Я тоже так подумал как и вы, но брандмуер у на отключен на всех машинах через GPO, да и смена ISP как я уже писал вопрос решила. По идее в активном режиме клиент должен отправить серверу PORT command, но почемуто в wireshark я этого не вижу.
Все понял, ни чего не мешало из сети 10.1.2.0/24 отправить любой ip пакет до любого назначения, но! Когда dns-reply хотел выйти из интерфейса vlan2, чтобы попасть к хосту из 10.1.2.0/24, он дропался по deny ip any 10.1.0.0 0.0.255.255 =)
Если информация из заголовка пакета попадает под первое правило, то все последующие правила не распространяются на этот пакет.
Я уже сделал по другому, вместо ip access-group mylist out, поставил in.
Это решило мою проблему, правда мне до сих пор не понятно про in и out, какие пакеты считать входящими, а какие выходящими, и может ли пакет входить на интерфейс не со стороны подключаемой к нему сети, а со стороны других интерфейсов маршрутизатора.
Т.е. у меня в Москве, Питере и Хабаровске 3 разных сервера Asterisk, и можно для всех настроить единый диапазон внутренних линий, но если звонить на 1ХХ из Хабаровска, то попадешь в Москву ? А каков в данном случае будет маршрут следования ip-пакета, при наличии прямого линка, пакет на прямую будет передан из Хабаровска в Москву?
Напишите по подробнее про разные серваки пожалуйста, мне бы хотелось, чтобы в каждом филиале был свой локальный сервак с внешними линиями, но в то же время, что по внутреннему номеру можно было дозвнится в другой филиал минуя ЦО.
Чтобы один sip-абонент с номером 101 мог позвонить абоненту с номером 102, требуется чтобы оба клиента были подключены к одному и тому же серверу, по этому чистого p2p не получится. Для установления соединения нужен небольшой трафик до сервера.
Про топологии в обще вас не понял. Маршрут может быть разный, между клиентами может быть 2 хопа, может быть 1, это зависит от топологии, но звонить можно в любом случае, это да.
Как можно продублировать ядро? 3560 это L3-коммутатор, как зарезервировать L2-коммутатор мне понятно, как зарезервировать маршрутизатор тоже(VRRP), но как зарезервировать 3560 объясните.
А как быть в сетях на 1000+ устройств, я читал что сеть делят логический на уровень ядра, уровень распределения и уровень доступа, в ядре самый мощный(мощные) маршрутизаторы, на распределении послабее, но я не могу понять как связаны производительность маршрутизатора и пропускная способность интерфейсов, можно купить cisco 7200, безумно дорогую хрень, которую какраз используют на уровне ядра, а интерфейсы будут 100мбит.
Как правило на маршрутизаторах по 2-3 интерфейса, следовательно агрегировать можно максимум 2, чтото не вяжется. Но за идею спасибо. Я уверен, что есть какоето типовое решения, т.к. есть сети на 1000+ устройств, и эти сети появились не вчера или в прошлом году, задача не новая в общем то.
Не понял про префикс, я знаю, что до нескольких сетей можно указать суммарный маршрут, но если у меня будет L3-коммутатор, скажем cisco 3650, то для каждой сети у меня будет свой интерфейс c ip-адресом, например vlan1 - 172.16.0.1/24, vlan2 - 172.16.1.1/24. Единственное, что мне приходит в голову пор префикс, это суммированный маршрут, но в данном ситуации, у меня один маршрутизатор(l3-коммутатор) и суммировать чтото смысла нет.
netstat -u не показывает udp сокеты, зато netstat -au показывает, эх как все сложно у этих маленьких консольных командочек. Знал бы раньше не спрашивал бы конечно.