sip до локального сервера через pptp

compwork · Сообщение **compwork** » 22 дек 2020, 12:29

Добрый день! дано:
Удаленный офис №3 через RB4011iGS 6.47.8
1. статический адрес входящего WAN-соединения
2. vpn-подключение через pptp к офису № 1
3. vpn-подключение через pptp к офису № 2
4. sip-сервер в локальной сети в офисе №1
Удаленный офис № 3 видит и просматривает ресурсы офисов №1 и № 2, все локальные ресурсы, базы данных и так далее все доступно.
Но sip-телефоны удаленного офиса №3 не хотят видеть sip-сервер в офисе №1. Пинги проходят, регистрация по tcp проходит, голоса нет, регистрация по udp не идет.
нет никаких настроек брандмауэра. Настройки NAT видны на скриншоте.
Почему не идут udp-пакеты и какое правило сделать?
Т.е. в принципе у меня ничего не блокирует.

2020-12-21_14-50-45 (2).png

2020-12-21_14-44-22.png

2020-12-21_14-44-14.png

Chupaka · Сообщение **Chupaka** » 22 дек 2020, 12:45

Добрый. Если spectr и moloko - это и есть офисы 1 и 2, то у вас там два костыля в srcnat в виде правил masquerade для этих интерфейсов. По-хорошему бы настроить нормальную маршрутизацию между офисами (путём прописывания маршрутов на удалённые подсети во всех офисах и отключения этих masquerade) - это может и снять проблему с SIP, который нередко плохо стыкуется с NAT.

Ещё можно глянуть в Firewall -> Service Ports, поиграться с SIP-хелпером.

compwork · Сообщение **compwork** » 22 дек 2020, 12:57

Chupaka писал(а): ↑22 дек 2020, 12:45 Добрый. Если spectr и moloko - это и есть офисы 1 и 2, то у вас там два костыля в srcnat в виде правил masquerade для этих интерфейсов. По-хорошему бы настроить нормальную маршрутизацию между офисами (путём прописывания маршрутов на удалённые подсети во всех офисах и отключения этих masquerade) - это может и снять проблему с SIP, который нередко плохо стыкуется с NAT.

Ещё можно глянуть в Firewall -> Service Ports, поиграться с SIP-хелпером.

sip хелпер отключен, что с ним, что без него - разницы нет.
Маршруты так прописаны

2020-12-22_12-54-26.png

без srcnat с masquerade клиенты не ходят по подсетям удаленных офисов через vpn. Подскажите пример, если не затруднит.

Chupaka · Сообщение **Chupaka** » 22 дек 2020, 13:01

В удалённых офисах нужно тоже маршруты прописать к этому офису (можно добавить в PPP Secrets в поле Routes для автоматического прописывания)

compwork · Сообщение **compwork** » 22 дек 2020, 13:35

Chupaka писал(а): ↑22 дек 2020, 13:01 В удалённых офисах нужно тоже маршруты прописать к этому офису (можно добавить в PPP Secrets в поле Routes для автоматического прописывания)

в удаленных офисах 1 и 2 не микротик в качестве шлюза, от них все ходит до офиса 3, где стоит микротик.
затык именно в офисе 3, где стоит микротик.

Chupaka · Сообщение **Chupaka** » 22 дек 2020, 14:41

Хм... А сделайте трассировку к удалённому офису с клиента, который "не ходит по подсетям удалённых офисов" при выключенном masquerade...

compwork · Сообщение **compwork** » 23 дек 2020, 13:59

Chupaka писал(а): ↑22 дек 2020, 14:41 Хм... А сделайте трассировку к удалённому офису с клиента, который "не ходит по подсетям удалённых офисов" при выключенном masquerade...

добрый день

Трассировка маршрута к 192.168.0.8 с максимальным числом прыжков 30

1 <1 мс <1 мс <1 мс 192.168.50.254
2 25 ms 25 ms 25 ms 192.168.0.150
3 26 ms 26 ms 26 ms 192.168.0.8

Трассировка завершена.

C:\Users\user>tracert 192.168.0.8

Трассировка маршрута к 192.168.0.8 с максимальным числом прыжков 30

1 <1 мс <1 мс <1 мс 192.168.50.254
2 * * * Превышен интервал ожидания для запроса.
3 * * * Превышен интервал ожидания для запроса.
4 * * * Превышен интервал ожидания для запроса.
5 * * * Превышен интервал ожидания для запроса.
6 * * * Превышен интервал ожидания для запроса.
7 * * * Превышен интервал ожидания для запроса.
8 * * * Превышен интервал ожидания для запроса.
9 * * * Превышен интервал ожидания для запроса.

Вот с включенным и отключенным.

Chupaka · Сообщение **Chupaka** » 23 дек 2020, 18:30

Хм... Ну, похоже на то, что либо отсутствует всё же маршрут на той стороне, либо файрволом зафильтровано... А с 192.168.0.8 в обратную сторону нормально трассируется?

compwork · Сообщение **compwork** » 25 дек 2020, 09:17

Chupaka писал(а): ↑23 дек 2020, 18:30 Хм... Ну, похоже на то, что либо отсутствует всё же маршрут на той стороне, либо файрволом зафильтровано... А с 192.168.0.8 в обратную сторону нормально трассируется?

да, оказалось маршрут не нарисовался, после правки стало лучше. Но почему-то при отключении нат правил - клиенты не ходят до удаленных офисов. И даже при нат правилах udp не ходит, по tcp соединение есть.

Chupaka · Сообщение **Chupaka** » 26 дек 2020, 16:26

Ничего не понял... Стало лучше, но клиенты всё равно не ходят - это как? %)

piligrimm · Сообщение **piligrimm** » 27 дек 2020, 12:29

Отключить Nat. На локальных интерфейса офисов включить proxy-arp.

compwork · Сообщение **compwork** » 22 янв 2021, 11:17

piligrimm писал(а): ↑27 дек 2020, 12:29 Отключить Nat. На локальных интерфейса офисов включить proxy-arp.

Спасибо, помогло, единственное, если masquerade отключить на vpn подключении, то тогда соответственно сетевые ресурсы не доступны, но телефония доступна, при подключенном правиле работает и телефония и ресурсы, но новые телефоны не проходят регистрацию, хотя старые заработали стабильно.

MikroTik.by

sip до локального сервера через pptp

sip до локального сервера через pptp

Re: sip до локального сервера через pptp

Re: sip до локального сервера через pptp

Re: sip до локального сервера через pptp

Re: sip до локального сервера через pptp

Re: sip до локального сервера через pptp

Re: sip до локального сервера через pptp

Re: sip до локального сервера через pptp

Re: sip до локального сервера через pptp

Re: sip до локального сервера через pptp

Re: sip до локального сервера через pptp

Re: sip до локального сервера через pptp