С NATом более-менее понятно, считаем что с sip-user'ом проблем нет.
Интересуют подробности по первой части:
< "- прописать маршруты на Asterisk.
< Дефол сделать MIKROTIK и добавить маршрут на SIP провайдера через 10.152.22.129"
1) Mikrotik поставлен дефолтным шлюзом для asterisk. тут, что называется, без вариантов.
2) "добавить маршрут на SIP провайдера через 10.152.22.129". Этот маршрут на астериске должен быть как дополнение к правилу на Mikrotik'e (которое src. address 10.152.22.130 <---> dst.address 10.152.22.129) или там оно вообще не нужно? В чем вообще разница, если на астериске и на микротике указывается один и тот же статический маршрут?
>У тебя L2 канал к SIP провайдеру?
Пардон, написал неточно- 10.152.22.129 это роутер от sip-провайдера (Ростелеком).
Сам транк на asterisk'е регистрируется на Sip-сервере в другой подсети Ростелекома 10.154.22.0, который за этим роутером. Доступа в их вебинтерфейс, естественно, нет.
По поводу L2 ли это- похоже, что да.
> Какой у шлюза адрес?
у Mikrotik, имеющего выход в интернет ip 10.152.22.226
Вышла небольшая пауза- не было физического доступа к оборудованию все эти дни.
С "красным крестом" разобрался- я по ошибке создал виртуальный адаптер не для той сетевой карты.
Итоговая конфигурация вышла такая:
На коммутаторе HP:
VLAN1- порт 7 Include,Tagged, порт 15 Exclude, Untagged
VLAN2- порт 7 Include, Tagged, порт 15 Include,Tagged
На тестовых ПК установлен Realtek Ethernet Diagnostic Utility, через которые виртуальным адаптерам выдан VLAN ID=2
1) ПК на 7 порту свитча:
адаптер сетевой карты: ip 192.168.0.161 , маска 255.255.255.0, шлюз 192.168.0.1, DNS 192.168.0.1
виртуальный адаптер: ip 192.168.14.161 , маска 255.255.255.0, шлюз и DNS не указаны
2) ПК на 15 порту свитча:
адаптер сетевой карты: ip 192.168.0.187 , маска 255.255.255.0, шлюз 192.168.0.1, DNS 192.168.0.1
виртуальный адаптер: ip 192.168.14.187 , маска 255.255.255.0, шлюз и DNS не указаны
Теперь ПК на 7-ом порту HP виден из нулевой подсети и четырнадцатой подсети.
ПК на 15 порту в изолированном VLANe, всё как и должно быть
Смущает только односторонняя видимость с 192.168.14.187 --->192.168.14.161.
Хотя должно быть в обе стороны: виртуальные адаптеры же в одной подсети и одном VLANe.
Ну и, получается, как такового Port based VLAN на этот коммутаторе нет.
res2001, Адаптеры появились, ввёл для обоих ПК ip 192.168.14.x , маска 255.255.255.0. Шлюз, я так понимаю, указывать не нужно
В свойствах драйвера, проверил, у обоих ПК VLAN ID=2.
Дальше не знаю что делать- каким образом виртуальный адаптер будет взаимодействовать с адаптером, в который физически воткнут кабель? Нужно сетевой мост или что-то подобное делать?
VLAN1: порт 7 tagged, 2 untagged
VLAN2: порт 7 tagged, 15 tagged
В сетевых картах ПК на 7 и 15 порту есть параметр Приоритет и VLAN, по умолчанию enabled, т.е. теги и марикировку пакетов оба ПК должны поддерживать.
Пробовал параметр переводить в disabled
Ещё пробовал использовать Realtek Ethernet Diagnostic Utility, задал пк на 7 и 15 портах VLAN ID=2
во всех случаях ПК всё равно друг друга не пингуют.
res2001, можете рассказать, как именно действовать? В VLAN- Configuration помимо дефолтного VLAN1 создал VLAN2. Далее, по аналогии с вышеуказанной инструкцией d-link пункта port based VLAN нет:
Ситуация такая: например, VLAN1: порт 7 и 2
VLAN2: 7 и 15
Пробовал следующее: в Port Membership в VLAN2 добавляю порт 7 и 15, соответвенно из VLAN1 они ушли. Чтобы порт 7 был в обеих VLAN свитч предупреждает, что порт должен быть теггированым. Ок, делаю 7 порт tagged, теперь выходит следующее:
VLAN1: порт 7 tagged, 2 untagged
VLAN2: порт 7 tagged, 15 untagged
Пересекающийся порт есть, и по идее ПК на 15 порту должен пинговать ПК на 7 порту, но этого не происходит. В чём ошибка? Или вообще не те действия делаю?
none7, VPN или ipsec не имеет смысла настраивать- между логгером и sip сервером только новый маршрутизатор HP 1920S. Если убрать один из неуправляемых коммутаторов "на пути", можно сказать, что они оба физически заходят в HP 1920S.
Судя по всему виновник глюков- ClamAV:
В журнале dmesg обнаружил следующее: Out of memory:Kill process 32286 (clamd) score 465 or sacrifice child
И через утилиту top заметил, что иногда по непонятной причине процессы clamd и clamscan в течение минут 10-15 начинают использовать процессор на 98-99% (но использование оперативы при этом нормальное)
В сетевых подключениях через ss и netstat ничего подозрительного не увидел.
Смущает, что провайдер выдал имя транка в виде "trunkname", а не, например "123456" (т.е. в буквенном, а не числовом виде). Может в этом ошибка? В примерах конфигов транков, которые есть в интернете, везде указывается название в числовом формате.
Прокси поднят в виде связки squid+ipcad+lightsquid (для мониторинга трафика), однако, я не нашёл как в том же squid сделать избирательную блокировку с условиями, описанными в шапке вопроса
Сослан, спасибо, с таким приоритетом действительно заработало! Хотя до этого вроде пробовал такой вариант... Видимо не работало из-за того, что перезагружал астериск командой core restart now, что не подхватывало новый конфиг диалплана, только после команды dialplan reload заработало.
Написано
Войдите на сайт
Чтобы задать вопрос и получить на него квалифицированный ответ.
С NATом более-менее понятно, считаем что с sip-user'ом проблем нет.
Интересуют подробности по первой части:
< "- прописать маршруты на Asterisk.
< Дефол сделать MIKROTIK и добавить маршрут на SIP провайдера через 10.152.22.129"
1) Mikrotik поставлен дефолтным шлюзом для asterisk. тут, что называется, без вариантов.
2) "добавить маршрут на SIP провайдера через 10.152.22.129". Этот маршрут на астериске должен быть как дополнение к правилу на Mikrotik'e (которое src. address 10.152.22.130 <---> dst.address 10.152.22.129) или там оно вообще не нужно? В чем вообще разница, если на астериске и на микротике указывается один и тот же статический маршрут?
P.S. добавляю схему сети для большей наглядности