Mikrotik+vpn+sip односторонняя связь

[gnusik]

И снова прошу помощи гуру.
Связь в одну сторону.
Имеется два микрота связанные через впн. На стороне первого 10.0/24 находится IP ATС все работает вопросов нет.
На другой стороне через впн в сети 12.0/24 куча телефонов. Если звонить на телефоны с 12.0/24 на 10.0/24 или наоборот звонки проходят, порт 5060 работает, трубки регистрируются на АТС. Если поднять трубку, то я слышу, но меня не слышат. Порты 10000-20000 разрешил, но не видно в правилах что трафик ходит. Куда копать?
Сегодня мозг взорвался и уже начал не соображать в правилах.

[Chupaka]

Есть подозрение, что на каком-то из роутеров трафик попадает под NAT, хотя не должен, судя по описанию.

[Sir_Prikol]

Ну, или, не смотря на то что в одной сети работает, добавьте кодеков

[gnusik]

В общем я не победил эту связь. Прошу помощи и скидываю правила.
Подключение к провайдеру через PPPOE с двух сторон.
два офиса соединены VPN PPTP
Правила firewall разрешают все(специально все вырубил, чтоб избежать блокировок) на обеих микротах.
В NAT пару правил тоже одинаковые на обеих микротах

action=accept srcnat src.addr192.168.12.0/24 dst.addr 192.168.10.0/24
action=accept srcnat src.addr192.168.10.0/24 dst.addr 192.168.12.0/24
action=masquerade srcnat out.interfase=pppoe
Вот все на чем я остановился.

Вот вопрос почему в 12 подсети я слышу 10 подсеть, а в 10 не слышат 12?

[Chupaka]

Ну, если эти правила NAT стоят в самом верху — видимо, не в NAT дело. Тогда смотреть фильтр файрвола.

Машины из 10.0/24 и 12.0/24 нормально друг друга пингуют?

[gnusik]

Ну, если эти правила NAT стоят в самом верху — видимо, не в NAT дело. Тогда смотреть фильтр файрвола.

Машины из 10.0/24 и 12.0/24 нормально друг друга пингуют?

Все пинги ходят, как в одну сторону так и в другую. Захожу на сервер по RDP. Вижу все шары.

[Sir_Prikol]

АТС на чём? Просто если это Астериск - то udp 10000-20000, а если это 3cx, до udp 9000-10999, ну и 5061 udp/tcp то-же не мешает пробросить

Ну и совсем сказочное, отмаркировать сиптрафф и посмотреть в логах как он идёт

[Chupaka]

Там же обычный роутинг, ничего пробрасывать не надо...

[Sir_Prikol]

Ну человек пишет что порты разрешил, кто его знает что у него в запрещающих, всего конфига нет

[gnusik]

Вот вам конфиг. Хотя я писал что все разрешил. Я согласен с Chupaka, обычный роутинг, ничего пробрасывать не надо. АТС на базе ASTERISK

Это самый стандартный конфик который я применяю сперва.
add chain=input action=accept protocol=icmp
add chain=forward action=accept protocol=icmp
add chain=input action=accept connection-state=established
add chain=forward action=accept connection-state=established
add chain=input action=accept connection-state=related
add chain=forward action=accept connection-state=related
add chain=input action=accept src-address=192.168.12.0/24 in-interface=!pppoe
add chain=input action=drop connection-state=invalid
add chain=forward action=drop connection-state=invalid
add chain=input action=drop in-interface=!pppoe
add chain=forward action=accept in-interface=!pppoe out-interface=pppoe
add chain=forward action=drop

Добавил роуты картинками

[Chupaka]

Хотя я писал что все разрешил.

А я вот что-то этого не вижу... У вас разрешён весь icmp (поэтому пинги ходят), а вот в forward разрешено только ходить в pppoe и обратно (как established), а вот между LAN и pptp-9/5 (и, соответственно, vpn-9/5 и LAN_OFFIS на втором роутере) - получается, запрещено?..

[gnusik]

Добавил новые правила все ровно связь в одну сторону.

microtik 10
add chain=forward action=accept in-interface=LAN out-interface=pptp-9/5
add chain=forward action=accept in-interface=pptp-9/5 out-interface=LAN

microtik 12
add chain=forward action=accept in-interface=LAN-OFFIS out-interface=pptp-9/5
add chain=forward action=accept in-interface=pptp-9/5 out-interface=LAN-OFFIS

на 10
add chain=forward action=accept in-interface=pptp-9/5 out-interface=LAN В это правиле не видно, что ходят пакеты.
на 12 пакеты ходят в двух правилах

[Chupaka]

Если не видно, что ходят пакеты - надо смотреть, где эти пакеты теряются или почему не туда летят, куда надо. Policy Routing не используется?

[gnusik]

Policy Routing не используется точно.
Как найти где они потерялись?
Я так понял они не приходят в 10 подсесть.

[Chupaka]

Torch'ем посмотрите, может, прилетают ли пакеты из pptp. А потом уже думать, куда пропадают. Например, /ip firewall filter add chain=forward action=passthrough log=yes src-address=YYY dst-address=XXX - и в логе будет видно, через какой интерфейс пакеты уходят

[Sir_Prikol]

Совсем бредовая идея, но иногда у SIP бывает проблема с размером пакета, они не пролезают через pptp. Может ещё в эту сторону покрутить? Повторюсь, такие случаи редки, но по UDP бывает шлёт с превышением.

[gnusik]

Вот такая картина наблюдается в логах.
из 10 в 12 подсеть все бегает.
а из 12 в 10 вообще пусто.

[gnusik]

Видно что пакеты ходят только в одну сторону и только UDP 5060 проходит туда и обратно.
Правда этого на картинке не видно.

[Chupaka]

Смотрите то, что я выше написал. Вы говорите, что пакеты на одном роутере есть, а на другом нет — но они же не теряются внутри тоннеля. Что-то на одном из роутеров не то.