Сообщения без ответов | Активные темы Текущее время: 02 дек 2022, 07:12



Ответить на тему  [ Сообщений: 5 ] 
SIP Trunk через NAT 
Автор Сообщение

Зарегистрирован: 03 авг 2014, 02:53
Сообщения: 16
Понимаю, тема уже была обсосана много раз и не думал, что придется мучатся с этим, но нет. :(

Дано Роутер - Cisco 2900, на порту Gi0/0 белый ИП a.b.c.48

Есть офисная сеть, 10.0.0.0/24 ходит череp NAT в Интернет, тут все ОК.
в сети есть АТС (древняя) которая может SIP Trunk 12 линий. ИП - 10.0.0.128

Есть пару опубликованных внутренних серверов, (443 и 25 порты)

И пока АТС ходила в Интернет через свой маленький домашний роутер (со своим другим реальным ИП) - было все ОК, но он приказал долго жить.
Пришлось переводить все на одну циску.

SIP работает на не стандартном порту (UDP 5070).

Имеем - звонки наружу проходят, но не устанавливаются (нет голоса ни в одну сторону)
Звонки внутрь вообще не проходят.

Что есть в конфиге:

ip inspect name FW sip
interface GigabitEthernet0/0
description INTERNET
ip address a.b.c.48 255.255.255.0
ip access-group INTERNET_FIREWALL_IN in
ip access-group INTERNET_FIREWALL_OUT out
ip nat outside
ip virtual-reassembly in



interface GigabitEthernet0/1.501
description Customer LAN
encapsulation dot1Q 501
ip address 10.0.0.6 255.255.255.0
no ip redirects
no ip unreachables
no ip proxy-arp
ip accounting output-packets
ip pim sparse-mode
ip nat inside
ip inspect FW in
ip virtual-reassembly in


ip nat translation timeout 14400
ip nat translation tcp-timeout 14400
ip nat service sip tcp port 5070
ip nat service sip udp port 5070


ip nat inside source route-map AppOffload interface GigabitEthernet0/0 overload


route-map AppOffload permit 10
match ip address NAT_ACL
match interface GigabitEthernet0/0

ip access-list extended NAT_ACL
permit ip 10.0.0.6 0.0.0.255 any

ip access-list extended INTERNET_FIREWALL_IN
deny ip 0.0.0.0 0.255.255.255 any
deny ip 127.0.0.0 0.255.255.255 any
permit icmp any any
permit udp any any eq isakmp
permit esp any any
permit tcp any any eq 4500
permit udp any any eq non500-isakmp
permit udp any any eq bootpc
permit udp any eq domain any
permit tcp any eq www any established
permit tcp any eq 443 any established
permit tcp any any eq smtp
permit tcp any any eq www
permit gre any any
permit udp any any eq 5070
permit udp any any eq 5060



Уже все перепробовал - не выходит каменный цветок :(


29 ноя 2022, 21:16
Профиль
Аватара пользователя

Зарегистрирован: 03 апр 2013, 16:21
Сообщения: 1517
Настройте CUBE и не мучайте инспекты.


30 ноя 2022, 19:26
Профиль

Зарегистрирован: 03 авг 2014, 02:53
Сообщения: 16
Чем мне в моем примере поможет CUBE, если сама циска в звонках ни как не участвует, только рулит сетью? Да и лицензии на CUBE у меня нет.


Вчера, 14:18
Профиль

Зарегистрирован: 01 янв 1970, 03:00
Сообщения: 190
Надо навешивать инспект на внешний интерфейс.


Вчера, 14:35
Профиль

Зарегистрирован: 03 авг 2014, 02:53
Сообщения: 16
Сейчас и стоит на внешнем - ноль изменений.
Во время вызова смотрю сессии:

sh ip inspect sessions | i sip
Session 3E8F0A50 (193.201.229.35:5070)=>(a.b.c.48:5060) sip SIS_OPEN
Session 3E8E9A30 (10.181.254.128:5060)=>(193.201.229.35:5070) sip SIS_OPEN
Session 3E8E9190 (193.201.229.19:32390)=>(a.b.c.48:2056) sip-RTP-data SIS_OPENING
Pre-gen session 3E8F0600 193.201.229.35[1024:65535]=>a.b.c.48[5060:5060] sip
Pre-gen session 3E8EDF30 193.201.229.19[1024:65535]=>a.b.c.48[2057:2057] sip-RTCP-data
Pre-gen session 3E8E9808 a.b.c.48[1024:65535]=>193.201.229.19[32390:32390] sip-RTP-data
Pre-gen session 3E8E9C58 a.b.c.48[1024:65535]=>193.201.229.19[32391:32391] sip-RTCP-data
Pre-gen session 3E8F48D8 193.201.229.19[1024:65535]=>a.b.c.48[2056:2056] sip-RTP-data
Pre-gen session 3E8EE158 193.201.229.19[1024:65535]=>a.b.c.48[2057:2057] sip-RTCP-data
Pre-gen session 3E8EF6E8 a.b.c.48[1024:65535]=>193.201.229.19[32390:32390] sip-RTP-data
Pre-gen session 3E8E8F68 a.b.c.48[1024:65535]=>193.201.229.19[32391:32391] sip-RTCP-data
Pre-gen session 3E8F3BE8 193.201.229.19[1024:65535]=>a.b.c.48[2056:2056] sip-RTP-data
Pre-gen session 3E8F4260 193.201.229.19[1024:65535]=>a.b.c.48[2057:2057] sip-RTCP-data
Pre-gen session 3E8EDD08 a.b.c.48[1024:65535]=>193.201.229.19[32390:32390] sip-RTP-data
Pre-gen session 3E8EA0A8 a.b.c.48[1024:65535]=>193.201.229.19[32391:32391] sip-RTCP-data
Pre-gen session 3E8F3E10 193.201.229.19[1024:65535]=>a.b.c.48[2056:2056] sip-RTP-data
Pre-gen session 3E8F4D28 193.201.229.19[1024:65535]=>a.b.c.48[2057:2057] sip-RTCP-data
Pre-gen session 3E8EC9A0 a.b.c.48[1024:65535]=>193.201.229.19[32390:32390] sip-RTP-data
Pre-gen session 3E8F03D8 a.b.c.48[1024:65535]=>193.201.229.19[32391:32391] sip-RTCP-data
Pre-gen session 3E8EB860 a.b.c.48[1024:65535]=>193.201.229.35[5070:5070] sip

Видно, что сигнальная сессия установлена, а голосовая - нет. Циска почему то не открывает порт (я так понимаю Pre-gen session - это запрос на открытие).


Вчера, 14:58
Профиль
Показать сообщения за:  Поле сортировки  
Ответить на тему   [ Сообщений: 5 ] 

Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 11


Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Перейти:  
Создано на основе phpBB® Forum Software © phpBB Group
Designed by ST Software for PTF.
Русская поддержка phpBB