Mikrotik+vpn+sip односторонняя связь

RIP, OSFP, BGP, MPLS/VPLS
Ответить
gnusik
Сообщения: 36
Зарегистрирован: 15 янв 2019, 16:56

Mikrotik+vpn+sip односторонняя связь

Сообщение gnusik »

И снова прошу помощи гуру.
Связь в одну сторону.
Имеется два микрота связанные через впн. На стороне первого 10.0/24 находится IP ATС все работает вопросов нет.
На другой стороне через впн в сети 12.0/24 куча телефонов. Если звонить на телефоны с 12.0/24 на 10.0/24 или наоборот звонки проходят, порт 5060 работает, трубки регистрируются на АТС. Если поднять трубку, то я слышу, но меня не слышат. Порты 10000-20000 разрешил, но не видно в правилах что трафик ходит. Куда копать?
Сегодня мозг взорвался и уже начал не соображать в правилах. :roll:
Аватара пользователя
Chupaka
Сообщения: 3880
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск
Контактная информация:

Re: Mikrotik+vpn+sip односторонняя связь

Сообщение Chupaka »

Есть подозрение, что на каком-то из роутеров трафик попадает под NAT, хотя не должен, судя по описанию.
Аватара пользователя
Sir_Prikol
Сообщения: 560
Зарегистрирован: 14 апр 2018, 15:21
Откуда: СССР
Контактная информация:

Re: Mikrotik+vpn+sip односторонняя связь

Сообщение Sir_Prikol »

Ну, или, не смотря на то что в одной сети работает, добавьте кодеков
Дома: CCR2004 (7-ISP(GPON)белый IP)
gnusik
Сообщения: 36
Зарегистрирован: 15 янв 2019, 16:56

Re: Mikrotik+vpn+sip односторонняя связь

Сообщение gnusik »

В общем я не победил эту связь. Прошу помощи и скидываю правила.
Подключение к провайдеру через PPPOE с двух сторон.
два офиса соединены VPN PPTP
Правила firewall разрешают все(специально все вырубил, чтоб избежать блокировок) на обеих микротах.
В NAT пару правил тоже одинаковые на обеих микротах

action=accept srcnat src.addr192.168.12.0/24 dst.addr 192.168.10.0/24
action=accept srcnat src.addr192.168.10.0/24 dst.addr 192.168.12.0/24
action=masquerade srcnat out.interfase=pppoe
Вот все на чем я остановился.

Вот вопрос почему в 12 подсети я слышу 10 подсеть, а в 10 не слышат 12?
Аватара пользователя
Chupaka
Сообщения: 3880
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск
Контактная информация:

Re: Mikrotik+vpn+sip односторонняя связь

Сообщение Chupaka »

Ну, если эти правила NAT стоят в самом верху — видимо, не в NAT дело. Тогда смотреть фильтр файрвола.

Машины из 10.0/24 и 12.0/24 нормально друг друга пингуют?
gnusik
Сообщения: 36
Зарегистрирован: 15 янв 2019, 16:56

Re: Mikrotik+vpn+sip односторонняя связь

Сообщение gnusik »

Chupaka писал(а): 17 янв 2019, 20:42 Ну, если эти правила NAT стоят в самом верху — видимо, не в NAT дело. Тогда смотреть фильтр файрвола.

Машины из 10.0/24 и 12.0/24 нормально друг друга пингуют?
Все пинги ходят, как в одну сторону так и в другую. Захожу на сервер по RDP. Вижу все шары.
Аватара пользователя
Sir_Prikol
Сообщения: 560
Зарегистрирован: 14 апр 2018, 15:21
Откуда: СССР
Контактная информация:

Re: Mikrotik+vpn+sip односторонняя связь

Сообщение Sir_Prikol »

АТС на чём? Просто если это Астериск - то udp 10000-20000, а если это 3cx, до udp 9000-10999, ну и 5061 udp/tcp то-же не мешает пробросить

Ну и совсем сказочное, отмаркировать сиптрафф и посмотреть в логах как он идёт
Дома: CCR2004 (7-ISP(GPON)белый IP)
Аватара пользователя
Chupaka
Сообщения: 3880
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск
Контактная информация:

Re: Mikrotik+vpn+sip односторонняя связь

Сообщение Chupaka »

Там же обычный роутинг, ничего пробрасывать не надо...
Аватара пользователя
Sir_Prikol
Сообщения: 560
Зарегистрирован: 14 апр 2018, 15:21
Откуда: СССР
Контактная информация:

Re: Mikrotik+vpn+sip односторонняя связь

Сообщение Sir_Prikol »

Ну человек пишет что порты разрешил, кто его знает что у него в запрещающих, всего конфига нет
Дома: CCR2004 (7-ISP(GPON)белый IP)
gnusik
Сообщения: 36
Зарегистрирован: 15 янв 2019, 16:56

Re: Mikrotik+vpn+sip односторонняя связь

Сообщение gnusik »

Вот вам конфиг. Хотя я писал что все разрешил. Я согласен с Chupaka, обычный роутинг, ничего пробрасывать не надо. АТС на базе ASTERISK

Это самый стандартный конфик который я применяю сперва.
add chain=input action=accept protocol=icmp
add chain=forward action=accept protocol=icmp
add chain=input action=accept connection-state=established
add chain=forward action=accept connection-state=established
add chain=input action=accept connection-state=related
add chain=forward action=accept connection-state=related
add chain=input action=accept src-address=192.168.12.0/24 in-interface=!pppoe
add chain=input action=drop connection-state=invalid
add chain=forward action=drop connection-state=invalid
add chain=input action=drop in-interface=!pppoe
add chain=forward action=accept in-interface=!pppoe out-interface=pppoe
add chain=forward action=drop

Добавил роуты картинками
Вложения
mik10.jpg
mik10.jpg (67.16 КБ) 4949 просмотров
mic12.jpg
mic12.jpg (52.19 КБ) 4949 просмотров
Аватара пользователя
Chupaka
Сообщения: 3880
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск
Контактная информация:

Re: Mikrotik+vpn+sip односторонняя связь

Сообщение Chupaka »

Хотя я писал что все разрешил.
А я вот что-то этого не вижу... У вас разрешён весь icmp (поэтому пинги ходят), а вот в forward разрешено только ходить в pppoe и обратно (как established), а вот между LAN и pptp-9/5 (и, соответственно, vpn-9/5 и LAN_OFFIS на втором роутере) - получается, запрещено?..
gnusik
Сообщения: 36
Зарегистрирован: 15 янв 2019, 16:56

Re: Mikrotik+vpn+sip односторонняя связь

Сообщение gnusik »

Добавил новые правила все ровно связь в одну сторону.

microtik 10
add chain=forward action=accept in-interface=LAN out-interface=pptp-9/5
add chain=forward action=accept in-interface=pptp-9/5 out-interface=LAN

microtik 12
add chain=forward action=accept in-interface=LAN-OFFIS out-interface=pptp-9/5
add chain=forward action=accept in-interface=pptp-9/5 out-interface=LAN-OFFIS

на 10
add chain=forward action=accept in-interface=pptp-9/5 out-interface=LAN В это правиле не видно, что ходят пакеты.
на 12 пакеты ходят в двух правилах
Аватара пользователя
Chupaka
Сообщения: 3880
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск
Контактная информация:

Re: Mikrotik+vpn+sip односторонняя связь

Сообщение Chupaka »

Если не видно, что ходят пакеты - надо смотреть, где эти пакеты теряются или почему не туда летят, куда надо. Policy Routing не используется?
gnusik
Сообщения: 36
Зарегистрирован: 15 янв 2019, 16:56

Re: Mikrotik+vpn+sip односторонняя связь

Сообщение gnusik »

Policy Routing не используется точно.
Как найти где они потерялись?
Я так понял они не приходят в 10 подсесть.
Аватара пользователя
Chupaka
Сообщения: 3880
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск
Контактная информация:

Re: Mikrotik+vpn+sip односторонняя связь

Сообщение Chupaka »

Torch'ем посмотрите, может, прилетают ли пакеты из pptp. А потом уже думать, куда пропадают. Например, /ip firewall filter add chain=forward action=passthrough log=yes src-address=YYY dst-address=XXX - и в логе будет видно, через какой интерфейс пакеты уходят
Аватара пользователя
Sir_Prikol
Сообщения: 560
Зарегистрирован: 14 апр 2018, 15:21
Откуда: СССР
Контактная информация:

Re: Mikrotik+vpn+sip односторонняя связь

Сообщение Sir_Prikol »

Совсем бредовая идея, но иногда у SIP бывает проблема с размером пакета, они не пролезают через pptp. Может ещё в эту сторону покрутить? Повторюсь, такие случаи редки, но по UDP бывает шлёт с превышением.
Дома: CCR2004 (7-ISP(GPON)белый IP)
gnusik
Сообщения: 36
Зарегистрирован: 15 янв 2019, 16:56

Re: Mikrotik+vpn+sip односторонняя связь

Сообщение gnusik »

Вот такая картина наблюдается в логах.
из 10 в 12 подсеть все бегает.
а из 12 в 10 вообще пусто.
Вложения
12.png
12.png (81.29 КБ) 3665 просмотров
10.png
10.png (200.44 КБ) 3665 просмотров
gnusik
Сообщения: 36
Зарегистрирован: 15 янв 2019, 16:56

Re: Mikrotik+vpn+sip односторонняя связь

Сообщение gnusik »

Видно что пакеты ходят только в одну сторону и только UDP 5060 проходит туда и обратно.
Правда этого на картинке не видно.
Аватара пользователя
Chupaka
Сообщения: 3880
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск
Контактная информация:

Re: Mikrotik+vpn+sip односторонняя связь

Сообщение Chupaka »

Смотрите то, что я выше написал. Вы говорите, что пакеты на одном роутере есть, а на другом нет — но они же не теряются внутри тоннеля. Что-то на одном из роутеров не то.
Ответить