https://opennet.ru/openforum/vsluhforumID6/18939.html Добрый день!<br>Прошу помощи в настройке CISCO ASA 5505.<br><br>Нужно для астериска разрешить протокол SIP (UDP)<br>(что то типа аналога правил add pass udp from any to any 5060,9999-20001 keepstate)<br><br>хх.хх.хх.хх - реальный ИП адрес<br><br>Сеть выглядит так:<br><br>Asterisk(192.168.188.5)---&#124; ---<br>Www(192.168.188.4)------&#124;-(192.168.188.1)-&#124; &#124;<br> &#124;ASA&#124;-(xx.xx.xx.xx)<br>Lan(192.168.180.78)-------(192.168.180.1)---&#124; &#124;<br> ---<br> <br>Проблема в том что через простой маршрутизатор с NAT (DFL-100) Астериск нормально регистрируется на sipnet.ru, принимает звонки, и передает голосовые данные.<br>При переключении на циску, пишет что на sipnet.ru зарегистировался но при этом ни какие звонки принимать не хочет, ну а до передачи голоса дело даже не доходит.<br><br>Циску я не администрирую, и не разби https://opennet.ru/openforum/vsluhforumID6/18939.html#11 Tue, 18 Apr 2017 21:33:01 GMT &gt;[оверквотинг удален]<br>&gt; static (dmz,outside) udp interface 10008 192.168.188.5 10008 netmask 255.255.255.255 <br>&gt; static (dmz,outside) udp interface 10009 192.168.188.5 10009 netmask 255.255.255.255 <br>&gt; static (dmz,outside) udp interface 10010 192.168.188.5 10010 netmask 255.255.255.255 <br>&gt; ...<br>&gt; включение/отключение испектирования (inspect sip) в моем случае никак не сказалось на работе <br>&gt; с сипнет <br>&gt; никаких дополнительных правил касательно sip в outside_access_in тоже не понадобилось <br>&gt; соответственно в rtp.conf был вписан диапазон портов rtpstart=10000 rtpend=10009 <br>&gt; Большое спасибо всем за рекомендации!<br>&gt; Особенное спасибо chocholl, за его выдержку и помощь!<br><br>Доброе времени суток. В моем случае тоже не помогло ничего кроме вашего решения! просто хотел сказать спасибо)). <br><br> https://opennet.ru/openforum/vsluhforumID6/18939.html#10 Wed, 27 May 2009 15:39:34 GMT &gt;<br>&gt;интересует алгоритм работы NAT в ASA <br>&gt;в ASA также как у DLINK, в течение некоторого времени хранятся соответствия <br>&gt;в таблице НАТ, и "ответные" пакеты в течение этого времени могут <br>&gt;через НАТ попасть на астериск? <br><br>это называется stateful firewall, коим ASA является.<br><br> https://opennet.ru/openforum/vsluhforumID6/18939.html#9 Wed, 27 May 2009 11:50:38 GMT В итоге решил пока пробросить несколько портов, и как оказалось для нормально работы с сипнет достаточно было присутствия строк:<br>...<br>access-list dmz_access_in extended permit udp any any eq sip<br>access-list dmz_access_in extended permit udp any range 10000 10010 any<br>...<br>static (dmz,outside) udp interface sip 192.168.188.5 sip netmask 255.255.255.255<br>static (dmz,outside) udp interface 10000 192.168.188.5 10000 netmask 255.255.255.255<br>static (dmz,outside) udp interface 10001 192.168.188.5 10001 netmask 255.255.255.255<br>static (dmz,outside) udp interface 10002 192.168.188.5 10002 netmask 255.255.255.255<br>static (dmz,outside) udp interface 10003 192.168.188.5 10003 netmask 255.255.255.255<br>static (dmz,outside) udp interface 10004 192.168.188.5 10004 netmask 255.255.255.255<br>static (dmz,outside) udp interface 10005 192.168.188.5 10005 netmask 255.255.255.255<br>static (dmz,outside) udp interface 10006 192.168.188.5 10006 netmask 255.255.255.255<br>static (dmz,outside) udp interface 10007 192.168.188.5 10007 netm https://opennet.ru/openforum/vsluhforumID6/18939.html#8 Tue, 26 May 2009 14:19:20 GMT все несколько сложнее<br>http://www.cisco.com/en/US/products/ps6120/products_configuration_example09186a008081042c.shtml<br> https://opennet.ru/openforum/vsluhforumID6/18939.html#7 Tue, 26 May 2009 13:34:43 GMT &gt;легче пробросить весь адрес через static. <br><br>в DMZ помимо астериска есть еще веб сервер, а внешний ИП один, поэтому весь ИП не могу<br><br>&gt;а пробовали ли выставлять в астериске (sip.conf) параметр external address (точное совпадение <br>&gt;не гарантирую). этот параметр как-раз отвечает за работу SDP за натом. <br><br>externip = xx.xx.xx.xx<br>установлен, с ним как раз и работало нормально с DLINKом, до установки ASA<br><br>&gt;ну и еще раз проверьте входящий access-list, рекомендую на время проведения экспериментов <br>&gt;его убрать, так как порт входящий/исходящий выбирается динамически. <br><br>сейчас отключили inspect sip, разрешили весь UDP, и пробросили UDP 5060 на астериск, и он нормально зарегистрировался на сипнете<br><br>интересует алгоритм работы NAT в ASA<br>в ASA также как у DLINK, в течение некоторого времени хранятся соответствия в таблице НАТ, и "ответные" пакеты в течение этого времени могут через НАТ попасть на астериск?<br> https://opennet.ru/openforum/vsluhforumID6/18939.html#6 Tue, 26 May 2009 08:34:18 GMT &gt;легче пробросить весь адрес через static. <br>&gt;<br><br>Ну или программным SIP клиентом попробовать выйти на сипнет.<br>У меня при инспекте SIP по дефолту коннект наружу был и у астериска и Linksys.<br>Звонки наружу работали, только я входящий не тестировал.<br><br> https://opennet.ru/openforum/vsluhforumID6/18939.html#5 Tue, 26 May 2009 06:54:31 GMT легче пробросить весь адрес через static.<br><br>а пробовали ли выставлять в астериске (sip.conf) параметр external address (точное совпадение не гарантирую). этот параметр как-раз отвечает за работу SDP за натом.<br><br>ну и еще раз проверьте входящий access-list, рекомендую на время проведения экспериментов его убрать, так как порт входящий/исходящий выбирается динамически.<br><br><br> https://opennet.ru/openforum/vsluhforumID6/18939.html#4 Tue, 26 May 2009 06:17:12 GMT &gt;может ЗП мне переведешь? ) <br><br>мне ЗП уже 4 месяц не платят, живу подработкой, могу напоить пивом :-)<br><br>&gt;смысл в том, что при инспекции асой транслируется не только ip адрес <br>&gt;твоего sip сервера, но и payload в замом протоколе SDP, который <br>&gt;используется в частности для установки rtp соединения. <br>&gt;добавь в класс inspection_default в global_policy строчку inspect sip. <br><br>есть там эти строчки, но похоже что как раз из за него и не работает корректно регистрация на сипнете<br><br>сейчас хотим попробовать отключить inspect sip, и пробросить диапазон UDP портов, только незнаем как в PIX/ASA это реализуется (пробросить диапазон портов в DMZ)?<br> https://opennet.ru/openforum/vsluhforumID6/18939.html#3 Tue, 26 May 2009 04:10:16 GMT может ЗП мне переведешь? )<br><br>смысл в том, что при инспекции асой транслируется не только ip адрес твоего sip сервера, но и payload в замом протоколе SDP, который используется в частности для установки rtp соединения.<br>добавь в класс inspection_default в global_policy строчку inspect sip.<br><br>рабочий конфиг вещь сугубо индивидуальная.<br>