LINUX.ORG.RU

OpenWrt и шлюз Sip телефонии за NAT.

 , , ,


1

0

Ребят, подскажите пожалуйста. Роутер с OpenWrt получает инет через PPPoE. Есть шлюз Sip телефонии. Надо поставить его в LAN интерфейс. Шлюз хоть убей не регистрируется за NAT. Нужный порт 5060 к шлюзу пробросил. (Все настройки произвожу через веб LuCI)

В «Пользовательских правилах» прописал порт 5060 на открытие на всех возможных интерфейсах:

WAN='pppoe-ppoe' # это интерфейс PPPoE iptables -A input_rule -i $WAN -p udp --dport 5060 -j ACCEPT

WAN='eth1' # тут прописываем интерфейс по которому получаем локалку. iptables -A input_rule -i $WAN -p udp --dport 5060 -j ACCEPT

WAN='br-lan' # тут прописал интерфейс по которому соединяемся с устройствами LAN iptables -A input_rule -i $WAN -p udp --dport 5060 -j ACCEPT

Но шлюз не регистрируется. Вопрос: Как правильно открыть для шлюза порт 5060 в обе стороны, чтобы он заработал.

Зы: Точно знаю, что за натом шлюз должен работать, провайдер говорит, что нет регистрации, т.к. udp:5060 закрыт В системе мониторинга вижу, что от шлюза идут соединения только на порт 5060. Если поставить шлюз перед роутером, то он работает (но меня это не устраивает, (завиcает иногда PPPoE)

TCP разреши еще, SIP по нему тоже умеет. Порт тот же. И готовся к проблемам в стиле одностороннего звука.

Gu4 ()

Ну и NAT же у тебя настроен, правильно? Не просто разрешить и маскарадить, а и правильно транслировать порты.

Gu4 ()

Посмотри «iptables -L -v» есть ли твоё правило.

У меня тоже какой то глюк просто c файлом /etc/fierwall.user, правила из него не загружаются после переподключения интерфейса pppoe...

Ну и проверь пакеты попадают вообще в это правило или нет(по счетчику в iptables)

anonymous ()

Да оно без настроек сразу должно работать.

tcpdump нужен с фильтрами destination-source, provider, router, client.

steemandlinux ★★★★★ ()

Работать должно и без доп.правил. Советую посмотреть tcpdump'ом что ходит по сети. Ну и да, можно попробовать подгрузить nf_conntrack_sip.

NiTr0 ★★★★★ ()
Ответ на: комментарий от Gu4

TCP разрешал

TCP разрешал уже, не помогло. Да и телефонист провайдерский сказал, что UDP нужно. Да и в мониторе коединения от шлюза только на UDP::5060.

varvar87 ()
Ответ на: комментарий от anonymous

Посмотрел «iptables -L -v» есть

Посмотрел «iptables -L -v» Мое правило присутствует:

Это мой проброс портов:

Chain zone_wan_forward (2 references) 0 0 ACCEPT tcp -- any any anywhere TELEFON.lan tcp dpt:sip 13 6409 ACCEPT udp -- any any anywhere TELEFON.lan udp dpt:sip

Как видим пакеты попадают только на UDP.

Есть еще одно оправило в блоке: Chain nat_reflection_fwd (1 references) 0 0 ACCEPT tcp -- any any 192.168.1.0/24 TELEFON.lan tcp dpt:sip 0 0 ACCEPT udp -- any any 192.168.1.0/24 TELEFON.lan udp dpt:sip

Но туда пакеты не идут.

varvar87 ()
Ответ на: комментарий от slapin

Но работает же на стандартных роутерах. Это распространенная практика моего провайдера. При проблемах с шлюзом или ВПН ставить шлюз за нат.

varvar87 ()
Ответ на: комментарий от NiTr0

tcpdump трафик с и на мой шлюз

Если это поможет:

tcpdump -n udp and host 192.168.1.218 and dst port 5060

tcpdump: WARNING: eth0: no IPv4 address assigned tcpdump: verbose output suppressed, use -v or -vv for full protocol decode listening on eth0, link-type EN10MB (Ethernet), capture size 65535 bytes ^[[A^[[A18:03:40.568203 IP 192.168.1.218.5060 > 10.1.246.2.5060: SIP, length: 415 18:03:40.768981 IP 10.1.246.2.5060 > 192.168.1.218.5060: SIP, length: 329 18:03:41.119445 IP 192.168.1.218.5060 > 10.1.246.2.5060: SIP, length: 415 18:03:41.120822 IP 10.1.246.2.5060 > 192.168.1.218.5060: SIP, length: 329 18:03:45.168244 IP 192.168.1.218.5060 > 10.1.246.2.5060: SIP, length: 415 18:03:45.169297 IP truncated-ip - 739 bytes missing! 10.1.246.2.5060 > 192.168.1.218.5060: tcp 1064 [bad hdr length 12 - too short, < 20] 18:03:49.219319 IP 192.168.1.218.5060 > 10.1.246.2.5060: SIP, length: 415 18:03:49.220284 IP truncated-ip - 1043 bytes missing! 79.143.180.29.38118 > 192.168.1.133.13761: Flags [.], seq 3306861334:3306862682, ack 682189331, win 438, options [nop,nop,TS val 111008621 ecr 7403391], length 1348 18:03:53.267485 IP 192.168.1.218.5060 > 10.1.246.2.5060: SIP, length: 415 18:03:53.268540 IP 10.1.246.2.5060 > 192.168.1.218.5060: tcp 20 [bad hdr length 12 - too short, < 20] 18:03:56.327285 IP 199.217.113.244.5095 > 192.168.1.218.5060: SIP, length: 421 18:03:57.307396 IP 192.168.1.218.5060 > 10.1.246.2.5060: SIP, length: 415 18:03:57.309030 IP 10.1.246.2.5060 > 192.168.1.218.5060: SIP, length: 329 18:04:01.378493 IP 192.168.1.218.5060 > 10.1.246.2.5060: SIP, length: 415 18:04:01.579507 IP 10.1.246.2.5060 > 192.168.1.218.5060: SIP, length: 329 18:04:01.938540 IP 192.168.1.218.5060 > 10.1.246.2.5060: SIP, length: 415 18:04:01.939791 IP 10.1.246.2.5060 > 192.168.1.218.5060: SIP, length: 329 18:04:05.986986 IP 192.168.1.133.13761 > 31.41.69.230.1686: Flags [.], ack 921287652, win 65280, length 0 18:04:05.988016 IP 10.1.246.2.5060 > 192.168.1.218.5060: SIP, length: 329 18:04:09.599971 IP 192.168.1.133.13761 > 31.41.69.230.1686: Flags [.], ack 2113, win 65280, length 0 18:04:10.027240 IP 192.168.1.218.5060 > 10.1.246.2.5060: SIP, length: 415 18:04:10.030430 IP truncated-ip - 1043 bytes missing! 10.1.246.2.5060 > 192.168.1.218.5060: tcp 1368 [bad hdr length 12 - too short, < 20] 18:04:14.077871 IP 192.168.1.218.5060 > 10.1.246.2.5060: SIP, length: 415 18:04:14.078852 IP truncated-ip - 739 bytes missing! 192.168.1.133.60380 > 95.105.17.33.24807: Flags [P.], seq 2505388262:2505389318, ack 3499519837, win 16660, length 1056 18:04:18.127457 IP 192.168.1.218.5060 > 10.1.246.2.5060: SIP, length: 415 18:04:18.128454 IP truncated-ip - 435 bytes missing! 192.168.1.133.59688 > 84.237.229.226.19213: Flags [P.], seq 2546399740:2546400492, ack 3526241883, win 16416, length 752 18:04:22.177633 IP 192.168.1.218.5060 > 10.1.246.2.5060: SIP, length: 415 18:04:22.178594 IP truncated-ip - 435 bytes missing! 10.1.246.2.5060 > 192.168.1.218.5060: tcp 760 [bad hdr length 12 - too short, < 20] 18:04:22.577568 IP 192.168.1.218.5060 > 10.1.246.2.5060: SIP, length: 415 18:04:22.579920 IP truncated-ip - 395 bytes missing! 192.168.1.133.59688 > 84.237.229.226.19213: Flags [P.], seq 2112:2864, ack 1, win 16416, length 752 18:04:22.780224 IP 10.1.246.2.5060 > 192.168.1.218.5060: SIP, length: 329 18:04:23.125910 IP 192.168.1.218.5060 > 10.1.246.2.5060: SIP, length: 415 18:04:23.127250 IP 10.1.246.2.5060 > 192.168.1.218.5060: SIP, length: 329

varvar87 ()
7 декабря 2015 г.

Решилось!!!

Дело было в не настроенном Dual Access. При поднятии PPPoE туннеля весь трафик шел именно через него. Шлюз подключался именно по серой сетке (локалке провайдера). Настроил маршрутизацию на Dual Access и все пошло.

PS: Долго руки не доходили, без ната все работало, но хотелось лучше.

varvar87 ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.