не понятно, почему так редко звонки не проходят, они всегда должны так глючить, нет?
Я искал в настройках пункт, обозначающий что устройство за НАТ - не нашел. ctun отключен.
Щас еще поищю поддержку НАТ и отпишусь.
@rostel: сегодня отловил. было два звонка подряд на один номер, указанный в файле. в обоих проблема с односторонней слышимостью. перезвонили вызываемой стороне с мобильного, она подтвердила, что мы "молчали". в отчете задармы оба звонка числятся, как удачные звонки с длительностью 1 минута. https://yadi.sk/d/yMzGLrKPcMoLM
@rostel
Сегодня по закону подлости "клева не было", все звонки проходили. Единственное что поймал destination unreachable https://yadi.sk/d/VyA8aj1CcLqet - дамп.
Что это может быть?
@Rostel а что конкретно роутер может ломать в sip? в какую сторону загуглить?
Что надо проверить в дампе от сип-шлюза? Их целый пул, я на отдельном буду эксперементировать, но надо знать что выловить. Вдруг трабл в конкретной железке. Чем и объясняется отсутствие голоса в части звонков.
@CatHD и реально задарму уговорить на запись трафика? я с ними бадаюсь уже месяц по этому поводу, они говорят на нашей стороне проблем нет и все.
Что конкретно у них попросить? Так и написать "записать трафик"? Дамп снимать с того, что они предоставят или дамп с порта коммутатора на котором сип-шлюз?
@uwini что именно значит "нельзя уменьшить"? так же не прорисовывается? Проблемы со скачиванием карты возможны из-за проблемами со связью или проблемы в программе, но это только к разработчикам.
