Сообщения без ответов | Активные темы Текущее время: 01 дек 2022, 13:38



Ответить на тему  [ Сообщений: 2 ] 
SIP Trunk через NAT 
Автор Сообщение

Зарегистрирован: 03 авг 2014, 02:53
Сообщения: 14
Понимаю, тема уже была обсосана много раз и не думал, что придется мучатся с этим, но нет. :(

Дано Роутер - Cisco 2900, на порту Gi0/0 белый ИП a.b.c.48

Есть офисная сеть, 10.0.0.0/24 ходит череp NAT в Интернет, тут все ОК.
в сети есть АТС (древняя) которая может SIP Trunk 12 линий. ИП - 10.0.0.128

Есть пару опубликованных внутренних серверов, (443 и 25 порты)

И пока АТС ходила в Интернет через свой маленький домашний роутер (со своим другим реальным ИП) - было все ОК, но он приказал долго жить.
Пришлось переводить все на одну циску.

SIP работает на не стандартном порту (UDP 5070).

Имеем - звонки наружу проходят, но не устанавливаются (нет голоса ни в одну сторону)
Звонки внутрь вообще не проходят.

Что есть в конфиге:

ip inspect name FW sip
interface GigabitEthernet0/0
description INTERNET
ip address a.b.c.48 255.255.255.0
ip access-group INTERNET_FIREWALL_IN in
ip access-group INTERNET_FIREWALL_OUT out
ip nat outside
ip virtual-reassembly in



interface GigabitEthernet0/1.501
description Customer LAN
encapsulation dot1Q 501
ip address 10.0.0.6 255.255.255.0
no ip redirects
no ip unreachables
no ip proxy-arp
ip accounting output-packets
ip pim sparse-mode
ip nat inside
ip inspect FW in
ip virtual-reassembly in


ip nat translation timeout 14400
ip nat translation tcp-timeout 14400
ip nat service sip tcp port 5070
ip nat service sip udp port 5070


ip nat inside source route-map AppOffload interface GigabitEthernet0/0 overload


route-map AppOffload permit 10
match ip address NAT_ACL
match interface GigabitEthernet0/0

ip access-list extended NAT_ACL
permit ip 10.0.0.6 0.0.0.255 any

ip access-list extended INTERNET_FIREWALL_IN
deny ip 0.0.0.0 0.255.255.255 any
deny ip 127.0.0.0 0.255.255.255 any
permit icmp any any
permit udp any any eq isakmp
permit esp any any
permit tcp any any eq 4500
permit udp any any eq non500-isakmp
permit udp any any eq bootpc
permit udp any eq domain any
permit tcp any eq www any established
permit tcp any eq 443 any established
permit tcp any any eq smtp
permit tcp any any eq www
permit gre any any
permit udp any any eq 5070
permit udp any any eq 5060



Уже все перепробовал - не выходит каменный цветок :(


29 ноя 2022, 21:16
Профиль
Аватара пользователя

Зарегистрирован: 03 апр 2013, 16:21
Сообщения: 1517
Настройте CUBE и не мучайте инспекты.


Вчера, 19:26
Профиль
Показать сообщения за:  Поле сортировки  
Ответить на тему   [ Сообщений: 2 ] 

Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 5


Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Перейти:  
cron
Создано на основе phpBB® Forum Software © phpBB Group
Designed by ST Software for PTF.
Русская поддержка phpBB