Форум интернет-магазина Микрокомп
0 Список сравнения
0 Избранные товары
0
Страницы: 1
Mikrotik NAT и SIP, Тривиальная задача с хитровыдуманным дейвайсом
 
Коллеги приветствую! Не силен пока еще в сетевых технологиях, поэтому столкнувшись с Микротиком немного присел на банальном этапе проброса портов, хотя...
Схема такова:
Asterisk(NAT)\wan1<->wan2\Mikrotik\IP Phone (NAT)

Что касается стороны Asterisk то тут проблем нет, так как перед тем как трубка уехала в сторону Микротика была произведена настройка и проверка голоса. Вообщем все ок.
Теперь трубка за микротиком. И я не могу даже прокинуть доступ к ее web интерфейсу, а идеале нужно банально открыть порты 5060 tcp и 20000-25000 udp. Но SIP сервис на микротике активен, но трубка но может ходить в интернет и на Астериксе не регистрируется.  Тех.данные той среды таковы:

RouterBOARD 941-2nD (Firmware 3.22)

192.168.0.242 - SIP Phone

ether1 - WAN
ether2-3 - Bridge (ether3 - воткнута трубка SIP Phone)



Firewall Filters
Код
 0    chain=forward action=accept protocol=tcp dst-port=81 log=yes
      log-prefix=&quot;&quot;

 1 X  chain=forward action=accept src-address=192.168.0.100 log=yes
      log-prefix=&quot;SIP_LOC&quot;

 2 X  chain=forward action=accept dst-address=192.168.0.100 log=yes
      log-prefix=&quot;SIP_LOC&quot;

 3    ;;; drop ssh brute forcers
      chain=input action=drop protocol=tcp src-address-list=ssh_blacklist
      dst-port=22 log=no log-prefix=&quot;&quot;

 4    chain=input action=add-src-to-address-list connection-state=new
      protocol=tcp src-address-list=ssh_stage3 address-list=ssh_blacklist
      address-list-timeout=1w3d dst-port=22 log=no log-prefix=&quot;&quot;

 5    chain=input action=add-src-to-address-list connection-state=new
      protocol=tcp src-address-list=ssh_stage2 address-list=ssh_stage3
      address-list-timeout=1m dst-port=22 log=no log-prefix=&quot;&quot;

 6    chain=input action=add-src-to-address-list connection-state=new
      protocol=tcp src-address-list=ssh_stage1 address-list=ssh_stage2
      address-list-timeout=1m dst-port=22 log=no log-prefix=&quot;&quot;

 7    chain=input action=add-src-to-address-list connection-state=new
      protocol=tcp address-list=ssh_stage1 address-list-timeout=1m
      dst-port=22 log=no log-prefix=&quot;&quot;

 8    ;;; Drop invalid connection packets
      chain=forward action=drop connection-state=invalid log=yes
      log-prefix=&quot;DROP_CON&quot;

 9    ;;; Allow established connections
      chain=forward action=accept connection-state=established log=no
      log-prefix=&quot;&quot;

10    ;;; Allow related connections
      chain=forward action=accept connection-state=related log=no
      log-prefix=&quot;&quot;

11    ;;; Allow UDP
      chain=forward action=accept protocol=udp log=no log-prefix=&quot;&quot;

12    ;;; Allow ICMP Ping
      chain=forward action=accept protocol=icmp log=no log-prefix=&quot;&quot;


Firewall NAT
Код
 0    chain=dstnat action=dst-nat to-addresses=192.168.0.242 protocol=tcp
      in-interface=ether1 dst-port=81 log=yes log-prefix=&quot;&quot;

 1 X  chain=dstnat action=dst-nat to-addresses=192.168.0.242 protocol=udp
      dst-address=31.xxx.xxx.71 dst-port=5060 log=no log-prefix=&quot;&quot;

 2    chain=srcnat action=masquerade out-interface=ether1 log=no log-prefix=&quot;&quot;



Из локали на web interface трубки захожу спокойно. WEB GUI именно на 80 порте на микротике отключен, включен 443 порт.

На Bridge в настройках стоит USE IP Firewall, а также ARP заменен на Proxy ARP.

Подскажите пожалуйста в какую сторону смотреть?
 
Правила проброса порта по мануалу делайте а не то что взбредёт в голову

Переадресация на внутренний ip
 
alexnov66
Спасибо за внимание к моей проблеме!
Ссылки более чем исчерпывающие, особенно ваш пост по второму линку. Настроил NAT в обе стороны, прописал ip локальный и внешний (белый) и...тишина. То есть из вне попасть на web gui Трубки по прежнему не удается. Причем выбирая созданное nat правило, я внизу этого правила вижу трафик, который генерируется при попытке достучаться до локального ip. Ради эксперимента переткнул трубку в соседний, 4-ый порт, добавил его в bridge. NAT правила к конкретному порту не привязаны. Ping с микротика проходит, arp запрос с пингом тоже (mac верный), то есть микротик явно видит устройство, но какого лешего он не пускает трубку в интернет не понятно.
(Добавление)
UPD:До чего не люблю метод тыка, но черт побери, заработало. Правда криво. В NAT правило с маскарадом out-interface заменил с ether1, на котором у меня wan на bridge-local. В итоге проброс работает, но трубка по прежнему не может выйти в интернет. TeamViewer перестал устанавливать соединение с локальными машинами при подключении из вне.
 
Попробуйте указать маскардинг без указания интерфейса
 
alexnov66
Да, как раз полез на форум писать свои наблюдения и тут уже все описано в вашем посте. Доступ к gui телефона есть, интернет тоже работает стабильно, теперь дело за настройкой sip канала. Несмотря на то, что sip сервис активен, регистрации на удаленном Asterisk пока нет.
Спасибо за обмен опытом.
 
Вообще если правильно должно быть два правила, в внешний интерфейс к провайдеру src-nat а в остальные маскардинг

Код
/ip firewall nat
add action=src-nat chain=srcnat comment=src-nat out-interface=ether1 \
    src-address=192.168.0.0/16 to-addresses=222.222.222.222

add action=masquerade chain=srcnat comment=masquerade out-interface=!ether1 \
    src-address=192.168.0.0/16

 
Поставили 951 первую модель для тестов. Смущает что софт NetDetect утверждает, что используется NAT с случайным портом. То есть трубка обращается на Asterisk по одному порту, а Микротик отдает пакет с случайным. Это логика заложена в самом RouterOS или есть возможность повлиять?
Страницы: 1