Страница 1 из 1

Mikrotik+vpn+sip односторонняя связь

Добавлено: 16 янв 2019, 19:46
gnusik
И снова прошу помощи гуру.
Связь в одну сторону.
Имеется два микрота связанные через впн. На стороне первого 10.0/24 находится IP ATС все работает вопросов нет.
На другой стороне через впн в сети 12.0/24 куча телефонов. Если звонить на телефоны с 12.0/24 на 10.0/24 или наоборот звонки проходят, порт 5060 работает, трубки регистрируются на АТС. Если поднять трубку, то я слышу, но меня не слышат. Порты 10000-20000 разрешил, но не видно в правилах что трафик ходит. Куда копать?
Сегодня мозг взорвался и уже начал не соображать в правилах. :roll:

Re: Mikrotik+vpn+sip односторонняя связь

Добавлено: 16 янв 2019, 21:45
Chupaka
Есть подозрение, что на каком-то из роутеров трафик попадает под NAT, хотя не должен, судя по описанию.

Re: Mikrotik+vpn+sip односторонняя связь

Добавлено: 17 янв 2019, 09:58
Sir_Prikol
Ну, или, не смотря на то что в одной сети работает, добавьте кодеков

Re: Mikrotik+vpn+sip односторонняя связь

Добавлено: 17 янв 2019, 19:09
gnusik
В общем я не победил эту связь. Прошу помощи и скидываю правила.
Подключение к провайдеру через PPPOE с двух сторон.
два офиса соединены VPN PPTP
Правила firewall разрешают все(специально все вырубил, чтоб избежать блокировок) на обеих микротах.
В NAT пару правил тоже одинаковые на обеих микротах

action=accept srcnat src.addr192.168.12.0/24 dst.addr 192.168.10.0/24
action=accept srcnat src.addr192.168.10.0/24 dst.addr 192.168.12.0/24
action=masquerade srcnat out.interfase=pppoe
Вот все на чем я остановился.

Вот вопрос почему в 12 подсети я слышу 10 подсеть, а в 10 не слышат 12?

Re: Mikrotik+vpn+sip односторонняя связь

Добавлено: 17 янв 2019, 20:42
Chupaka
Ну, если эти правила NAT стоят в самом верху — видимо, не в NAT дело. Тогда смотреть фильтр файрвола.

Машины из 10.0/24 и 12.0/24 нормально друг друга пингуют?

Re: Mikrotik+vpn+sip односторонняя связь

Добавлено: 17 янв 2019, 22:00
gnusik
Chupaka писал(а): 17 янв 2019, 20:42 Ну, если эти правила NAT стоят в самом верху — видимо, не в NAT дело. Тогда смотреть фильтр файрвола.

Машины из 10.0/24 и 12.0/24 нормально друг друга пингуют?
Все пинги ходят, как в одну сторону так и в другую. Захожу на сервер по RDP. Вижу все шары.

Re: Mikrotik+vpn+sip односторонняя связь

Добавлено: 17 янв 2019, 22:14
Sir_Prikol
АТС на чём? Просто если это Астериск - то udp 10000-20000, а если это 3cx, до udp 9000-10999, ну и 5061 udp/tcp то-же не мешает пробросить

Ну и совсем сказочное, отмаркировать сиптрафф и посмотреть в логах как он идёт

Re: Mikrotik+vpn+sip односторонняя связь

Добавлено: 18 янв 2019, 00:12
Chupaka
Там же обычный роутинг, ничего пробрасывать не надо...

Re: Mikrotik+vpn+sip односторонняя связь

Добавлено: 18 янв 2019, 00:14
Sir_Prikol
Ну человек пишет что порты разрешил, кто его знает что у него в запрещающих, всего конфига нет

Re: Mikrotik+vpn+sip односторонняя связь

Добавлено: 18 янв 2019, 08:57
gnusik
Вот вам конфиг. Хотя я писал что все разрешил. Я согласен с Chupaka, обычный роутинг, ничего пробрасывать не надо. АТС на базе ASTERISK

Это самый стандартный конфик который я применяю сперва.
add chain=input action=accept protocol=icmp
add chain=forward action=accept protocol=icmp
add chain=input action=accept connection-state=established
add chain=forward action=accept connection-state=established
add chain=input action=accept connection-state=related
add chain=forward action=accept connection-state=related
add chain=input action=accept src-address=192.168.12.0/24 in-interface=!pppoe
add chain=input action=drop connection-state=invalid
add chain=forward action=drop connection-state=invalid
add chain=input action=drop in-interface=!pppoe
add chain=forward action=accept in-interface=!pppoe out-interface=pppoe
add chain=forward action=drop

Добавил роуты картинками

Re: Mikrotik+vpn+sip односторонняя связь

Добавлено: 18 янв 2019, 10:51
Chupaka
Хотя я писал что все разрешил.
А я вот что-то этого не вижу... У вас разрешён весь icmp (поэтому пинги ходят), а вот в forward разрешено только ходить в pppoe и обратно (как established), а вот между LAN и pptp-9/5 (и, соответственно, vpn-9/5 и LAN_OFFIS на втором роутере) - получается, запрещено?..

Re: Mikrotik+vpn+sip односторонняя связь

Добавлено: 18 янв 2019, 11:33
gnusik
Добавил новые правила все ровно связь в одну сторону.

microtik 10
add chain=forward action=accept in-interface=LAN out-interface=pptp-9/5
add chain=forward action=accept in-interface=pptp-9/5 out-interface=LAN

microtik 12
add chain=forward action=accept in-interface=LAN-OFFIS out-interface=pptp-9/5
add chain=forward action=accept in-interface=pptp-9/5 out-interface=LAN-OFFIS

на 10
add chain=forward action=accept in-interface=pptp-9/5 out-interface=LAN В это правиле не видно, что ходят пакеты.
на 12 пакеты ходят в двух правилах

Re: Mikrotik+vpn+sip односторонняя связь

Добавлено: 18 янв 2019, 13:54
Chupaka
Если не видно, что ходят пакеты - надо смотреть, где эти пакеты теряются или почему не туда летят, куда надо. Policy Routing не используется?

Re: Mikrotik+vpn+sip односторонняя связь

Добавлено: 18 янв 2019, 15:12
gnusik
Policy Routing не используется точно.
Как найти где они потерялись?
Я так понял они не приходят в 10 подсесть.

Re: Mikrotik+vpn+sip односторонняя связь

Добавлено: 18 янв 2019, 15:37
Chupaka
Torch'ем посмотрите, может, прилетают ли пакеты из pptp. А потом уже думать, куда пропадают. Например, /ip firewall filter add chain=forward action=passthrough log=yes src-address=YYY dst-address=XXX - и в логе будет видно, через какой интерфейс пакеты уходят

Re: Mikrotik+vpn+sip односторонняя связь

Добавлено: 19 янв 2019, 12:00
Sir_Prikol
Совсем бредовая идея, но иногда у SIP бывает проблема с размером пакета, они не пролезают через pptp. Может ещё в эту сторону покрутить? Повторюсь, такие случаи редки, но по UDP бывает шлёт с превышением.

Re: Mikrotik+vpn+sip односторонняя связь

Добавлено: 21 янв 2019, 10:09
gnusik
Вот такая картина наблюдается в логах.
из 10 в 12 подсеть все бегает.
а из 12 в 10 вообще пусто.

Re: Mikrotik+vpn+sip односторонняя связь

Добавлено: 21 янв 2019, 13:14
gnusik
Видно что пакеты ходят только в одну сторону и только UDP 5060 проходит туда и обратно.
Правда этого на картинке не видно.

Re: Mikrotik+vpn+sip односторонняя связь

Добавлено: 22 янв 2019, 00:23
Chupaka
Смотрите то, что я выше написал. Вы говорите, что пакеты на одном роутере есть, а на другом нет — но они же не теряются внутри тоннеля. Что-то на одном из роутеров не то.