Asterisk T-2 in NAT

[GregecSLO]

Živjo!

Že nekaj časa se zajebavam s tem pa mi nekak ne rata...

Imamo T-2 trunk in Asterisk centralo.
Vse deluje super v podjetju.

Zdej se je pa en spomnu da bi telefoniral tudi od doma in uporabljal našo centralo.
Ni problema, to delam tudi jaz, zalaufam VPN se vržem v naš network in vse špila.

Problem nastane ker on noče VPN-ja, se pravi da bi rad uporabljal direktno našo centralo.

Nekaj sem našel:
sip.conf oz. sip_nat.conf

Vstavil sem tole:

Koda: Izberi vse

externip=STATIČNI_T-2_IP
localnet=192.168.1.0/255.255.255.0
externrefresh=300
nat=yes

Problem je verjetno v tem, ker imamo še en lokalni IP, in sicer od tiste mrežne ki gre
od Asterisk serverja direkt v modem od T-2, in tukaj zna bit problem...

Vendar stvar ne deluje. Če to nastavim v firmi crkne oz. dobim one way audio problem...
A je tukaj kakšen majster ki bi nam tole pomagal uredit?

Hvala!

[GregecSLO]

Mogoče ima kdo kak delujoč config?
Zgleda da je problem res v 2 mrežnih karticah...
1 za local network
1 za T-2 modem (trunk)
Vmes je še routing med tema dvema...

Nima nihče tako postavljeno?

LP

[NoName]

umm...

jaz mam eth0+eth1 ~ lacp bond0 (lan) 192.168/24
eth2 ~ (wan) 89.212.a.b/16
eth2.0 ~ t-2 iptel 10.a.b.c/d

routing je
192.168/24 dev bond0
89.212/16 dev eth2
default gw 89.212.0.1 dev eth2
10.a.b.c/d dev eth2
84.255.x.y/32 gw 10.a.0.1 dev eth2 (sbc)

v sip.conf na trunk specifikaciji je nat=no ter obvezno canreinvite=no na clientih pa nat=yes (lahko probas tudi nat=route)

pa dela brez problemov prijava na trunk iz kjerkoli brez vpn preko sip, sips, iax2, ... za vec informacij klikni tukaj

[GregecSLO]

Oooo mojster je nazaj iz dopusta!
Al pa bolniške, upam da ne

OK pa dejmo...


Takole je pri meni trunk:

Koda: Izberi vse

host=84.255.xxx.xxx
fromdomain=10.xxx.x.xxx
type=friend
dtmfmode=info
canreinvite=no
disallow=all
allow=alaw
qualify=yes
nat=no
context=from-trunk

Na klientih je:
NAT=YES
canreinvite=no

Network settings:

LAN:

Koda: Izberi vse

eth0      Link encap:Ethernet  HWaddr MAC
          inet addr:192.168.1.xxx  Bcast:192.168.1.255  Mask:255.255.255.0
          inet6 addr: IPv6/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1

IP za na SBC

Koda: Izberi vse

eth1      Link encap:Ethernet  HWaddr MAC
          inet addr:10.142.x.xxx (T2 dal)  Bcast:10.xxx.255.255  Mask:255.252.0.0
          inet6 addr: IPv6/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1

In pa routing:

Koda: Izberi vse

84.255.xxx.xxx(SBC IP) via 10.xxx.x.x (GW ki ga je T2 dal) dev eth1

Pa še izpis iz tabele:

Koda: Izberi vse

Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
84-255-XXX-XXX. 10.XXX.X.X    255.255.255.255 UGH   0      0        0 eth1
192.168.1.0     *               255.255.255.0   U     0      0        0 eth0
169.254.0.0     *               255.255.0.0     U     0      0        0 eth1
10.XXX.0.0      *               255.252.0.0     U     0      0        0 eth1
default           192.168.1.1 0.0.0.0         UG    0      0        0 eth0

Evo to bi blo to.
In stvar ne špila.
Ko pa dodam še tiste vrstice v sip_nat.conf pa tudi LOKALNO izgubimo zvok v eno stran...

Kaka ideja tukaj?
Dela pa čist vse, z preusmeritvami na GSM (to je bla tud muka, nov kanal odpirat pa to ) tajnico in preko VPN-ja

Sam še to bi rad da se lahko nekdo iz zunaj hefta gor pa kliče...

LP

[NoName]

ja, pozabu si omenit, da je tud tvoj server za nat-om... ergo.. 192.168.x ip... morebiti tukaj tvoj firewall ne dela prav

v sip.conf dodaj:
[general]
externip=84.255.x.x (zunanji ip)

v rtp.conf dodaj:
[general]
rtpstart=10000
rtpend=10100

na routerju pa poforwardaj celoten zunanji promet ki cilja tvoj zunanji ip na udp porte 10000-10100 do tvoje 192.168.x.x masine, kjer domuje asterisk.

drugače pa preberi http://www.voip-info.org/wiki/view/Aste ... +solutions, pri tebi prideta v poštev

3 .Asterisk as a SIP server behind nat, clients on the outside connecting to Asterisk
4. Asterisk as a SIP server behind nat, clients on the outside behind a second NAT connecting to Asterisk

pijem pivo, vesel sem tudi nakazil na paypal

[GregecSLO]

Hehe vse to že danes naredil in sprobal, na žalost vedno dobim one-way audio sindrom
Po moje je nekje v rutingu problem, port forwarding sem porihtal, tako za SIP signaling kot za RTP....

Zunanjega mamo: 89.212.xxx.xxx

Sem na logih gledal, vse se lep forwardira samo ni mi jasno kam "ponikne" audio...
Ker tisti ko kliče ven recimo, sliši vse klicani pa ne sliši nič...

To je glavni problem

[NoName]

hja, ce ne gre drugace, bo pomagal tcpdump na strani odjemalca in serverja... ce na strani serverja vidis oba rtp streama na obeh straneh (dva s clientom in dva s sbcjem), pol je nekje drugje neki narobe... me pa mal firbec daje... daj pozasebkaj mi pcap file z vseh strani, cisto tako iz firbca.

and another thing... a si poskusil na asterisku postaviti kak echo test ali comedian mail na kaki cifri?

[GregecSLO]

Evo lej, bom probal vse nastavit pa porte poforwardirat, pol bom pa tshark zalaufu (na serverju rabiš eth1, right? al obe?).

Pa na klientu Wiresharka...

[GregecSLO]

Sem poslal na ZS.
Upam da je šlo skos, mi ga je v en čuden folder vrglo v ZS...

BTW, probal sem postavt še enga asteriska. Pol sm jih z IAX2 zvezu skupaj in tega ta novga
dal na net (port forward). Stvar deluje tako kot mora...

Sam jst bi iz prvega rad, nočem še enga serverja za public access ko da mam 100+ userjev za sabo

[NoName]

dans sm mal okol skakal pa ni blo cajta pogledat, mea culpa.. bom jutri vrgu uc na fajle... drgac pa... toplo toplo ti priporocam, da bos v primeru, da bos res celotn asterisk gnal cez javno mrezo temu primerno zascitil sistem - ergo, sip gesla dolga kaksnih 12 znakov, sestavljena iz malih in velikih crk, stevilk, posebnih znakov, nad asterisk logom pa naj bdi ena fail2ban aplikacija, ki bo morebitne bruteforce, torej, ce se z dolocenega IP naslova nekdo 2x v 10 minutah poskusi prijavit z narobnim geslom, preprosto z iptables zablokira omenjen ip in te obvesti na mail, ter ce se za dolocen username v zadnjih 10 minutah poskusa nekdo prijaviti z razlicnih IP naslovov, uporabnika samega zablokiras v sip.conf... kakorkoli.. moznosti je mnogo...

[veiztex]

vdorov v asterisk smo ze videli kar nekaj in k temu primeren račun (več tisoc evrov)... tako da more bit zascita zelo dobro narejena...

lp

[GregecSLO]

To imam urejeno.

Fail2Ban deluje OK, vsaj lokalno zaenkrat

Zaenkrat imam tudi port forwardin dovoljen samo iz 3 lokacij...
Bi uporabil VPN, z največjim veseljem, pa še dela ko šus res odlično.

Vendar ne morem, pač tak je requirement...

[Skorc]

Hmmm ... OK, lahko boš rekel, da pametujem ampak jaz tega ne bi in ne bom počel (splošno glede varnosti). V mojem primeru: zahtevo, ki jo je podal direktor sem glatko zavrnil z zelo preprosto obrazložitvijo: Dokler sem jaz odgovoren za pravilno in varno delovanje računalniškega sistema, bo "po moje".

Smo pa seveda priča pritiskom, ko "stroko" povozijo. Žal, se zgodi, da obvelja argument moči in ne moč argumentov.

[GregecSLO]

Hvala Gorazdu in NoName-u, zdej vem kje je napaka, gremo naprej

@Skorc, tud do tega še pridemo