Всем привет.
Имеется в наличии cisco asa 5510, avaya 8700 (во внутренней сети) и voip провайдер (внешний айпи за ASA), который предоставляет нам транк по h323 в город.

Соответственно, для организации h323 транка, на ASA сделан статичный NAT, который мапит внешний айпи адрес, выделенный нам провайдером, на внутренний адрес нашей АТС. На асе так же настроен инспектинг h323 (глобальный), для его работы через NAT (я так понимаю, что без инспектинга h323 работать нормально не будет?)

inspect h323 h225
inspect h323 ras

Проблема заключается в том, что инспектинг асы почему-то не понимает SETUP, который приходит с аваи. Выглядит это следующим образом:

Код:
kf-msc-fw1# debug h323 h225 event
H225::find_h225 hash 2064083124
H225::Created global h225 for faddr 195.X.X.X/1720 laddr 10.81.0.4/18096, Total 0
H225::with hash number 2064083124
H225::msg received from 10.81.0.4/18096 to 195.X.X.X/1720
        curr_tpkt (0) data_len (45) curr_state (0) last_msg (0) seq (3877054311)
H225::Local TPKT 45 Foreign TPKT 0 LEN 45
H225::find_h225 hash 2064089506
H225::Created h225 CRV 6413 for faddr 195.X.X.X/1720 laddr 10.81.0.4/18096, Total 1, per call 1
H225::with hash number 2064089506
H225::Decode Q931 message
H225::Message Unknown received from 10.81.0.4/45126 to 195.X.X.X/47110 before SETUP

В логе это:
Код:
10.81.0.4   38740   195.X.X.X   47110   H225 message Unknown received from 10.81.0.4/38740 to 195.x.x.x/47110 before SETUP
10.81.0.4   21655   195.X.X.X   1720   tcp flow from inside:10.81.0.4/21655 to h323_voip:195.X.X.X/1720 terminated by inspection engine, reason - proxy inspector drop reset.

10.81.0.4 это собственно наш g8700, 195.X.X.X - voip оборудование провайдера.

На асе стоите прошивка 8.2(3). Почитал changelog до 8.2(5) вроде ничего по поводу h323 нету.

Вопрос куда копать? Может у кого-нить был подобный опыт?

• cisco ASA 5510 h.323 и NAT,Тима, 16:53 , 19-Янв-12
  • cisco ASA 5510 h.323 и NAT,Евгений, 17:26 , 19-Янв-12
    • cisco ASA 5510 h.323 и NAT,Тима, 10:42 , 20-Янв-12
      • cisco ASA 5510 h.323 и NAT,Valery12, 09:31 , 23-Янв-12
        • cisco ASA 5510 h.323 и NAT,Николай_kv, 17:50 , 23-Янв-12
          • cisco ASA 5510 h.323 и NAT,Aleks305, 20:48 , 23-Янв-12

Была трабла с аваей и натом, инспект тоже не помог, просто проковырял нужные дырки.

> Была трабла с аваей и натом, инспект тоже не помог, просто проковырял
> нужные дырки.

Что вы имеете в виду под "просто проковырял нужные дырки"?

>> Была трабла с аваей и натом, инспект тоже не помог, просто проковырял
>> нужные дырки.
> Что вы имеете в виду под "просто проковырял нужные дырки"?

Включая инспецкию протокола, она автоматом ковырыет дырки для протокола, т.е. делает в акцесс листе нужные правила. Если протокол работает согласно RFС то инспекция отрабатывает корректно. А в случае аваи видимо есть какие то отступления от него, и результатом того, что инспекция отрабатывает как нужно, но не так как нужно для аваи.
Но это у меня так было, возможно у вас такой же случай.

>>> Была трабла с аваей и натом, инспект тоже не помог, просто проковырял
>>> нужные дырки.
>> Что вы имеете в виду под "просто проковырял нужные дырки"?
> Включая инспецкию протокола, она автоматом ковырыет дырки для протокола, т.е. делает в
> акцесс листе нужные правила. Если протокол работает согласно RFС то инспекция
> отрабатывает корректно. А в случае аваи видимо есть какие то отступления
> от него, и результатом того, что инспекция отрабатывает как нужно, но
> не так как нужно для аваи.
> Но это у меня так было, возможно у вас такой же случай.

у avaya по дефолту другой диапазон портов под RTP

какая версия на АСА залита?

> какая версия на АСА залита?

а с outside интерфейса пробовали открыть доступ на h323?avaya из Интернета же стучится?