Anticisco
http://anticisco.ru/forum/

CUCME за NAT
http://anticisco.ru/forum/viewtopic.php?f=2&t=11272
Страница 1 из 1

Автор:  Maxische [ 23 мар 2020, 20:41 ]
Заголовок сообщения:  CUCME за NAT

Доброго дня. Cisco 2821 с телефонией CUCME находится в локальной сети за NAT. Провайдер SIPNET, нужно также, чтобы доступ был открыт только с его адресов. Интересует рабочая конфигурация, как правильно пробросить диапазон портов на пограничном Cisco 2911. Статей на эту тему хватает, однако пока каменный цветок что-то не выходит )) Привожу часть своей конфиги, что относится к вопросу. 192.168.20.100 - адрес 2821 в локалке.

version 15.7
!
ip inspect name VOIP sip
!
object-group network VOIP_ALLOW
host 212.53.40.40
!
interface GigabitEthernet0/0 (смотрит в интернет)
ip access-group 107 in
ip inspect VOIP in
!
ip nat portmap voip
cisco-rtp-h323-low
cisco-rtp-h323-high
cisco-rtp-sip-high
cisco-rtp-sip-low
cisco-rtp-skinny-high
cisco-rtp-skinny-low
cisco-rtp-udp-high
cisco-rtp-udp-low
!
ip nat inside source static udp 192.168.20.100 5060 interface GigabitEthernet0/0 5060
ip nat inside source static tcp 192.168.20.100 5060 interface GigabitEthernet0/0 5060
ip nat inside source route-map cmemap interface GigabitEthernet0/0 overload portmap voip
!
ip access-list extended cme
permit ip host 192.168.20.100 any
!
route-map cmemap permit 10
match ip address cme
match interface GigabitEthernet0/0
!
access-list 107 permit ip object-group VOIP_ALLOW any log
access-list 107 permit ip any object-group VOIP_ALLOW log
access-list 107 deny tcp any any eq 5060 log
access-list 107 deny udp any any eq 5060 log
access-list 107 deny tcp any any eq 2000 log
access-list 107 deny udp any any eq 2000 log
access-list 107 deny tcp any any eq 1720 log
access-list 107 deny udp any any eq 1720 log
access-list 107 deny icmp any any echo log
access-list 107 deny icmp any any redirect log
access-list 107 deny icmp any any timestamp-request log
access-list 107 deny icmp any any information-request log
access-list 107 deny icmp any any mask-request log
access-list 107 permit ip any any

Автор:  root99 [ 23 мар 2020, 20:56 ]
Заголовок сообщения:  Re: CUCME за NAT

в вашем варианте лучше sip-ua поднять на пограничном c2911 с реальным ip

Автор:  Maxische [ 23 мар 2020, 21:32 ]
Заголовок сообщения:  Re: CUCME за NAT

А чем лучше, Вы не могли бы пояснить ?

Автор:  Silent_D [ 24 мар 2020, 00:56 ]
Заголовок сообщения:  Re: CUCME за NAT

Maxische писал(а):
как правильно пробросить диапазон портов на пограничном Cisco 2911.

По хорошему нужно пробросить только SIP Signaling port (5060) от провайдера.
Остальное должен отрабатывать FW и SIP ALG.
Тут требуются некоторые танцы с бубном и понимание процесса.

Второй вариант, который уже озвучили, это поднять на 2911 SIP SBC.
Потребуется ли там SIP-UA, зависит от типа авторизации у провайдера.
Тут, впрочем, тоже понимание процесса понадобится.

Автор:  Maxische [ 24 мар 2020, 08:54 ]
Заголовок сообщения:  Re: CUCME за NAT

Благодарю за ответ, я примерно так и думал. В той же подсети стоят телефоны с городскими номерами от Манго, там всё работает на ура, без всяких SIP Proxy и STUN. А вот с роутером не всё гладко, хотя аналогия почти прямая. Вы не привели бы пример рабочей конфигурации, в первую очередь для лучшего понимания процессов ?

Страница 1 из 1 Часовой пояс: UTC + 3 часа
Powered by phpBB® Forum Software © phpBB Group
http://www.phpbb.com/