как заставить natd нормально пропускать h.323?
есть gatekeeper вне локалки, нужно к нему из локалки зацепиться (нетмитингом к примеру)....
заранее через чур благодарен за помошь :)
>как заставить natd нормально пропускать h.323?
>есть gatekeeper вне локалки, нужно к нему из локалки зацепиться (нетмитингом к
>примеру)....
>заранее через чур благодарен за помошь :)
Никак.
Брать сегмент реальных ip адресов. И адресовать те машины которые хотят netmeeting.
>Никак.
^^^^^^^^ ?
А gatekeeper на шлюз ?
>>Никак.
>^^^^^^^^ ?
>А gatekeeper на шлюз ?
вот именно, можно поставить gatekeeper на шлюз!
а если внимательно почитать доки к разеым гейткиперам, то там есть способы настроить НАТ для прохождения H.323-соединений
>вот именно, можно поставить gatekeeper на шлюз!Что посоветуете, не столь монстрообразное чем openh323 ?
auqa ?
>>>Никак.
>>^^^^^^^^ ?
>>А gatekeeper на шлюз ?
>вот именно, можно поставить gatekeeper на шлюз!
>а если внимательно почитать доки к разеым гейткиперам, то там есть способы
>настроить НАТ для прохождения H.323-соединенийКипер на шлюз - это выход, пробовал....
но причём тут nat? где кипер и где nat :)
>>>>Никак.
>>>^^^^^^^^ ?
>>>А gatekeeper на шлюз ?
>>вот именно, можно поставить gatekeeper на шлюз!
>>а если внимательно почитать доки к разеым гейткиперам, то там есть способы
>>настроить НАТ для прохождения H.323-соединений
>
>Кипер на шлюз - это выход, пробовал....
>но причём тут nat? где кипер и где nat :)... в развитие....
поставил две аквы на два шлюза, даже получилось друг за друга их зацепить :) Но вот самое интересное: как нужно нетмитинги цеплять к своему киперу, чёб можно было звонить н амитинг подключённый к другому киперу?
я в этом деле новичёк, просветите плиз....
хочется в дальнейшем подключить к этим киперам (пока два поднял) аппаратные гейтвеи с телефонными аппаратами и возможно портами в АТС.... кто-то уже это делал?
>>Кипер на шлюз - это выход, пробовал....
>>но причём тут nat? где кипер и где nat :)
что-то одно, либо кипер, либо нат...
но нат в данном контексте лично для меня сложнее... надо много док читать...>... в развитие....
>поставил две аквы на два шлюза, даже получилось друг за друга их
>зацепить :) Но вот самое интересное: как нужно нетмитинги цеплять к
>своему киперу, чёб можно было звонить н амитинг подключённый к другому
>киперу?
в нетмитинге Сервис-Параметры-Общие-Расширенный вызов, заполняешь все поля и все галочки области Параметры привратника.
ес-сно на кипере нужно разрешить регистрацию этого юзера.>хочется в дальнейшем подключить к этим киперам (пока два поднял) аппаратные гейтвеи
>с телефонными аппаратами и возможно портами в АТС.... кто-то уже это
>делал?
я сейчас почти настроил D-Link DG-104SH, DVG-1104TH, DPH-80H
вроде получается... правда, звук какой-то не очень... но это я еще буду ковыряться с кодеками т.п. ...
>>>>Никак.
>>>^^^^^^^^ ?
>>>А gatekeeper на шлюз ?
>>вот именно, можно поставить gatekeeper на шлюз!
>>а если внимательно почитать доки к разеым гейткиперам, то там есть способы
>>настроить НАТ для прохождения H.323-соединений
>
>Кипер на шлюз - это выход, пробовал....
>но причём тут nat? где кипер и где nat :)не выход.... зацепиться получается с обоих сторон nat к киперу, но вызов всё равно не проходит....
>не выход.... зацепиться получается с обоих сторон nat к киперу, но вызов
>всё равно не проходит....
не проходит на каком этапе? что именно происходит?
настройки кипера покажи
Народ, насчёт железа неплохо высказались на sysadmins.ru --> Форум --> Телефония
Из киперов ( imho) получше будет gnugatekeeper.
>Народ, насчёт железа неплохо высказались на sysadmins.ru --> Форум --> Телефония
>Из киперов ( imho) получше будет gnugatekeeper.
а чем получше?
Для меня удобнее настраивать через обычный текстовый конфиг + не получилось заставить
opengk брать юзеров с радиуса, и самое неприятное ( то ли у меня такие руки мягко сказать непрямые ) opengk имел некрасивую привычку валиться в core в самые неподходящие моменты на трёх разных версиях bsd (4.7,4.8,5.1), в основном - при запуске.
>Для меня удобнее настраивать через обычный текстовый конфиг + не получилось заставить
>
>opengk брать юзеров с радиуса, и самое неприятное ( то ли
>у меня такие руки мягко сказать непрямые ) opengk имел некрасивую
>привычку валиться в core в самые неподходящие моменты на трёх разных
>версиях bsd (4.7,4.8,5.1), в основном - при запуске.а я акву поставил и вроде всё красиво... не падает, рулится из обычного *.cfg с FreeRADIUS-ом работает нормально :)
Не могли бы поделиться конфигом aqua на предмет работы с радиусом ?>>Для меня удобнее настраивать через обычный текстовый конфиг + не получилось заставить
>>
>>opengk брать юзеров с радиуса, и самое неприятное ( то ли
>>у меня такие руки мягко сказать непрямые ) opengk имел некрасивую
>>привычку валиться в core в самые неподходящие моменты на трёх разных
>>версиях bsd (4.7,4.8,5.1), в основном - при запуске.
>
>а я акву поставил и вроде всё красиво... не падает, рулится из
>обычного *.cfg с FreeRADIUS-ом работает нормально :)
>Не могли бы поделиться конфигом aqua на предмет работы с радиусом ?Так чего там сложного? всё описано в примерах.... мне не лень дать свой конфиг, но не вижу смысла... у меня всё завелось после минут 15 чтения доки и примеров...
тогда если не трудно ссылку можно на примеры... а то что то не нашел
С пакаджем Docs/Example.cfg
ЗЫ А ограничение на 30 звонков не давит ?
Наверное грип повлиял на IQ, но тем не менее скачал
http://aqua.comptek.ru/data/pub/GateKeeper/AquaGatekeeper117...
в его Example.cfg буквосочетание RADIUS встречается только 1 раз - по моему этого не достаточно...
Если не сильно отвлекаю
можно поинтересоваться с каким именно радиусом удачно скрестилась aqua
и собственно как (конфиг радиуса если не жалко) как храняться юзеры с их балансами и т.дБуду рад любой инфе.
Заранее спасибо
>С пакаджем Docs/Example.cfg
>ЗЫ А ограничение на 30 звонков не давит ?
>в его Example.cfg буквосочетание RADIUS встречается только 1 раз - по моему
>этого не достаточно...
>Если не сильно отвлекаю
>можно поинтересоваться с каким именно радиусом удачно скрестилась aqua
>и собственно как (конфиг радиуса если не жалко) как храняться юзеры с
>их балансами и т.д
Пашет с FreeFADIUS, балансами пока не занимался... просто проходит авторизацию по имени и паролю и аккаунтинг пашет...
в хелпе есть все настройки....
aaa
{
address xxx.xxx.xxx.xxx
password 'xxxxx';
}
groupe Everyone
{
radius authentication caller;
radius accounting caller;
}
user John
{
radius name "john";
radius password "xxxxxxx";
}
этого достаточно для начала.... дальше надо думать и пробовать... :)>
>Буду рад любой инфе.
>Заранее спасибо
>
>
>>С пакаджем Docs/Example.cfg
>>ЗЫ А ограничение на 30 звонков не давит ?
пока не давит :) но видимо надо думать ....
>>>ЗЫ А ограничение на 30 звонков не давит ?
>пока не давит :) но видимо надо думать ....Кстати, у aqua написано что она может проксировать
* full - В дополнение к уровню проксирования 'signalling', гейткипер будет проксировать все RTP каналы несущие полезные данные.Что в их понимании RTP каналы ? Это те самые UDP-каналы разговорные ?
ТО есть полное проксирование речевого траффика, или нет ?
Ну вы млин даёте...У меня в период болезни наоборот самая деятельность...
Для аквы
address 10.0.0.2; // RADIUS server address.
authentication port xxxx; // порты радиуса - /etc/services
accounting port xxxx; //
password 'xxx'; // ключ
Радиусовским конфигом флеймить не буду(кстати - пользуюсь freeradius - freeradius.org), но советую обратить внимание на конфигурацию модулей:
pam - ессно аут-ция через pam-модули, путь авт-ции в NT-домене(pamsmb)
unix - неужто обьяснять ? (/etc/shadow,/etc/passwd,etc.)
mschap - This module supports SAMBA passwd file authorization
and MS-CHAP, MS-CHAPv2 authentication - ещё и это перевести? ;-)
ldap - если не разбирался с ldap, лучше и не пытайся с ним что-то мутить, но рулез адназначна.
А вообще-то с сырцами идёт конфиг, в котором каждая строчка прокомментирована. Советую поболеть со словарём в руках.
>ЗЫ А ограничение на 30 звонков не давит ?
там ограничение на 30 одновременных звонков!
а 30 одновременных звонков даже на нашей внутренней АТС на 150 номеров никогда не бывает... так что, имхо, это очень немало!
Выбрось natd (и вообще ipfw как таковой), gatekeeper отправь туда же.
Прикрути IPFilter + ipnat + h323 in-kernel proxy.
Проверено, работает.Андрей.
>Выбрось natd (и вообще ipfw как таковой), gatekeeper отправь туда же.
>Прикрути IPFilter + ipnat + h323 in-kernel proxy.
>Проверено, работает.Можешь дать рабочие конфиги для ipf/ipnat ?
И в какой среде это проверено? Это только для Netmeeting'a работает?Вот с такими правилами в ipnat.conf:
su-2.05b# cat /etc/ipnat.conf
map ed1 192.168.0.0/16 -> 1.2.3.4/32
map ed1 192.168.0.0/16 -> 1.2.3.4/32 proxy port 1720 h323/tcpне хотят связываться ни 2 нетмитинга, ни 2 windows messenger'a меж собой (один за натом, соответственно, другой с реальным честным ip).
1.2.3.4 - мой внешний адрес.
А вот Windows Messenger который в WinXP - его можно заставить ходить через кипер? в настройках у него такого нет - есть только прокси (socks4/5, http) - при поднятом natd через нат и при поднятом socks5 сервере один фиг ничего не хочет работать - не соединяется с удалённой машиной (с реальным ip).И еще - поставил gnugk, куда он пихнул дефолтовые конфиги? :) найти не могу :) (fbsd5.1)
>А вот Windows Messenger который в WinXP - его можно заставить ходить
>через кипер? в настройках у него такого нет - есть только
>прокси (socks4/5, http) - при поднятом natd через нат и при
>поднятом socks5 сервере один фиг ничего не хочет работать - не
>соединяется с удалённой машиной (с реальным ip).
>
>И еще - поставил gnugk, куда он пихнул дефолтовые конфиги? :) найти
>не могу :) (fbsd5.1)RTFM. В хелпе по Мессенджеру ясно сказано, что ходить черех NAT, можно только если NAT держит спецификацию UPnP. А это или аппаратный NAT, или поднятый на платформе WinXP. На сколько я знаю, никакой NAT, входящий в состав Linux или FreeBSD, UPnP не поддерживает (может быть в следующих версиях). Так что...
А прикрутить его к киперу, тоже (ИМХО) не реально, так как мессенджер использует цифровой паспорт, а таких киперов я не встречал. Может быть я ошибаюсь, но разубедите меня, если я не прав.
>>А вот Windows Messenger который в WinXP - его можно заставить ходить
>>через кипер? в настройках у него такого нет - есть только
>>прокси (socks4/5, http) - при поднятом natd через нат и при
>>поднятом socks5 сервере один фиг ничего не хочет работать - не
>>соединяется с удалённой машиной (с реальным ip).
>>
>>И еще - поставил gnugk, куда он пихнул дефолтовые конфиги? :) найти
>>не могу :) (fbsd5.1)
>
>RTFM. В хелпе по Мессенджеру ясно сказано, что ходить черех NAT, можно
>только если NAT держит спецификацию UPnP. А это или аппаратный NAT,
>или поднятый на платформе WinXP. На сколько я знаю, никакой NAT,
>входящий в состав Linux или FreeBSD, UPnP не поддерживает (может быть
>в следующих версиях). Так что...
>А прикрутить его к киперу, тоже (ИМХО) не реально, так как мессенджер
>использует цифровой паспорт, а таких киперов я не встречал. Может быть
>я ошибаюсь, но разубедите меня, если я не прав.в ipfilter наваяли in kernel-proxy и типа работает...
>>А прикрутить его к киперу, тоже (ИМХО) не реально, так как мессенджер
>>использует цифровой паспорт, а таких киперов я не встречал. Может быть
>>я ошибаюсь, но разубедите меня, если я не прав.
>в ipfilter наваяли in kernel-proxy и типа работает...А можно ткнуть туда где подробней прочитать о настройке этого хозяйства? (ipfilter+in-kernel-proxy)
>>>А прикрутить его к киперу, тоже (ИМХО) не реально, так как мессенджер
>>>использует цифровой паспорт, а таких киперов я не встречал. Может быть
>>>я ошибаюсь, но разубедите меня, если я не прав.
>>в ipfilter наваяли in kernel-proxy и типа работает...
>
>А можно ткнуть туда где подробней прочитать о настройке этого хозяйства? (ipfilter+in-kernel-proxy)
>http://www.phildev.net/ipf/IPFques.html#30
НО, только в последних версиях, с какой началось (апрель 2002), я не выяснял, тонкости и примеры:
http://marc.theaimsgroup.com/?l=ipfilter&w=2&r=1&s=h323&q=b
http://marc.theaimsgroup.com/?l=ipfilter&w=2&r=1&s=h.323&q=b