Gsm шлюз-VPN-ATS нет голоса.

[gnusik]

Появилась срочная задача. Перенести GSM шлюз ближе к центру города.
Шлюз Yastar tg400 подключен к микроту RB952Ui-5ac2nD через VPN L2tp в микрот RB4011iGS+ в АТС.
В данной схеме пакеты бегают туда и обратно компьютеры пингуются в обе стороны. Со стороны RB952Ui подключен еще сип телефон с ним проблем нет, звонки проходят слышимость есть, а вот шлюз регистрируется на атс звонки есть но голоса нет в обе стороны.
Смотрел торчем на интерфейсе VPN видны только пакеты от шлюза с портом 5060 а вот RTP от шлюза уходят в интернет.
Вот как понять что телефон работает, а шлюз нет!?

[Sir_Prikol]

sip helper
плюс маршрутизация

[gnusik]

sip helper - выключен
плюс маршрутизация - Почему тогда телефон работает находясь в одной сети со шлюзом?

[Sir_Prikol]

Если пакет со шлюза идёт в интернет - то это проблема с маршрутом, смотрим настройки, почему с условного 192.168.1.10 пакет лезет в мир, а не вовнутрь и почему с условного 192.168.1.20 пакет идёт правильно

А так, без конфы - гадание на кофейной гуще

Может у вас шлюз заточен на то, чтоб через условные Zadarma работать, поэтому он и лезет в мир

И да, попробуйте включить sip helper, при единственном шлюзе - он как раз очень помогает

[Chupaka]

"RTP от шлюза уходят в интернет" - похоже на Policy Routing. У вас не используются маркированные маршруты?

[gnusik]

Там пусто.

[Chupaka]

Где пусто?

[gnusik]

"RTP от шлюза уходят в интернет" - похоже на Policy Routing. У вас не используются маркированные маршруты?

Тут пусто)

[Chupaka]

В Интернете пусто?.. Что вы имеете в виду?..

[gnusik]

Пойдем с настроек.
Микрот на стороне АТС.

Прошу сильно не злится. Некоторые правила лишние так как мозг закипел и уже не понимал что делать в час ночи.

Код: Выделить всё

/ip route> print
Flags: X - disabled, A - active, D - dynamic, C - connect, S - static, r - rip, b - bgp, o - ospf, m - mme, 
B - blackhole, U - unreachable, P - prohibit 
 #      DST-ADDRESS        PREF-SRC        GATEWAY            DISTANCE
 0 ADS  0.0.0.0/0                          BTK                       1
 1 ADC  10.3.1.2/32        10.3.1.1        GSM                       0
 2 ADC  XXXXXXXXXX/32  XXXXXXXXXXX   BTK                       0
 3 ADC  192.168.10.0/24    192.168.10.11   bridge1                   0
 4 A S  192.168.20.0/24                    GSM                       1
 5 A S  192.168.100.0/24                   GSM                       1

/ip firewall filter> print  
Flags: X - disabled, I - invalid, D - dynamic 
 0 X  chain=forward action=accept src-address=192.168.20.0/24 dst-address=192.168.10.0/24 log=no log-prefix="" 

 1 X  chain=forward action=accept src-address=192.168.100.0/24 dst-address=192.168.10.0/24 log=no log-prefix="" 

 2 X  chain=forward action=accept src-address=192.168.10.0/24 dst-address=192.168.100.0/24 log=no log-prefix="" 

 3    ;;; defconf: accept established,related,untracked
      chain=input action=accept connection-state=established,related,untracked 

 4    chain=input action=accept protocol=icmp log=no log-prefix="" 

 5    chain=input action=accept protocol=udp in-interface=BTK dst-port=1701,500,4500 log=yes log-prefix="" 

 6    chain=input action=accept protocol=ipsec-esp in-interface=BTK log=no log-prefix="" 

 7    chain=input action=accept protocol=tcp dst-port=8291 log=no log-prefix="" 

 8    chain=input action=accept src-address=192.168.10.24 in-interface=!BTK log=no log-prefix="" 

 9    chain=forward action=accept in-interface=bridge1 out-interface=GSM log=no log-prefix="" 

10    chain=forward action=accept in-interface=GSM out-interface=bridge1 log=no log-prefix="" 

11    chain=forward action=accept protocol=udp dst-port=1701 log=no log-prefix="" 

12    chain=forward action=accept protocol=icmp log=no log-prefix="" 

13    chain=forward action=accept connection-state=established,related log=no log-prefix="" 

14    chain=forward action=accept connection-state=established,related log=no log-prefix="" 

15    chain=forward action=accept protocol=udp in-interface=bridge1 out-interface=BTK dst-port=53 log=no log-prefix="" 

16    chain=forward action=accept src-address=192.168.10.24 in-interface=!BTK log=no log-prefix="" 

17    chain=forward action=accept in-interface=!BTK out-interface=BTK log=no log-prefix="" 

18    chain=input action=add-src-to-address-list protocol=udp address-list=DNS_FLOOD address-list-timeout=none-dynamic in-interface=BTK 
      dst-port=53 log=no log-prefix="" 

19    chain=input action=drop protocol=udp in-interface=BTK dst-port=53 log=no log-prefix="" 

20    chain=input action=drop protocol=tcp in-interface=BTK dst-port=53 log=no log-prefix="" 

21    chain=input action=drop connection-state=new protocol=udp in-interface=BTK dst-port=123 log=no log-prefix=" " 

22    chain=input action=drop connection-state=new protocol=tcp in-interface=BTK dst-port=123 log=no log-prefix=" " 

23    ;;; defconf: drop invalid
      chain=input action=drop connection-state=invalid log=no log-prefix="" 

24    chain=forward action=drop connection-state=invalid log=no log-prefix="" 

25 X  chain=input action=drop log=yes log-prefix="" 


/ip firewall nat> print
Flags: X - disabled, I - invalid, D - dynamic 
 0 X  chain=srcnat action=accept src-address=192.168.20.0/24 dst-address=192.168.10.0/24 log=no log-prefix="" 

 1 X  chain=srcnat action=accept src-address=192.168.10.0/24 dst-address=192.168.20.0/24 log=no log-prefix="" 

 2    chain=srcnat action=accept src-address=192.168.10.0/24 dst-address=192.168.100.0/24 log=no log-prefix="" 

 3    chain=srcnat action=accept src-address=192.168.100.0/24 dst-address=192.168.10.0/24 log=no log-prefix="" 

 

 7    chain=dstnat action=dst-nat to-addresses=192.168.10.180 protocol=udp src-address=192.168.100.0/24 in-interface=GSM 
      dst-port=5060,5061,10000-20000 log=no log-prefix="" 

 8    chain=dstnat action=dst-nat to-addresses=192.168.10.77 to-ports=80 protocol=tcp dst-address=xx.xxx.xxx.xx dst-port=80 log=no 
      log-prefix="" 

 9    chain=dstnat action=dst-nat to-addresses=192.168.10.77 to-ports=443 protocol=tcp dst-address=xx.xxx.xxx.xx dst-port=443 log=no 
      log-prefix="" 

10    chain=dstnat action=dst-nat to-addresses=192.168.10.77 to-ports=8893 protocol=tcp dst-address=xx.xxx.xxx.xx dst-port=8893 log=no 
      log-prefix="" 

11    chain=dstnat action=dst-nat to-addresses=192.168.10.77 to-ports=8891 protocol=tcp dst-address=xx.xxx.xxx.xx dst-port=8891 log=no 
      log-prefix="" 

12    chain=dstnat action=dst-nat to-addresses=192.168.10.77 to-ports=8890 protocol=tcp dst-address=xx.xxx.xxx.xx dst-port=8890 log=no 
      log-prefix="" 
13    chain=dstnat action=dst-nat to-addresses=192.168.10.77 to-ports=5223 protocol=tcp dst-address=xx.xxx.xxx.xx dst-port=5223 log=no 
      log-prefix="" 

14    chain=dstnat action=dst-nat to-addresses=192.168.10.77 to-ports=5222 protocol=tcp dst-address=xx.xxx.xxx.xx dst-port=5222 log=no 
      log-prefix="" 

15    chain=dstnat action=dst-nat to-addresses=192.168.10.77 to-ports=8894 protocol=tcp dst-address=xx.xxx.xxx.xx dst-port=8894 log=no 
      log-prefix="" 

16    chain=dstnat action=dst-nat to-addresses=192.168.10.77 to-ports=1194 protocol=udp dst-address=xx.xxx.xxx.xx dst-port=1194 log=no 
      log-prefix="" 

17    chain=dstnat action=dst-nat to-addresses=192.168.10.210 to-ports=4433 protocol=tcp dst-address=xx.xxx.xxx.xx dst-port=4433 log=no 
      log-prefix="" 

18    chain=srcnat action=masquerade out-interface=all-ppp log=no log-prefix="" 

19    chain=srcnat action=masquerade log=no log-prefix="" 

Настройки со стороны GSM Шлюза

Код: Выделить всё

/ip route> print
Flags: X - disabled, A - active, D - dynamic, 
C - connect, S - static, r - rip, b - bgp, o - ospf, m - mme, 
B - blackhole, U - unreachable, P - prohibit 
 #      DST-ADDRESS        PREF-SRC        GATEWAY            DISTANCE
 0 X S  0.0.0.0/0                          GSM                       1
 1 ADS  0.0.0.0/0                          BTK                       1
 2 ADC  10.3.1.1/32        10.3.1.2        GSM                       0
 3 ADC  XXXXXXXXXX/32   XXXXXXXXX BTK                       0
 4 A S  192.168.10.0/24                    GSM                       1
 5 ADC  192.168.100.0/24   192.168.100.10  bridge1                   0

/ip firewall filter> print
Flags: X - disabled, I - invalid, D - dynamic 
 0    chain=forward action=accept src-address=192.168.20.0/24 
      dst-address=192.168.10.0/24 log=no log-prefix="" 

 1    chain=forward action=accept src-address=192.168.10.0/24 
      dst-address=192.168.20.0/24 log=no log-prefix="" 

 2    chain=forward action=accept in-interface=bridge1 out-interface=GSM log=no 
      log-prefix="" 

 3    chain=forward action=accept in-interface=GSM out-interface=bridge1 log=no 
      log-prefix="" 

 4 X  chain=forward action=accept in-interface=GSM out-interface=bridge_GSM 
      log=no log-prefix="" 

 5 X  chain=forward action=accept in-interface=bridge_GSM out-interface=GSM 
      log=no log-prefix="" 

 6    ;;; Winbox
      chain=input action=accept protocol=tcp dst-port=8291 log=no log-prefix="" 

7    ;;; Ping
      chain=input action=accept protocol=icmp log=no log-prefix="" 

 8    ;;; imput-WEB-LAN-allow
      chain=input action=accept connection-state=new connection-nat-state="" 
      protocol=tcp src-address=192.168.100.0/24 dst-port=80 log=no 
      log-prefix="" 

 9    ;;; Imput-DNS-LAN-allow
      chain=input action=accept protocol=udp src-address=192.168.100.0/24 
      dst-port=53 log=no log-prefix="" 

10    ;;; imput-E&R-allow
      chain=input action=accept connection-state=established,related log=no 
      log-prefix="" 

11    ;;; frw-N&E&R-Allow
      chain=forward action=accept connection-state=established,related,new 
      log=no log-prefix="" 

12    ;;; frw-invalid-drop
      chain=forward action=drop connection-state=invalid log=no log-prefix="" 

13    chain=forward action=drop in-interface=BTK out-interface=bridge1 log=no 
      log-prefix="" 

14    ;;; in-ALL-DROP
      chain=input action=drop log=no log-prefix="" 

/ip firewall nat  print      
Flags: X - disabled, I - invalid, D - dynamic 
 0    chain=srcnat action=accept src-address=192.168.10.0/24 dst-address=192.168.100.0/24 log=no log-prefix="" 

 1    chain=srcnat action=accept src-address=192.168.100.0/24 dst-address=192.168.10.0/24 log=no log-prefix="" 

 2 X  chain=srcnat action=accept src-address=192.168.10.0/24 dst-address=192.168.20.0/24 log=no log-prefix="" 

 3 X  chain=srcnat action=accept src-address=192.168.20.0/24 dst-address=192.168.10.0/24 log=yes log-prefix="" 

 4    chain=dstnat action=dst-nat to-addresses=192.168.10.180 protocol=udp src-address=192.168.10.0/24 in-interface=GSM dst-port=5060,10000-20000 log=no log-prefix="" 

 5    chain=dstnat action=dst-nat to-addresses=192.168.10.180 to-ports=5060 protocol=udp dst-port=5060 log=no log-prefix="" 

 6    chain=dstnat action=dst-nat to-addresses=192.168.10.180 to-ports=10000-20000 protocol=udp dst-port=10000-20000 log=no log-prefix="" 

 7    ;;; vpn_Rabota
      chain=srcnat action=masquerade out-interface=all-ppp log=no log-prefix="MQ_VPN" 

 8    chain=srcnat action=masquerade out-interface=BTK log=no log-prefix="" 

/ip firewall mangle  print   
Flags: X - disabled, I - invalid, D - dynamic 
 0    chain=prerouting action=mark-routing new-routing-mark=GSM_mark 
      passthrough=yes dst-address-list=offise_gsm log=no log-prefix="" 

 1    chain=prerouting action=mark-connection new-connection-mark=GSM_RTP 
      passthrough=yes protocol=udp dst-address-list=offise_gsm in-interface=GSM 
      log=no log-prefix="GSM_RTP"

[Chupaka]

/ip route print в таких вопросах бесполезен, поскольку не показывает routing-mark даже при его наличии, надо делать /ip route print detail. А конфиги для начала проще выгружать через "/export hide-sensitive". В конце, например, у вас есть правила Mangle с маркировкой роутинга, но нигде не упомянуты маршруты с такой меткой, непонятно, что за адрес-лист offise_gsm...

[gnusik]

Сделал через /ip route print detail

Сторона GSM-шлюза

Код: Выделить всё

/ip route print detail
Flags: X - disabled, A - active, D - dynamic, 
C - connect, S - static, r - rip, b - bgp, o - ospf, m - mme, 
B - blackhole, U - unreachable, P - prohibit 
 0 X S  dst-address=0.0.0.0/0 gateway=GSM gateway-status=GSM inactive distance=1 
        scope=30 target-scope=10 routing-mark=GSM_mark 

 1 ADS  dst-address=0.0.0.0/0 gateway=BTK gateway-status=BTK reachable distance=1 
        scope=30 target-scope=10 

 2 ADC  dst-address=10.3.1.1/32 pref-src=10.3.1.2 gateway=GSM 
        gateway-status=GSM reachable distance=0 scope=10 

 3 ADC  dst-address=100.126.128.1/32 pref-src=XXXXXXXXXXXX gateway=BTK 
        gateway-status=BTK reachable distance=0 scope=10 

 4 A S  dst-address=192.168.10.0/24 gateway=GSM gateway-status=GSM reachable 
        distance=1 scope=30 target-scope=10 

 5 ADC  dst-address=192.168.100.0/24 pref-src=192.168.100.10 gateway=bridge1 
        gateway-status=bridge1 reachable distance=0 scope=10 

Сторона АТС

Код: Выделить всё

/ip route print detail     
Flags: X - disabled, A - active, D - dynamic, C - connect, S - static, r - rip, b - bgp, o - ospf, m - mme, 
B - blackhole, U - unreachable, P - prohibit 
 0 ADS  dst-address=0.0.0.0/0 gateway=BTK gateway-status=BTK reachable distance=1 scope=30 target-scope=10 

 1 ADC  dst-address=10.3.1.2/32 pref-src=10.3.1.1 gateway=GSM gateway-status=GSM reachable distance=0 scope=10 

 2 ADC  dst-address=10.3.1.21/32 pref-src=10.3.1.1 gateway=<l2tp-k.uyrchenko> gateway-status=<l2tp-k.uyrchenko> reachable distance=0 
        scope=10 

 3 ADC  dst-address=XXXXXXXXXX/32 pref-src=XXXXXXXXXX gateway=BTK gateway-status=BTK reachable distance=0 scope=10 

 4 ADC  dst-address=192.168.10.0/24 pref-src=192.168.10.11 gateway=bridge1 gateway-status=bridge1 reachable distance=0 scope=10 

 5 A S  dst-address=192.168.20.0/24 gateway=GSM gateway-status=GSM reachable distance=1 scope=30 target-scope=10 

 6 A S  dst-address=192.168.100.0/24 gateway=GSM gateway-status=GSM reachable distance=1 scope=30 target-scope=10 

Что касается правила MANGLE то оно не рабочее. Я экспериментировал и не удачно.

[Chupaka]

Расскажите ещё адреса шлюза, телефона и атс, что ли...

[gnusik]

Подсеть 192.168.10.0/24
192.168.10.180 АТС и куча телефонов.
подсеть 192.168.100.0/24
192.168.100.181 GSM шлюз
192.168.100.220 телефон.
Между сетями VPN 10.3.1.1 - 10.3.1.2 он же GSM

[Chupaka]

Я бы начал с выключения на обоих роутерах всех правил DST-NAT, у которых to-addresses=192.168.10.180 - не понимаю, чему они могут помочь, но мешать точно могут.

[gnusik]

Короче я убил l2tp и настроил PPTP. Все запустилось с полутыка. Связь пошла во все стороны.
Теперь новая проблема. Я не могу с удаленной точки достучатся на веб морды устройств на другом конце VPN, а также захожу через winbox на удалённый микрот и вижу белое поле. Вот что теперь не так?

[Chupaka]

l2tp назывался, часом, не GSM? А то он упоминался, в том числе, в правилах, про которые я говорил - вы созданием нового интерфейса, по сути, могли и "выключить" эти правила

А что за белое поле? По описанию похоже на проблему с MTU/MSS...

[gnusik]

l2tp назывался, часом, не GSM? А то он упоминался, в том числе, в правилах, про которые я говорил - вы созданием нового интерфейса, по сути, могли и "выключить" эти правила

Все может быть. Я просто где то нагуглил, что PPTP с SIP работает лучше. Поэтому и решил попробовать.

А что за белое поле? По описанию похоже на проблему с MTU/MSS...

Захожу на удаленный микротик вижу боковой меню. Нажимаю интерфейсы, а там пусто. Нажимаю log и там пусто. Все чтобы я не открыл везде белое поля и настроить просто не возможно.

[Chupaka]

PPTP работает лучше, чем что? Чем SSTP или OVPN через TCP - определённо. А вот L2TP - это чистый UDP, так что я бы всё же сказал, что L2TP тут лучше всего подходит.

А в профиле PPP у вас включен параметр Change TCP MSS?..

[gnusik]

PPTP работает лучше, чем что? Чем SSTP или OVPN через TCP - определённо. А вот L2TP - это чистый UDP, так что я бы всё же сказал, что L2TP тут лучше всего подходит.

А в профиле PPP у вас включен параметр Change TCP MSS?..

Ну мне тоже ближе L2TP, но вот не срастается с ним SIP по каким-то причинам.

Change TCP MSS включен.

[Chupaka]

Я же выше писал про возможные причины. И после очередного пересоздания всё вполне может продолжить работать, как с PPTP.

Попробуйте сделать https://wiki.mikrotik.com/wiki/Manual:I ... Change_MSS (для интерфейса pptp)