Stran 1 od 1
Asterisk T-2 in NAT
Objavljeno: 14. Sep 2010 ob 12:17
Napisal/-a GregecSLO
Živjo!
Že nekaj časa se zajebavam s tem pa mi nekak ne rata...
Imamo T-2 trunk in Asterisk centralo.
Vse deluje super v podjetju.
Zdej se je pa en spomnu da bi telefoniral tudi od doma in uporabljal našo centralo.
Ni problema, to delam tudi jaz, zalaufam VPN se vržem v naš network in vse špila.
Problem nastane ker on noče VPN-ja, se pravi da bi rad uporabljal direktno našo centralo.
Nekaj sem našel:
sip.conf oz. sip_nat.conf
Vstavil sem tole:
Koda: Izberi vse
externip=STATIČNI_T-2_IP
localnet=192.168.1.0/255.255.255.0
externrefresh=300
nat=yes
Problem je verjetno v tem, ker imamo še en lokalni IP, in sicer od tiste mrežne ki gre
od Asterisk serverja direkt v modem od T-2, in tukaj zna bit problem...
Vendar stvar ne deluje. Če to nastavim v firmi crkne oz. dobim one way audio problem...
A je tukaj kakšen majster ki bi nam tole pomagal uredit?
Hvala!
Re: Asterisk T-2 in NAT
Objavljeno: 14. Sep 2010 ob 15:27
Napisal/-a GregecSLO
Mogoče ima kdo kak delujoč config?
Zgleda da je problem res v 2 mrežnih karticah...
1 za local network
1 za T-2 modem (trunk)
Vmes je še routing med tema dvema...
Nima nihče tako postavljeno?
LP
Re: Asterisk T-2 in NAT
Objavljeno: 14. Sep 2010 ob 18:58
Napisal/-a NoName
umm...
jaz mam eth0+eth1 ~ lacp bond0 (lan) 192.168/24
eth2 ~ (wan) 89.212.a.b/16
eth2.0 ~ t-2 iptel 10.a.b.c/d
routing je
192.168/24 dev bond0
89.212/16 dev eth2
default gw 89.212.0.1 dev eth2
10.a.b.c/d dev eth2
84.255.x.y/32 gw 10.a.0.1 dev eth2 (sbc)
v sip.conf na trunk specifikaciji je
nat=no ter obvezno
canreinvite=no na clientih pa
nat=yes (lahko probas tudi nat=route)
pa dela brez problemov prijava na trunk iz kjerkoli brez vpn preko sip, sips, iax2, ... za vec informacij klikni
tukaj
Re: Asterisk T-2 in NAT
Objavljeno: 14. Sep 2010 ob 19:53
Napisal/-a GregecSLO
Oooo mojster je nazaj iz dopusta!
Al pa bolniške, upam da ne
OK pa dejmo...
Takole je pri meni trunk:
Koda: Izberi vse
host=84.255.xxx.xxx
fromdomain=10.xxx.x.xxx
type=friend
dtmfmode=info
canreinvite=no
disallow=all
allow=alaw
qualify=yes
nat=no
context=from-trunk
Na klientih je:
NAT=YES
canreinvite=no
Network settings:
LAN:
Koda: Izberi vse
eth0 Link encap:Ethernet HWaddr MAC
inet addr:192.168.1.xxx Bcast:192.168.1.255 Mask:255.255.255.0
inet6 addr: IPv6/64 Scope:Link
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
IP za na SBC
Koda: Izberi vse
eth1 Link encap:Ethernet HWaddr MAC
inet addr:10.142.x.xxx (T2 dal) Bcast:10.xxx.255.255 Mask:255.252.0.0
inet6 addr: IPv6/64 Scope:Link
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
In pa routing:
Koda: Izberi vse
84.255.xxx.xxx(SBC IP) via 10.xxx.x.x (GW ki ga je T2 dal) dev eth1
Pa še izpis iz tabele:
Koda: Izberi vse
Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref Use Iface
84-255-XXX-XXX. 10.XXX.X.X 255.255.255.255 UGH 0 0 0 eth1
192.168.1.0 * 255.255.255.0 U 0 0 0 eth0
169.254.0.0 * 255.255.0.0 U 0 0 0 eth1
10.XXX.0.0 * 255.252.0.0 U 0 0 0 eth1
default 192.168.1.1 0.0.0.0 UG 0 0 0 eth0
Evo to bi blo to.
In stvar ne špila.
Ko pa dodam še tiste vrstice v sip_nat.conf pa tudi LOKALNO izgubimo zvok v eno stran...
Kaka ideja tukaj?
Dela pa čist vse, z preusmeritvami na GSM (to je bla tud muka, nov kanal odpirat pa to
) tajnico in preko VPN-ja
Sam še to bi rad da se lahko nekdo iz zunaj hefta gor pa kliče...
LP
Re: Asterisk T-2 in NAT
Objavljeno: 14. Sep 2010 ob 21:52
Napisal/-a NoName
ja, pozabu si omenit, da je tud tvoj server za nat-om... ergo.. 192.168.x ip... morebiti tukaj tvoj firewall ne dela prav
v
sip.conf dodaj:
[general]
externip=84.255.x.x (zunanji ip)
v
rtp.conf dodaj:
[general]
rtpstart=10000
rtpend=10100
na routerju pa poforwardaj celoten zunanji promet ki cilja tvoj zunanji ip na udp porte 10000-10100 do tvoje 192.168.x.x masine, kjer domuje asterisk.
drugače pa preberi
http://www.voip-info.org/wiki/view/Aste ... +solutions, pri tebi prideta v poštev
3 .Asterisk as a SIP server behind nat, clients on the outside connecting to Asterisk
4. Asterisk as a SIP server behind nat, clients on the outside behind a second NAT connecting to Asterisk
pijem pivo, vesel sem tudi nakazil na paypal
Re: Asterisk T-2 in NAT
Objavljeno: 14. Sep 2010 ob 22:19
Napisal/-a GregecSLO
Hehe vse to že danes naredil in sprobal, na žalost vedno dobim one-way audio sindrom
Po moje je nekje v rutingu problem, port forwarding sem porihtal, tako za SIP signaling kot za RTP....
Zunanjega mamo: 89.212.xxx.xxx
Sem na logih gledal, vse se lep forwardira samo ni mi jasno kam "ponikne" audio...
Ker tisti ko kliče ven recimo, sliši vse klicani pa ne sliši nič...
To je glavni problem
Re: Asterisk T-2 in NAT
Objavljeno: 14. Sep 2010 ob 23:44
Napisal/-a NoName
hja, ce ne gre drugace, bo pomagal tcpdump na strani odjemalca in serverja... ce na strani serverja vidis oba rtp streama na obeh straneh (dva s clientom in dva s sbcjem), pol je nekje drugje neki narobe... me pa mal firbec daje... daj pozasebkaj mi pcap file z vseh strani, cisto tako iz firbca.
and another thing... a si poskusil na asterisku postaviti kak echo test ali comedian mail na kaki cifri?
Re: Asterisk T-2 in NAT
Objavljeno: 15. Sep 2010 ob 08:23
Napisal/-a GregecSLO
Evo lej, bom probal vse nastavit pa porte poforwardirat, pol bom pa tshark zalaufu (na serverju rabiš eth1, right? al obe?).
Pa na klientu Wiresharka...
Re: Asterisk T-2 in NAT
Objavljeno: 15. Sep 2010 ob 14:05
Napisal/-a GregecSLO
Sem poslal na ZS.
Upam da je šlo skos, mi ga je v en čuden folder vrglo v ZS...
BTW, probal sem postavt še enga asteriska. Pol sm jih z IAX2 zvezu skupaj in tega ta novga
dal na net (port forward). Stvar deluje tako kot mora...
Sam jst bi iz prvega rad, nočem še enga serverja za public access ko da mam 100+ userjev za sabo
Re: Asterisk T-2 in NAT
Objavljeno: 15. Sep 2010 ob 21:32
Napisal/-a NoName
dans sm mal okol skakal pa ni blo cajta pogledat, mea culpa.. bom jutri vrgu uc na fajle... drgac pa... toplo toplo ti priporocam, da bos v primeru, da bos res celotn asterisk gnal cez javno mrezo temu primerno zascitil sistem - ergo, sip gesla dolga kaksnih 12 znakov, sestavljena iz malih in velikih crk, stevilk, posebnih znakov, nad asterisk logom pa naj bdi ena fail2ban aplikacija, ki bo morebitne bruteforce, torej, ce se z dolocenega IP naslova nekdo 2x v 10 minutah poskusi prijavit z narobnim geslom, preprosto z iptables zablokira omenjen ip in te obvesti na mail, ter ce se za dolocen username v zadnjih 10 minutah poskusa nekdo prijaviti z razlicnih IP naslovov, uporabnika samega zablokiras v sip.conf... kakorkoli.. moznosti je mnogo...
Re: Asterisk T-2 in NAT
Objavljeno: 16. Sep 2010 ob 09:06
Napisal/-a veiztex
vdorov v asterisk smo ze videli kar nekaj in k temu primeren račun (več tisoc evrov)... tako da more bit zascita zelo dobro narejena...
lp
Re: Asterisk T-2 in NAT
Objavljeno: 16. Sep 2010 ob 09:29
Napisal/-a GregecSLO
To imam urejeno.
Fail2Ban deluje OK, vsaj lokalno zaenkrat
Zaenkrat imam tudi port forwardin dovoljen samo iz 3 lokacij...
Bi uporabil VPN, z največjim veseljem, pa še dela ko šus res odlično.
Vendar ne morem, pač tak je requirement...
Re: Asterisk T-2 in NAT
Objavljeno: 16. Sep 2010 ob 10:15
Napisal/-a Skorc
Hmmm ... OK, lahko boš rekel, da pametujem ampak jaz tega ne bi in ne bom počel (splošno glede varnosti). V mojem primeru: zahtevo, ki jo je podal direktor sem glatko zavrnil z zelo preprosto obrazložitvijo: Dokler sem jaz odgovoren za pravilno in varno delovanje računalniškega sistema, bo "po moje".
Smo pa seveda priča pritiskom, ko "stroko" povozijo. Žal, se zgodi, da obvelja argument moči in ne moč argumentov.
Re: Asterisk T-2 in NAT
Objavljeno: 16. Sep 2010 ob 10:30
Napisal/-a GregecSLO
Hvala Gorazdu in NoName-u, zdej vem kje je napaka, gremo naprej
@Skorc, tud do tega še pridemo