Страница 2 из 4
Re: Asterisk за NAT
Добавлено: 19 июл 2011, 11:41
ded
Cмысл параметра insecure (invite) прост: игнорировать значения аутентификации username & secret, которые прибегают во входящем звонке в пакете INVITE.
А insecure (port) - не игнрировать если этот запрос прибегает не с того порта, с какого ожидается (обычно ожидается с 5060)
Re: Asterisk за NAT
Добавлено: 19 июл 2011, 12:14
svd
ded, всё становится на свои места
остался ещё один вопрос:
шлюз, за ним астериск
внешние сип клиенты, что необходимо, чтобы подключались они, кроме порта udp 5060?
получаю ответ serviceunavailable
Код: Выделить всё
[801]
deny=0.0.0.0/0.0.0.0
type=friend
secret=801
qualify=yes
port=5060
pickupgroup=
permit=0.0.0.0/0.0.0.0
nat=yes
mailbox=801@device
host=dynamic
dtmfmode=rfc2833
dial=SIP/801
context=from-internal
canreinvite=no
callgroup=
callerid=device <801>
accountcode=
call-limit=50
Re: Asterisk за NAT
Добавлено: 19 июл 2011, 13:01
svd
Тестанул ещё раз, выяснил следующее:
не хочет цепляться PortGo, x-lite приконнектился.
Если кто-то знает в чём фокус, подскажите.
проверю ещё аппаратные телефоны, но есть подозрение что x-lite умнее остальных софтфонов.
а из портов проброшено сейчас по udp 5060 и 10000-11000 (их же указал в rtp.conf)
Re: Asterisk за NAT
Добавлено: 19 июл 2011, 21:27
svd
Продолжение следует.
Всё тот же астериск, всё за тем же натом.
Далее протокол h323.
Пробросил порты 1719, 1729
Но регистрации на гейткипере не случилось.
Использую ooh_323.
Вот текст ooh_323.conf
Код: Выделить всё
[general]
port=1720
bindaddr=95.130.xxx.xxx
gateway=no
gatekeeper=84.22.xxx.xxx
context=from-trunk
disallow=all
allow=g729
dtmfmode=h245signal
logfile=/etc/asterisk/ooh323_log
acceptanonymous=no
faststart=yes
h245tunneling=yes
[2002]
ip=95.130.xxx.xxx
type=peer
port=1720
h323id=3099@password
пытаюсь регистрироваться на гейткипере - результата нет
Код: Выделить всё
---------Date 07/20/11---------
01:17:14:449 Signalling IP address is set to 95.130.xxx.xxx
01:17:14:449 Listen port number is set to 1720
01:17:14:449 Added alias: H323ID - 3099@password
01:17:14:449 Gatekeeper Mode - RasUseSpecificGatekeeper
01:17:14:449 Gatekeeper IP:port set to - 84.22.xxx.xxx:1719
01:17:14:449 Adding endpoint capability OO_G729ANNEXA.
01:17:14:449 Adding endpoint capability OO_G729.
01:17:14:449 Dtmf mode set to H.245(signal) for endpoint
01:17:14:449 Error:Bind failed
01:17:14:449 ERROR:Failed to create H323 listener
01:17:14:449 Destroying H323 Endpoint
01:17:14:449 Destroying Gatekeeper Client
01:17:14:449 Closed RAS channel
в какую сторону рыть, оператор как всегда утверждает, что всё настроил.
добавлю, этот транк у меня работал, но астериск имел другой ip и был не за НАТом.
Re: Asterisk за NAT
Добавлено: 19 июл 2011, 21:43
svd
магии и мистики не существует (во всяком случае у меня на астериске)
зато есть загадки с закадыками.
запускаю на шлюзе tcpdump host 84.22.xxx.xxx
выполняю restart now
смотрю файл лога ooh323.log в файле этом перманентно тоже самое, за исключением ip-шников. (ну ежели их в конфиге менять)
смотрю tcpdump на шлюзе - там тишина. (ни одного пакета).
А теперь закавыка-закадыка:
Как понять почему астериск не ломится никуда? И даже походу не пытается.
Re: Asterisk за NAT
Добавлено: 19 июл 2011, 21:47
ded
Н323 и NAT - несовместимы.
Пробросом портов не решить проблемы, потому что информация о регистрации и соединениях находится на уровне приложений (Layer 7 модели OSI)
То есть проброс портов - это транспортный уровень - TCP & UDP (Layer 4 модели OSI), вот вы сделали проброс портов, ИП пакет выбежал с source IP = 192.168.1.100, на рутере транслировался в реальный source IP 80.90.100.200, прибежал на Гейткипер провайдера, тот смотрит на его содержимое, а там информация о каком-то неведомом ему пире с ИП 192.168.1.100.
Re: Asterisk за NAT
Добавлено: 19 июл 2011, 21:49
ded
svd писал(а):bindaddr=95.130.xxx.xxx
Так этот адрес есть на станции? Виден при ifconfig? Или это адрес чего?
А вот и подтверждение -
svd писал(а):Как понять почему астериск не ломится никуда? И даже походу не пытается.
Походу Вам в платный суппорт уже пора лыжи смазывать.
Re: Asterisk за NAT
Добавлено: 19 июл 2011, 22:31
svd
ded, видимо я неправильно понимал назначение bindaddress
bindaddr = 95.130.xxx.xxx
это внешний айпишник шлюза
заменил на тот что существует на сервере, пакеты полетели...
победа всё ближе, но ещё не в руках
bindaddr = 192.168.xxx.xxx
три попытки подключиться и
Код: Выделить всё
02:24:47:818 Sent GRQ message
02:25:02:818 Gatekeeper client GRQ timer expired.
02:25:02:818 Error:Gatekeeper could not be found
02:25:02:818 Error: Gatekeeper error. Either Gk not responding or Gk sending invalid messages
02:25:02:818 Error: Gatekeeper error detected. Closing GkClient as Gk mode is UseSpecifcGatekeeper
02:25:02:818 Destroying Gatekeeper Client
02:25:02:818 Closed RAS channel
02:25:02:818 Doing ooStopMonitorCalls
02:25:02:818 Stopping listener for incoming calls
02:25:02:818 Done ooStopMonitorCalls
02:25:02:818 Ending Monitor thread
смотрю описание файла ooh_323.conf тут
http://asterisk.ru/knowledgebase/asterisk-h323
пробую следующую конструкцию
bindaddr = 0.0.0.0
результат тот же, есть подозрение что их серваку опять таки не нравится упоминание где либо в пакете локального айпишника.
но тех поддержка ужо спит.
Re: Asterisk за NAT
Добавлено: 19 июл 2011, 22:49
ded
Пошли на второй круг...
ded писал(а):Н323 и NAT - несовместимы.
Re: Asterisk за NAT
Добавлено: 19 июл 2011, 22:52
svd
Итого ooh_323.conf
Код: Выделить всё
[general]
port=1720
bindaddr=192.168.xxx.xxx
gateway=no
gatekeeper=84.22.xxx.xxx
context=from-trunk
disallow=all
allow=g729
dtmfmode=h245signal
logfile=/etc/asterisk/ooh323_log
acceptanonymous=no
faststart=yes
h245tunneling=yes
[3099]
ip=95.130.xxx.xxx
type=peer
port=1720
h323id=3099@password
tcpdump 4 исходящих пакета 0 входящих
сервак провайдера игнорирует запросы к нему
внутри UDP пакета вижу RAS address ip 192.168.xxx.xxx, уверен что и их сервак (насколько помню это Цыска AS5300) это видит и потому игнорит.
Нужно опять таки обмануть их сервер.