URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID1
Нить номер: 61057
[ Назад ]

Исходное сообщение
"IP-телефон за файрволлом."
Отправлено man38 , 19-Окт-05 12:30

Многоуважаемые знатоки, помогите разобраться!
Есть IP-телефон (аппаратный) и локальная сеть. На всё про всё один реальный IP от провайдера. В качестве шлюза в Интернет и файрволла стоит Windows 2000 Server (контроллер локального домена) с MS ISA Server 3.0. Доступ в Интернет при помощи MS ISA Server разрешён только пользователям локального домена.
Вопрос: как пробросить трафик IP-телефона из локальной сети в интернет и обратно сквозь MS ISA Server 3.0? Это вобще возможно? Мне пока не удалось:-(
Помогите, плииз!
PS Дома использую в качестве файрволла OpenBSD 3.6. За этим файрволлом IP-телефон работает из локальной сети без проблем, по крайней мере сигнал линии есть, когда трубку с телефона снимаешь и звонки с него идут. Даже не пришлось ничего добавлять в pf.conf.

Содержание

IP-телефон за файрволлом.,Supafly, 13:37 , 19-Окт-05
- IP-телефон за файрволлом.,man38, 16:17 , 19-Окт-05

Сообщения в этом обсуждении

"IP-телефон за файрволлом."
Отправлено Supafly , 19-Окт-05 13:37

>Многоуважаемые знатоки, помогите разобраться!
>Есть IP-телефон (аппаратный) и локальная сеть. На всё про всё один реальный
>IP от провайдера. В качестве шлюза в Интернет и файрволла стоит
>Windows 2000 Server (контроллер локального домена) с MS ISA Server 3.0.
>Доступ в Интернет при помощи MS ISA Server разрешён только пользователям
>локального домена.
>Вопрос: как пробросить трафик IP-телефона из локальной сети в интернет и обратно
>сквозь MS ISA Server 3.0? Это вобще возможно? Мне пока не
>удалось:-(
>Помогите, плииз!
>
>PS Дома использую в качестве файрволла OpenBSD 3.6. За этим файрволлом IP-телефон
>работает из локальной сети без проблем, по крайней мере сигнал линии
>есть, когда трубку с телефона снимаешь и звонки с него идут.
>Даже не пришлось ничего добавлять в pf.conf.
IP телефона надо полностью наружу маскарадить, он динамические порты использует для исходящих соединений,а внутрь DNAT на порты:
TCP 1720
UDP 16384-16400
Это если телефон H323

"IP-телефон за файрволлом."
Отправлено man38 , 19-Окт-05 16:17

>IP телефона надо полностью наружу маскарадить, он динамические порты использует для исходящих
>соединений,а внутрь DNAT на порты:
>TCP 1720
>UDP 16384-16400
>Это если телефон H323
Телефон SIP
Grandstream Budge Tone-102
Что конкретно в MS ISA Server надо крутить и можно ли вообще запустить SIP телефон за такой связкой Windows 2000 server + MS ISA Server?
Пробовал при помощи пакетных фильтров MS ISA Server пробросить трафик на телефон. Не получилось. Я так подозреваю, что ДМЗ надо создавать и телефон туда ставить. Но можно ли ДМЗ организовать на MS ISA Server 3.0? Если да, то как?
В настройках телефона есть такие фичи:
Outbound proxy: "       " (e.g., proxy.myprovider.com, or IP address, if any)
local SIP port: "5060" (default 5060)
local RTP port: "5004" (1024-65535, default 5004)
Use random port: "YES" or "NO"
NAT Traversal: "YES" or "NO"
STUN server: "       " (URL or IP:port)
USE NAT IP: "      " (if specified, this IP address will is used in SIP/SDP messages),
Proxy require: "        " (if specified, the content will appear in Proxy-Require header)...