SipVicious и NAT

[Samael28]

Думаю, ни для кого не секрет, что по инету ходят китайские и не только сканеры на базе того же sipvicious.
Но буквально недавно, на одном из объектов, встретился с таким фактом, что как-то эти сканеры ухитряются проходить NAT. Т.е. телефон за NAT, IP-to-IP вызовы разрешены, а вызовы от классических 1000@10.1.1.1 приходят. Причем появляться стали после замены простеньких TP-Link на вроде как модные Cisco 881 (15.2). Админы, которые крутят циску клянутся и божатся, что никаких SIP-ALG, пробросов и прочего там нет, просто за ней стоят телефоны, которые подключаются к внешнему Астеру (на Астере следов этих звонков нет, вплоть до дампа трафика, на циске дампать трафик нет возможности)
Вопрос - это я что-то пропустил очевидное или реализация NAT в Cisco по UDP - какой-то full cone?
PS: Также есть сообщения, что на Netgear происходит то же самое.

[april22]

я могу ошибаться , но где то была инфа , даже кажется на этом форуме, что если сессия NAT на циске не успевает отмерать по завершению звонка, то в эту дырку можно просочится.
и случай , как раз ваш ... астер в инете - телефоны за циской.

[Samael28]

Да, даже тему нашел
https://forum.asterisk.ru/viewtopic.php?f=5&t=4665
Судя по всему, таки оно.

[awsswa]

печаль ...
а циска по заголовкам может блокировать как iptables ?

[Ferrum]

Странно в Циске эта так сказать особенность с подменой IP так и осталась, а что поддержка производителя пишет по этому поводу ?
В той теме несколько лет назад я проводил тесты с Микротик, с ним данный фокус не удался.

Нормальный NAT создает сессию только для IP на который был отправлен трафик, у меня вообще подозрение что Циска тупо создает сессию без внешнего IP, или по сути создает временный проброс UDP порта для всех.

[whoim]

было такое дважды (на постоянной основе), в обоих случаях были циски арендодателя и админ с высоким ЧСВ.
Разом начинают звонить телефоны, и приходит это не со своего сип-сервера.
Установка "своего" роутера (гига3) с получением "отдельного канала" от прова решила проблему в обоих случаях.

[awsswa]

б\у tp-link из 7хх серии за 400 рублей с прошивкой OPENWRT тоже решает проблему

[Ferrum]

Это все конечно хорошо, но может все таки проблемы в кривых настройках ?
Ну не должны они такую дыру оставить.
Просто нет сейчас Циски протестировать под рукой.
Вот поставила себе фирма маршрутизатор за $2000, а тут какой ни буть Микротик за $200 лучше, такое мало кто поймет.
Помучаю сейчас техподдержку Циски этим вопросом действительно интересно.

[Vlad1983]

если свой сервак внутри сети, то такое пробитие сквозь кошку (и вообще любой несимметричный NAT) возможно в случае если клиенты ходят к STUN
если сервак наруже, то будет постоянно

[Ferrum]

В общем если мы хотим в CISCO https://ru.wikipedia.org/wiki/Stateful_ ... Inspection, нужно копать в сторону http://xgu.ru/wiki/Zone-Based_Policy_Firewall
Вопрос к пострадавшим как у вас реализованы данные настройки ?