URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID1
Нить номер: 61057
[ Назад ]

Исходное сообщение
"IP-телефон за файрволлом."

Отправлено man38 , 19-Окт-05 12:30 
Многоуважаемые знатоки, помогите разобраться!
Есть IP-телефон (аппаратный) и локальная сеть. На всё про всё один реальный IP от провайдера. В качестве шлюза в Интернет и файрволла стоит Windows 2000 Server (контроллер локального домена) с MS ISA Server 3.0. Доступ в Интернет при помощи MS ISA Server разрешён только пользователям локального домена.
Вопрос: как пробросить трафик IP-телефона из локальной сети в интернет и обратно сквозь MS ISA Server 3.0? Это вобще возможно? Мне пока не удалось:-(
Помогите, плииз!

PS Дома использую в качестве файрволла OpenBSD 3.6. За этим файрволлом IP-телефон работает из локальной сети без проблем, по крайней мере сигнал линии есть, когда трубку с телефона снимаешь и звонки с него идут. Даже не пришлось ничего добавлять в pf.conf.


Содержание

Сообщения в этом обсуждении
"IP-телефон за файрволлом."
Отправлено Supafly , 19-Окт-05 13:37 
>Многоуважаемые знатоки, помогите разобраться!
>Есть IP-телефон (аппаратный) и локальная сеть. На всё про всё один реальный
>IP от провайдера. В качестве шлюза в Интернет и файрволла стоит
>Windows 2000 Server (контроллер локального домена) с MS ISA Server 3.0.
>Доступ в Интернет при помощи MS ISA Server разрешён только пользователям
>локального домена.
>Вопрос: как пробросить трафик IP-телефона из локальной сети в интернет и обратно
>сквозь MS ISA Server 3.0? Это вобще возможно? Мне пока не
>удалось:-(
>Помогите, плииз!
>
>PS Дома использую в качестве файрволла OpenBSD 3.6. За этим файрволлом IP-телефон
>работает из локальной сети без проблем, по крайней мере сигнал линии
>есть, когда трубку с телефона снимаешь и звонки с него идут.
>Даже не пришлось ничего добавлять в pf.conf.

IP телефона надо полностью наружу маскарадить, он динамические порты использует для исходящих соединений,а внутрь DNAT на порты:
TCP 1720
UDP 16384-16400
Это если телефон H323


"IP-телефон за файрволлом."
Отправлено man38 , 19-Окт-05 16:17 
>IP телефона надо полностью наружу маскарадить, он динамические порты использует для исходящих
>соединений,а внутрь DNAT на порты:
>TCP 1720
>UDP 16384-16400
>Это если телефон H323

Телефон SIP
Grandstream Budge Tone-102
Что конкретно в MS ISA Server надо крутить и можно ли вообще запустить SIP телефон за такой связкой Windows 2000 server + MS ISA Server?

Пробовал при помощи пакетных фильтров MS ISA Server пробросить трафик на телефон. Не получилось. Я так подозреваю, что ДМЗ надо создавать и телефон туда ставить. Но можно ли ДМЗ организовать на MS ISA Server 3.0? Если да, то как?

В настройках телефона есть такие фичи:
Outbound proxy: "       " (e.g., proxy.myprovider.com, or IP address, if any)

local SIP port: "5060" (default 5060)
local RTP port: "5004" (1024-65535, default 5004)
Use random port: "YES" or "NO"

NAT Traversal: "YES" or "NO"
STUN server: "       " (URL or IP:port)

USE NAT IP: "      " (if specified, this IP address will is used in SIP/SDP messages),
Proxy require: "        " (if specified, the content will appear in Proxy-Require header)...