SIP телефония и NAT

0

0

Добрый день! Есть сервер ALTLinux 4.0 Server. (192.168.2.1) Есть локалка, куда подключены все пользователи: 192.168.2.0/24 Есть ADSL-модем, который подключается к серверу и через pppoe клиента подключается к интернет.

На сервере стоит маскарад, который всех пользователей пускает в интернет (iptables -t nat -I POSTROUTING -s 192.168.2.0/24 -d 0/0 -j MASQUERADE).

В сети есть IPPhone Grandstream с адресом 192.168.2.15. На нём шлюзом прописан сервер 192.168.2.1. При включении телефон подхватывает настройки от СИП-сервера типа даты и подобных. При попытке звонка кому-либо - ни звука, ни видео.

Если на телефоне настроить прямое подключение через модем через встроенного пппое-клиента, то всё работает (т.к. реальный ИП-адрес).

По идее вся проблема заключается в невозможности прохождения пакетом через НАТ.

Может кто-нибудь сталкивался? Что можно поправить?

Ссылка

←	slackware 12.1 уст-ка через флоппи

UDP: bad checksum и UDP: short packet

→

Для преодоления NAT нужен STUN.

Root-msk ★★★★★
(05.10.09 15:32:46 MSD)

Ответ на: комментарий от Root-msk 05.10.09 15:32:46 MSD

Что такое STUN: http://ru.wikipedia.org/wiki/STUN

Root-msk ★★★★★
(05.10.09 15:33:43 MSD)

Ответ на: комментарий от Root-msk 05.10.09 15:33:43 MSD

а не подскажите реализации под Linux?

BusTeR ★
(05.10.09 16:05:21 MSD) автор топика

Если клиент один - можно попробовать пробросить порты. Если клиент "теряет" связь через какой-то период времени, можно уменьшить время перерегистрации на клиенте. Если SIP-сервер не Ваш, то решение STUN - aptitude install stun

vladislav ★★
(05.10.09 16:12:27 MSD)

Ответ на: комментарий от BusTeR 05.10.09 16:05:21 MSD

> а не подскажите реализации под Linux?

STUN может реализовать только SIP-провайдер.

Root-msk ★★★★★
(05.10.09 16:14:48 MSD)

Ссылка

Ответ на: комментарий от vladislav 05.10.09 16:12:27 MSD

клиент один. У него вообще не работает связь т.е. нет даже гудка. Т.е. Вы имеете ввиду DNAT на этот телефон?

BusTeR ★
(05.10.09 16:15:19 MSD) автор топика

Ссылка

Ответ на: комментарий от BusTeR 05.10.09 16:05:21 MSD

Если SIP-сервер не Ваш, то попробуйте пробросить 5060 порт.

Root-msk ★★★★★
(05.10.09 16:17:05 MSD)

Ответ на: комментарий от Root-msk 05.10.09 16:17:05 MSD

iptables -t nat -I PREROUTING -s 0/0 -p udp --dport 5060 -j DNAT --to-destination 192.168.2.20 ? типа того? :)

BusTeR ★
(05.10.09 16:22:08 MSD) автор топика

Ответ на: комментарий от BusTeR 05.10.09 16:22:08 MSD

Попробуй ещё и TCP-протокол.

Root-msk ★★★★★
(05.10.09 16:39:32 MSD)

Ответ на: комментарий от Root-msk 05.10.09 16:39:32 MSD

ok, спасибо! буду пробовать!

BusTeR ★
(05.10.09 17:02:49 MSD) автор топика

Ответ на: комментарий от BusTeR 05.10.09 17:02:49 MSD

к сожалению не помогло (

BusTeR ★
(05.10.09 17:14:14 MSD) автор топика

modprobe nf_nat_sip, не?

nnz ★★★★
(05.10.09 17:40:18 MSD)

Ссылка

Ответ на: комментарий от BusTeR 05.10.09 17:14:14 MSD

> к сожалению не помогло (

Ну, тогда тереби своего SIP-провайдера, есть ли у него STUN.

Root-msk ★★★★★
(05.10.09 17:46:50 MSD)

Ответ на: комментарий от Root-msk 05.10.09 17:46:50 MSD

ок! всем спасибо!

BusTeR ★
(05.10.09 18:03:34 MSD) автор топика

Ответ на: комментарий от BusTeR 05.10.09 18:03:34 MSD

А по мне так нат тут совсем не причем... если было в нем что то тогда бы минуту работао все бы на ура.... пока не упадет запись.... Есть есть подозрение на то что порты не открыты. Для сигнализации СИП требуется УДП 5060. если сигнализация проходит то звонки могут совершатся, но может так получится звонок есть а голоса нет, этому причина: не проходит мултимедийный трафик, опять же смотреть на каких потах он ходит.

Советую смотреть в сторону: tcpdump

naehi8sh
(05.10.09 18:44:02 MSD)

Ссылка

Хз что такое IPPhone Grandstream, но в asterisk даже опция была "nat". Всё работало нормально.

true_admin ★★★★★
(05.10.09 18:55:34 MSD)

Ссылка

modprobe nf_nat_sip

поможет
больше ничего не надо

dimon555 ★★★★★
(05.10.09 20:30:51 MSD)

Ссылка

Вот заюзай этот stun stun.sipnet.ru он не открыт для всех

pinachet ★★★★★
(05.10.09 20:47:16 MSD)

Ответ на: комментарий от pinachet 05.10.09 20:47:16 MSD

Вот заюзай этот stun stun.sipnet.ru он не открыт для всех

Да публичных STUN-серверов как грязи.

zenith ★★★
(06.10.09 08:36:26 MSD)

Ссылка

Попробуй ip_conntrack_sip, должен помочь по идее. При старте модуля, кажется, надо указать порт сигнализации (обычно 5060, реже 5068), после чего модуль будет расковыривать пакеты и разрешать собственно прохождение аудио и видео потоков (насчет видео не уверен).

oxumorron ★
(06.10.09 11:17:53 MSD)

Ссылка

Значит так :-) Я делал двумя способами (оба работали):

1. Проброс через маскарад:

modprobe nf_conntrack_sip ;
modprobe nf_nat_sip ;
iptables -I FORWARD -j ACCEPT --state related,established ;
iptables -A FORWARD -f 192.168.1.21 -j ACCEPT ;
iptables -A FORWARD -d 192.168.1.21 -j ACCEPT;
iptables -A POSTROUTING -t nat -o ppp0 -j MASQUERADE -s 192.168.1.21;
sysctl -w net.ipv4.ip_forward = 1

ppp0 = внешний интерфейс
192.168.1.21 - SIP-устройство

2. Собрать, инсталировать и запустить siproxd, и настроить SIP-клиентов на него

Обе схемы работали.

~~no-dashi~~ ★★★★★
(06.10.09 20:04:32 MSD)

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	slackware 12.1 уст-ка через флоппи

Admin

UDP: bad checksum и UDP: short packet

→

Похожие темы