Mikrotik+vpn+sip односторонняя связь

RIP, OSFP, BGP, MPLS/VPLS
gnusik
Сообщения: 11
Зарегистрирован: 15 янв 2019, 16:56

Mikrotik+vpn+sip односторонняя связь

Сообщение gnusik » 16 янв 2019, 19:46

И снова прошу помощи гуру.
Связь в одну сторону.
Имеется два микрота связанные через впн. На стороне первого 10.0/24 находится IP ATС все работает вопросов нет.
На другой стороне через впн в сети 12.0/24 куча телефонов. Если звонить на телефоны с 12.0/24 на 10.0/24 или наоборот звонки проходят, порт 5060 работает, трубки регистрируются на АТС. Если поднять трубку, то я слышу, но меня не слышат. Порты 10000-20000 разрешил, но не видно в правилах что трафик ходит. Куда копать?
Сегодня мозг взорвался и уже начал не соображать в правилах. :roll:

Аватара пользователя
Chupaka
Сообщения: 1560
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск
Контактная информация:

Re: Mikrotik+vpn+sip односторонняя связь

Сообщение Chupaka » 16 янв 2019, 21:45

Есть подозрение, что на каком-то из роутеров трафик попадает под NAT, хотя не должен, судя по описанию.

Аватара пользователя
Sir_Prikol
Сообщения: 214
Зарегистрирован: 14 апр 2018, 15:21
Откуда: СССР
Контактная информация:

Re: Mikrotik+vpn+sip односторонняя связь

Сообщение Sir_Prikol » 17 янв 2019, 09:58

Ну, или, не смотря на то что в одной сети работает, добавьте кодеков
Дома:
Uplink - RB3011UiAS (2-ISP(ethernet)белый IP),RB SXT LTE 3-7 (резерв yota (белый IP),Wireless Wire Dish (RBLHGG-60adkit) Uplink белый IP.
2 x RB2011UiAS-2HnD, 2 x RBmAP2nD, 1 x RBwAPG-5HacT2HnD
Хочу uplink - RB1100AHx4 или CCR1036-12G-4S

gnusik
Сообщения: 11
Зарегистрирован: 15 янв 2019, 16:56

Re: Mikrotik+vpn+sip односторонняя связь

Сообщение gnusik » 17 янв 2019, 19:09

В общем я не победил эту связь. Прошу помощи и скидываю правила.
Подключение к провайдеру через PPPOE с двух сторон.
два офиса соединены VPN PPTP
Правила firewall разрешают все(специально все вырубил, чтоб избежать блокировок) на обеих микротах.
В NAT пару правил тоже одинаковые на обеих микротах

action=accept srcnat src.addr192.168.12.0/24 dst.addr 192.168.10.0/24
action=accept srcnat src.addr192.168.10.0/24 dst.addr 192.168.12.0/24
action=masquerade srcnat out.interfase=pppoe
Вот все на чем я остановился.

Вот вопрос почему в 12 подсети я слышу 10 подсеть, а в 10 не слышат 12?

Аватара пользователя
Chupaka
Сообщения: 1560
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск
Контактная информация:

Re: Mikrotik+vpn+sip односторонняя связь

Сообщение Chupaka » 17 янв 2019, 20:42

Ну, если эти правила NAT стоят в самом верху — видимо, не в NAT дело. Тогда смотреть фильтр файрвола.

Машины из 10.0/24 и 12.0/24 нормально друг друга пингуют?

gnusik
Сообщения: 11
Зарегистрирован: 15 янв 2019, 16:56

Re: Mikrotik+vpn+sip односторонняя связь

Сообщение gnusik » 17 янв 2019, 22:00

Chupaka писал(а):
17 янв 2019, 20:42
Ну, если эти правила NAT стоят в самом верху — видимо, не в NAT дело. Тогда смотреть фильтр файрвола.

Машины из 10.0/24 и 12.0/24 нормально друг друга пингуют?
Все пинги ходят, как в одну сторону так и в другую. Захожу на сервер по RDP. Вижу все шары.

Аватара пользователя
Sir_Prikol
Сообщения: 214
Зарегистрирован: 14 апр 2018, 15:21
Откуда: СССР
Контактная информация:

Re: Mikrotik+vpn+sip односторонняя связь

Сообщение Sir_Prikol » 17 янв 2019, 22:14

АТС на чём? Просто если это Астериск - то udp 10000-20000, а если это 3cx, до udp 9000-10999, ну и 5061 udp/tcp то-же не мешает пробросить

Ну и совсем сказочное, отмаркировать сиптрафф и посмотреть в логах как он идёт
Дома:
Uplink - RB3011UiAS (2-ISP(ethernet)белый IP),RB SXT LTE 3-7 (резерв yota (белый IP),Wireless Wire Dish (RBLHGG-60adkit) Uplink белый IP.
2 x RB2011UiAS-2HnD, 2 x RBmAP2nD, 1 x RBwAPG-5HacT2HnD
Хочу uplink - RB1100AHx4 или CCR1036-12G-4S

Аватара пользователя
Chupaka
Сообщения: 1560
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск
Контактная информация:

Re: Mikrotik+vpn+sip односторонняя связь

Сообщение Chupaka » 18 янв 2019, 00:12

Там же обычный роутинг, ничего пробрасывать не надо...

Аватара пользователя
Sir_Prikol
Сообщения: 214
Зарегистрирован: 14 апр 2018, 15:21
Откуда: СССР
Контактная информация:

Re: Mikrotik+vpn+sip односторонняя связь

Сообщение Sir_Prikol » 18 янв 2019, 00:14

Ну человек пишет что порты разрешил, кто его знает что у него в запрещающих, всего конфига нет
Дома:
Uplink - RB3011UiAS (2-ISP(ethernet)белый IP),RB SXT LTE 3-7 (резерв yota (белый IP),Wireless Wire Dish (RBLHGG-60adkit) Uplink белый IP.
2 x RB2011UiAS-2HnD, 2 x RBmAP2nD, 1 x RBwAPG-5HacT2HnD
Хочу uplink - RB1100AHx4 или CCR1036-12G-4S

gnusik
Сообщения: 11
Зарегистрирован: 15 янв 2019, 16:56

Re: Mikrotik+vpn+sip односторонняя связь

Сообщение gnusik » 18 янв 2019, 08:57

Вот вам конфиг. Хотя я писал что все разрешил. Я согласен с Chupaka, обычный роутинг, ничего пробрасывать не надо. АТС на базе ASTERISK

Это самый стандартный конфик который я применяю сперва.
add chain=input action=accept protocol=icmp
add chain=forward action=accept protocol=icmp
add chain=input action=accept connection-state=established
add chain=forward action=accept connection-state=established
add chain=input action=accept connection-state=related
add chain=forward action=accept connection-state=related
add chain=input action=accept src-address=192.168.12.0/24 in-interface=!pppoe
add chain=input action=drop connection-state=invalid
add chain=forward action=drop connection-state=invalid
add chain=input action=drop in-interface=!pppoe
add chain=forward action=accept in-interface=!pppoe out-interface=pppoe
add chain=forward action=drop

Добавил роуты картинками
Вложения
mik10.jpg
mik10.jpg (67.16 КБ) 113 просмотров
mic12.jpg
mic12.jpg (52.19 КБ) 113 просмотров

Ответить