Pf на FreeBSD - проблема при работе SIP телефонии

0

1

Народ, подскажите, почему нельзя сделать так чтобы sip-телефония работала из локалки стоящей за шлюзом с FREEBSD+pf без прописывания для каждого ip адреса sip телефона отдельной настройки в конфиге pf. Настройка вида: http://www.opennet.ru/tips/info/2220.shtml Чего такого нет в pf, а есть в других фаерах (например, в iptables)? . И как можно решить эту проблему в Pf ?

Ссылка

←	Нужна помощь с пробросом портов

Почему screen создет сессии?

→

Дело в том, что в SIP для передачи всякой-разной мультимедии используются отдельные подключения. В некотором смысле это похоже на FTP, в котором для передачи данных тоже используются отдельные соединения.

Не знаю про pf, но в iptables для этого есть специальные модули для connection tracking'а.

Deleted
(12.12.14 01:58:42 MSK)

Ссылка

Для начала простой факт:

Most conventional voip protocols (SIP, h323, …) are not programmed with NAT in mind

Это простой ответ на твой вопрос. Более сложный ответ это настройка шлюза.

ziemin ★★
(12.12.14 01:59:49 MSK)

Может быть можно в таблицу собрать все айпишники и прописать одним правилом?

kravzo ★★
(12.12.14 06:08:33 MSK)

Ну так пропиши в телефонах (и asterisk) порты для rtp и помечай себе на здоровье траффик по портам.

~~zgen~~ ★★★★★
(12.12.14 07:35:54 MSK)
Последнее исправление: zgen 12.12.14 07:36:27 MSK (всего исправлений: 1)

Ответ на: комментарий от ziemin 12.12.14 01:59:49 MSK

STUN же есть

dvrts ★★★
(12.12.14 09:54:06 MSK)

Ответ на: комментарий от kravzo 12.12.14 06:08:33 MSK

Не получится, там нужно помечать пакеты: tag VOIP

tosick4
(12.12.14 10:02:29 MSK) автор топика

Ссылка

Ответ на: комментарий от zgen 12.12.14 07:35:54 MSK

Так помечать приходится для каждого ip. Ведь в iptables можно без этого обойтись. Вопрос: что не поддерживает pf в трансляции SIP ?

tosick4
(12.12.14 10:05:09 MSK) автор топика

Ответ на: комментарий от dvrts 12.12.14 09:54:06 MSK

Если не прописать отдельные правила - не будет даже регистрации.

tosick4
(12.12.14 10:05:48 MSK) автор топика

Ответ на: комментарий от tosick4 12.12.14 10:05:09 MSK

В iptables точно так же sip не проходит через nat, как правило не слышно голоса в одну сторону. И надо либо пробрасывать порты, либо настраивать STUN на оконечных устройствах.

Yur4eg ★★
(12.12.14 11:06:45 MSK)

Ответ на: комментарий от Yur4eg 12.12.14 11:06:45 MSK

Ну а как же вот, например, на бюджетных wifi роутерах сделано (dir-320)? там для ip-телефонии ничего прописывать ненадо - само все работает. Я знаю что там стоит линукс. А вот что за ПО там? И можно ли его поставить на фряху?

tosick4
(12.12.14 11:52:32 MSK) автор топика

Ответ на: комментарий от tosick4 12.12.14 11:52:32 MSK

Ip-телефония сама через nat не работает, нужны некие телодвижения, потому что, в момент инициализации вызова ip-телефон отправляет sip серверу пару IP+порт, на котором он готов принять входящий голосовой поток. В случае, когда ничего не настроено это будет *локальный* ip, путь к которому удаленный сервер не найдет. Твои утверждения про soho роутеры без ссылок я нахожу голословными

Yur4eg ★★
(12.12.14 12:18:44 MSK)

Ссылка

Ответ на: комментарий от tosick4 12.12.14 11:52:32 MSK

ALG там.

post-factum ★★★★★
(12.12.14 12:19:50 MSK)

Ответ на: комментарий от post-factum 12.12.14 12:19:50 MSK

ALG можно прикрутить к pf ?

tosick4
(12.12.14 14:48:02 MSK) автор топика

Ответ на: комментарий от tosick4 12.12.14 14:48:02 MSK

Я не в курсе о pf, но в интернетах пишут:

PF, built-in OpenBSD firewall PF can handle the NAT through the «static-port» directive and the bandwidth control through the built-in queuing system of SIP connections

Ну и вот: http://blog.metajiji.tk/2011/11/asterisk-pf-nat.html

post-factum ★★★★★
(12.12.14 15:23:00 MSK)