0 Список сравнения
0 Избранные товары
0
Страницы: 1
ATC NS-500 и Mikrotik-951, проброс портов
 
Здравствуйте Уважаемые коллеги.
Помогите пожалуйста разобраться в следующей ситуации.
Есть
1.АТС Pansonic NS-500, включена во внутреннюю сеть.
2.Удаленный телефон (серии UT) за пределами внутренней сети
3.Cтарый роутер Zuxel с NATом, подключен в интернет на белом статическом IP
4.Для работы удаленного телефона в роутере настроен проброс портов 16000-16511,5060,37457,37580 с WAN интерфейса на IP АТС.
5.Все прекрасно работало.
Заменили глючный роутер Zuxel на Microtik RB951
В Microtike, на вкладке IP--Firewall--NAT прописали аналогичный проброс портов.
Chain = dstnat
Protokol = соответствующий (TCP/UDP)
Dst.Port = Указанный выше
in.Interface = ethernet1(WAN)
Action = dstnat
To address = внутренний IP ATC
Удаленный телефон не работает.
Для проверки работоспособности проброса портов в Microtike настроил проброс RDP
RDP - работает. Вывод - проброс работает.
Куда копать? Где проблема зарыта?
 
Если я верно понял зиксель - воиптелефон, значит должно быть микротик-воиптелефон , а не  To address = внутренний IP ATC
Должно быть ипшник телефона/порт телефона, а не атс
В общем попадая на 91,91,91,91 5060 должен идти на 192,168,5,5 5060 , атс здесь не при чём
 
RB951 слабовата для таких целей да и глючная модель.
Конфиг настроек микротика кто будет выкладывать, телепаты в отпуске.
Попробуйте UPNP включить на микротике.
А также сделать проброс всего диапазона портов на атс и полное разрешение в фаере и проверить.
 
Коллега Vaquero, Вы не правильно поняли. Речь идет не о подключении VOIP-телефона ко мне во внутреннюю сеть, а о подключении к офисной АТС, находящейся во внутренней сети, телефона из внешней сети. Для этого должен быть организован проброс указанных портов из WAN на внутренний IP-адрес АТС.
(Добавление)
В дополнении к правилам NAT прописал теже порты в фильтре фаервола
Chain = forward
in.Interface = eth1(WAN)
action = accept
Поднял их в самый верх и телефон заработал.
Решил проверить достигнутый успех перезапуском MikroTika и фигвам, телефон опять не работает.
Про UPNP смогу отписаться завтра, т.к. заниматься настройками могу только в не рабочее время.

Выкладываю конфиг
# aug/29/2016 13:37:14 by RouterOS 6.34.2
# software id = 7AEQ-RJWD
#
/interface bridge
add admin-mac=6C:3B:6B:49:99:27 auto-mac=no comment=defconf name=bridge
/interface wireless
set [ find default-name=wlan1 ] band=2ghz-b/g/n channel-width=20/40mhz-Ce \
   country=russia disabled=no frequency=auto mode=ap-bridge ssid=wifi-1 \
   tx-power-mode=all-rates-fixed wireless-protocol=802.11
/interface ethernet
set [ find default-name=ether2 ] name=ether2-master
set [ find default-name=ether3 ] master-port=ether2-master
set [ find default-name=ether4 ] master-port=ether2-master
set [ find default-name=ether5 ] master-port=ether2-master
/ip neighbor discovery
set bridge comment=defconf
/interface wireless security-profiles
set [ find default=yes ] authentication-types=wpa-psk,wpa2-psk mode=\
   dynamic-keys wpa-pre-shared-key=123456 wpa2-pre-shared-key=123456
add authentication-types=wpa-psk,wpa2-psk mode=dynamic-keys name=profile \
   wpa-pre-shared-key=1234 wpa2-pre-shared-key=1234
/interface wireless
add disabled=no mac-address=6E:3B:6B:11:99:82 master-interface=wlan1 name=\
   wlan2 security-profile=profile ssid=guest-1
/ip pool
add name=dhcp ranges=192.168.1.10-192.168.1.90
/ip dhcp-server
add address-pool=dhcp disabled=no interface=bridge name=defconf
/interface bridge filter
add action=drop chain=forward in-interface=wlan2
add action=drop chain=forward out-interface=wlan2
/interface bridge port
add bridge=bridge comment=defconf interface=ether2-master
add bridge=bridge comment=defconf interface=wlan1
add bridge=bridge interface=wlan2
/interface wireless access-list
add interface=wlan2
add interface=wlan1 mac-address=AC:EE:9E:61:6A:E8 vlan-mode=no-tag
/ip address
add address=192.168.1.2/24 comment=defconf interface=ether2-master network=\
   192.168.1.0
add address=91.91.91.170/29 interface=ether1 network=91.91.91.168
/ip dhcp-client
add comment=defconf dhcp-options=hostname,clientid interface=ether1
/ip dhcp-server network
add address=192.168.1.0/24 comment=defconf gateway=192.168.1.2 netmask=24
/ip dns
set allow-remote-requests=yes servers=8.8.8.8
/ip dns static
add address=192.168.1.2 name=router
/ip firewall filter
add chain=forward comment="\C0\D2\D1" dst-port=16000-16511 in-interface=\
   ether1 protocol=udp
add chain=forward dst-port=15060 in-interface=ether1 protocol=udp
add chain=forward dst-port=37547,37580 in-interface=ether1 protocol=tcp
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" \
   connection-state=established,related
add chain=forward comment="defconf: accept established,related" \
   connection-state=established,related
add action=drop chain=forward comment="defconf: drop invalid" \
   connection-state=invalid
add action=drop chain=forward comment=\
   "defconf:  drop all from WAN not DSTNATed" connection-nat-state=!dstnat \
   connection-state=new in-interface=ether1
/ip firewall nat
add action=dst-nat chain=dstnat dst-port=16000-16511 in-interface=ether1 \
   protocol=udp to-addresses=192.168.1.151
add action=dst-nat chain=dstnat dst-port=15060 in-interface=ether1 protocol=\
   udp to-addresses=192.168.1.150 to-ports=5060
add action=dst-nat chain=dstnat dst-port=37547 in-interface=ether1 protocol=\
   tcp to-addresses=192.168.1.150
add action=dst-nat chain=dstnat dst-port=37580 in-interface=ether1 protocol=\
   tcp to-addresses=192.168.1.150
add action=masquerade chain=srcnat out-interface=ether1
/ip route
add distance=1 gateway=91.91.91.169
/ip service
set telnet disabled=yes
set ftp disabled=yes
set ssh disabled=yes
set api disabled=yes
set api-ssl disabled=yes
/system clock
set time-zone-name=Asia/Krasnoyarsk
/system leds
set 0 interface=wlan1
/system ntp client
set enabled=yes primary-ntp=188.134.70.129 secondary-ntp=46.8.40.31 \
   server-dns-names=""
/system routerboard settings
set protected-routerboot=disabled
---------------------------------------------
192,168,1,150 - IP-адрес АТС
 
Конфиг не полный.
У вас судя по конфигу всё запрещено и вы хотите что бы работало.
Телефон подключается к микротику и следовательно должны быть правила разрешающие на input всех портов или выборочно какие нужны, а так же протоколы.
forward трафика для атс разрешить без всяких ограничений, любое устройство принимает по определённому порту скажем 80 а ответ отдаёт по какому ей вздумается, и предугадать не возможно по какому порту ответит та же атс или операционная система компьютера.
Раз указан входящий порт то надо указывать и конечный порт, возможно по умолчанию и берутся те же порты, не проверял.
ip адрес прописать статически не по dhcp, шлюзом должен быть микротик и dns выдавать адрес микротика, в настройках dhcp сервера по приведённому конфигу не выдаётся dns сервер вообще, кто будет резольвить для атс адреса если они получаются по dhcp, или статика там.
Во внешку я бы прописал в первую очередь dns провайдера выдавшего интернет, dns сервера не заканчиваются одним гуглом, который к стати не резольвит то же много чего.
Я бы с бриджа убрал порт ether2 подключенный к сети, тем более что вы wlan не используете.
Не во всех правилах проброса портов указан на какой порт делается проброс
to-ports
Как любят отключать сервисы микротика, а потом при не возможности подключиться по винбох или через веб возможности другой не будет подключиться.
 
Уважаемый alexnov66 позвольте несколько уточнений

Цитата

Телефон подключается к микротику
Не понял куда вы имеете ввиду подключен телефон?
У меня, если смотреть с Mikrotika, то со стороны LAN подключена АТС со статическим IP, а со стороны WAN - телефон.

Цитата

... и следовательно должны быть правила разрешающие на input всех портов или выборочно какие нужны.
Правила для NAT или Firewall?

Спасибо.
 
Телефон подключается к микротику из интернет на wan порт по внешнему ip адресу, что бы разрешить подключение к порту микротика не важно с внешней стороны или из внутренней к интерфейсу ether2 должны быть разрешающие правила в Firewall микротика на input трафика а не на forward.

Форвард трафика нужно разрешить хотя бы внутри сети между пробрасываемым оборудованием и микротиком и ни какого отношения форвард трафика в интернет к пробросу портов не имеет.

Что бы трафик шел через микротик у атс шлюз должен быть прописан внутренний ip адрес микротика в внутренней сети.
 
Спасибо уважаемому alexnov66.
Разобрался.
Достаточно было заменить в правилах фаервола forward на input.
Телефон работает.
Еще раз огромное спасибо.
 
Частая ошибка многих - пробрасывают порты в НАТ не создав соответствующих правил фаервола для входящего трафика. Или создав неверные правила. Естественно оно не будет работать. Порт 5060 отдельная тема, он нужен для регистрации на сервере, а для голоса еще media порты нужны, их тоже прокидывать за НАТ нужно не забывать.
Страницы: 1