URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID6
Нить номер: 9451
[ Назад ]
Исходное сообщение
"NAT SIP IP телефония"
Отправлено Kan , 20-Дек-05 12:36 
Добрый день!
Есть Cisco 1721-WIC-1ADSL  (IOS: c1700-ipbase-mz.123-6c.bin)
На ADSL Интерфейсе реальный адрес
на Faste0 11.11.11.1 255.255.255.248
Далее идет Cisco ATA-186 (11.11.11.3 255.255.255.248)
прошивка по SIP для работы с сервером STUN.

Кода она поднимает соединение получатяеться странная картина:
sh ip nat trans
Pro Inside global      Inside local       Outside local      Outside global
udp xxx.xxx.xxx.xxx:1033 11.11.11.3:5060  yyy.yyy.yyy.yyy:10000 yyy.yyy.yyy.yyy:10000
udp xxx.xxx.xxx.xxx:1032 11.11.11.3:5060  yyy.yyy.yyy.yyy:5067 yyy.yyy.yyy.yyy:5067

Странность на мой всзгляд в том что исходящий порт Cisco ATA-186 равный 5060 не равняеться порту на исходящем интерфейсе.

В чем я не прав?
Кусок конфига:
...
!
interface FastEthernet0
ip address 11.11.11.1 255.255.255.248
no ip redirects
no ip unreachables
no ip proxy-arp
ip nat inside
ip route-cache flow
no ip mroute-cache
speed auto
no cdp enable
!
interface Dialer0
ip address xxx.xxx.xxx.xxx 255.255.255.252
  no ip redirects
no ip unreachables
no ip proxy-arp
ip nat outside
encapsulation ppp
ip route-cache flow
no ip mroute-cache
dialer pool 10
dialer-group 10
no cdp enable
ppp authentication pap callin
ppp pap sent-username ----------------- password 7 ---------------------
!
ip nat inside source list 199 interface Dialer0 overload
ip nat inside source static tcp 11.11.11.2 3389 interface Dialer0 3389
!
access-list 199 permit ip host 11.11.11.2 any
access-list 199 permit udp host 11.11.11.3 eq 5060 host yyy.yyy.yyy.yyy eq 10000 log
access-list 199 permit udp host 11.11.11.3 eq 5060 host yyy.yyy.yyy.yyy eq 5067 log
access-list 199 permit udp host 11.11.11.3 eq 16384 any log
access-list 199 permit udp host 11.11.11.3 eq 16386 any log
access-list 199 permit udp host 11.11.11.3 host ----------- eq domain
access-list 199 permit udp host 11.11.11.3 host ----------- eq domain


P.S. В такой конфигурации система отработало долго, сталкнулся с проблемой только сейчас когда начал подключать Cisco ATA-186

На адресе 11.11.11.2 255.255.255.248 висит сервак который выпускает локалку там все работает и идет через этот-же NAT беспроблем.

Содержание
Сообщения в этом обсуждении
"NAT SIP IP телефония"
Отправлено Дима , 20-Дек-05 22:04 
>Добрый день!
>Есть Cisco 1721-WIC-1ADSL  (IOS: c1700-ipbase-mz.123-6c.bin)
>На ADSL Интерфейсе реальный адрес
>на Faste0 11.11.11.1 255.255.255.248
>Далее идет Cisco ATA-186 (11.11.11.3 255.255.255.248)
>прошивка по SIP для работы с сервером STUN.
>
>Кода она поднимает соединение получатяеться странная картина:
>sh ip nat trans
>Pro Inside global      Inside local  
>    Outside local      
>Outside global
>udp xxx.xxx.xxx.xxx:1033 11.11.11.3:5060  yyy.yyy.yyy.yyy:10000 yyy.yyy.yyy.yyy:10000
>udp xxx.xxx.xxx.xxx:1032 11.11.11.3:5060  yyy.yyy.yyy.yyy:5067 yyy.yyy.yyy.yyy:5067
>
>Странность на мой всзгляд в том что исходящий порт Cisco ATA-186 равный
>5060 не равняеться порту на исходящем интерфейсе.
>
>В чем я не прав?
>Кусок конфига:
>...
>!
>interface FastEthernet0
> ip address 11.11.11.1 255.255.255.248
> no ip redirects
> no ip unreachables
> no ip proxy-arp
> ip nat inside
> ip route-cache flow
> no ip mroute-cache
> speed auto
> no cdp enable
>!
>interface Dialer0
> ip address xxx.xxx.xxx.xxx 255.255.255.252
>  no ip redirects
> no ip unreachables
> no ip proxy-arp
> ip nat outside
> encapsulation ppp
> ip route-cache flow
> no ip mroute-cache
> dialer pool 10
> dialer-group 10
> no cdp enable
> ppp authentication pap callin
> ppp pap sent-username ----------------- password 7 ---------------------
>!
>ip nat inside source list 199 interface Dialer0 overload
>ip nat inside source static tcp 11.11.11.2 3389 interface Dialer0 3389
>!
>access-list 199 permit ip host 11.11.11.2 any
>access-list 199 permit udp host 11.11.11.3 eq 5060 host yyy.yyy.yyy.yyy eq 10000
>log
>access-list 199 permit udp host 11.11.11.3 eq 5060 host yyy.yyy.yyy.yyy eq 5067
>log
>access-list 199 permit udp host 11.11.11.3 eq 16384 any log
>access-list 199 permit udp host 11.11.11.3 eq 16386 any log
>access-list 199 permit udp host 11.11.11.3 host ----------- eq domain
>access-list 199 permit udp host 11.11.11.3 host ----------- eq domain
>
>
>P.S. В такой конфигурации система отработало долго, сталкнулся с проблемой только сейчас
>когда начал подключать Cisco ATA-186
>
>На адресе 11.11.11.2 255.255.255.248 висит сервак который выпускает локалку там все работает
>и идет через этот-же NAT беспроблем.


Я сталкивался с натом и SIP (причем нат был настроен на Linux-сервере), у меня была следующая картина - когда линукс транслировал source address/port 5060 аташки в свой реальный адрес и порт 5060, то все работало. Как только я брал вторую аташку и звонил одновременно с двух аташек, одну из них он натил в свой реальный адрес и порт != 5060, то на этой аташке была односторонняя слышимость. Решалась эта проблема заменой SIP-port на второй аташке. Причем работало все без STUN-сервера, но в настройке аташки был NATIP - реальный адрес линукс-роутера.

В вашей ситуации я бы сделал так:
access-list 199 permit udp host 11.11.11.3 eq 5060 host yyy.yyy.yyy.yyy eq 5060.

При этом не забудьте установить NATIP на аташке. Насчет STUN-сервера - не знаю, но мне кажется, что и без него должно заработать, по крайней мере у меня работало.

С уважением, Дима.

"NAT SIP IP телефония"
Отправлено Kan , 21-Дек-05 11:34 
>Я сталкивался с натом и SIP (причем нат был настроен на Linux-сервере),
>у меня была следующая картина - когда линукс транслировал source address/port
>5060 аташки в свой реальный адрес и порт 5060, то все
>работало. Как только я брал вторую аташку и звонил одновременно с
>двух аташек, одну из них он натил в свой реальный адрес
>и порт != 5060, то на этой аташке была односторонняя слышимость.
>Решалась эта проблема заменой SIP-port на второй аташке. Причем работало все
>без STUN-сервера, но в настройке аташки был NATIP - реальный адрес
>линукс-роутера.
>
>В вашей ситуации я бы сделал так:
>access-list 199 permit udp host 11.11.11.3 eq 5060 host yyy.yyy.yyy.yyy eq 5060.
>
>
>При этом не забудьте установить NATIP на аташке. Насчет STUN-сервера - не
>знаю, но мне кажется, что и без него должно заработать, по
>крайней мере у меня работало.
>
>С уважением, Дима.
>
Спасибо огромное, попробую долажу, результат.

Сейчас пока все заработало, как я так и не понял, если свалиться буду пробвать, но такая сетуация сложилась из-за того что не натились запросы аташки с медиапортов. Их пропустил заработало.

Далше поглядим, спасибо за участие, и совет. :-)

"NAT SIP IP телефония"
Отправлено Kan , 21-Дек-05 15:52 
Нет проблема осталась, вкраце
С ATA 186 уходит с порта 5060, после NAT маршрутизатора покет  с реального адреса уходит с другого порта на пример 1040.
Как маршрутизатор заставить отправлеть с того-же порта 5060.
"NAT SIP IP телефония"
Отправлено Дима , 21-Дек-05 15:56 
>Нет проблема осталась, вкраце
>С ATA 186 уходит с порта 5060, после NAT маршрутизатора покет  
>с реального адреса уходит с другого порта на пример 1040.
>Как маршрутизатор заставить отправлеть с того-же порта 5060.

access-list 199 permit udp host 11.11.11.3 eq 5060 host yyy.yyy.yyy.yyy eq 5060.

Эта строчка в аксесс-листе есть?

"NAT SIP IP телефония"
Отправлено Kan , 21-Дек-05 16:18 
>>Нет проблема осталась, вкраце
>>С ATA 186 уходит с порта 5060, после NAT маршрутизатора покет  
>>с реального адреса уходит с другого порта на пример 1040.
>>Как маршрутизатор заставить отправлеть с того-же порта 5060.
>
>access-list 199 permit udp host 11.11.11.3 eq 5060 host yyy.yyy.yyy.yyy eq 5060.
>
>
>Эта строчка в аксесс-листе есть?


Смысл в том что пров использует другие порты:
GkOrProxy: yyy.yyy.yyy.yyy:5067
NatServer: yyy.yyy.yyy.yyy:10000

access-list 199 permit udp host 11.11.11.3 eq 5060 host yyy.yyy.yyy.yyy eq 10000 log
access-list 199 permit udp host 11.11.11.3 eq 5060 host yyy.yyy.yyy.yyy eq 5067 log

"NAT SIP IP телефония"
Отправлено Kan , 21-Дек-05 16:20 
Вообще вопрос в том:
КАК ТАКОЕ ВОЗМОЖНО,

С ATA 186 уходит с порта 5060, после NAT маршрутизатора покет  
с реального адреса уходит с другого порта


udp xxx.xxx.xxx.xxx:1033 11.11.11.3:5060  yyy.yyy.yyy.yyy:10000 yyy.yyy.yyy.yyy:10000
udp xxx.xxx.xxx.xxx:1032 11.11.11.3:5060  yyy.yyy.yyy.yyy:5067 yyy.yyy.yyy.yyy:5067

"NAT SIP IP телефония"
Отправлено Дима , 21-Дек-05 16:33 
>Вообще вопрос в том:
>КАК ТАКОЕ ВОЗМОЖНО,
>
>С ATA 186 уходит с порта 5060, после NAT маршрутизатора покет
>с реального адреса уходит с другого порта
>
А почему бы и нет? В этом нет ничего странного. Если одновременно две аташки полезут через этот нат на один и тот же SIP-сервер, то NAT-router никак не сможет сделать так, чтобы обе они лезли с одного и того же UDP-порта.
>
>udp xxx.xxx.xxx.xxx:1033 11.11.11.3:5060  yyy.yyy.yyy.yyy:10000 yyy.yyy.yyy.yyy:10000
>udp xxx.xxx.xxx.xxx:1032 11.11.11.3:5060  yyy.yyy.yyy.yyy:5067 yyy.yyy.yyy.yyy:5067

Кто написал этот аксесс-лсит? Я не понял. Вы или пров? Если вы, то поменяйте 10000 на 5060.
udp xxx.xxx.xxx.xxx:1033 11.11.11.3:5060  yyy.yyy.yyy.yyy:10000 yyy.yyy.yyy.yyy:10000

Если не вы, то попробуйте у аташки сменить SIP-порт.

Кто писал вот это?
GkOrProxy: yyy.yyy.yyy.yyy:5067
NatServer: yyy.yyy.yyy.yyy:10000
Если вы, то
поменяйте NatServer: yyy.yyy.yyy.yyy

Как в SIP может быть GkOrProxy? GK (gatekeeper) - это вообще-то h323-специфик вещь.

С уважением, Дима.

"NAT SIP IP телефония"
Отправлено Kan , 22-Дек-05 10:25 
Всем спасибо огромное за помощь и участие, проблема решена путем смены SIP порта на аташке

Дима, Вам особая благодарность, идею подчерпнул из твоих сообщений.

"NAT SIP IP телефония"
Отправлено Дима , 22-Дек-05 11:23 
>Всем спасибо огромное за помощь и участие, проблема решена путем смены SIP
>порта на аташке
>
>Дима, Вам особая благодарность, идею подчерпнул из твоих сообщений.
Не за что. Всегда рад помочь.
Удачи!