Ну потому что ты милчел запутал со своим VPN :D
Ещё раз:
на микроте проброшены UDP порты до астериска, у клиента настроено обращаться на внешний адрес микрота, так?
У астериска дефолтным гейтом что стоит? Должен быть микрот и без левых маршрутов.
NAT должен быть один - маскарад пакетов на внешнем интерфейсе микрота, остальные убрать.
Ну и два правила dst-nat, указать нужные порты, указать интерфейс - WAN, action - netmap, указать адрес астериска и порты.
Ещё можно посмотреть на ip firewall filter
Избитая тема. Asterisk за MikroTik.
-
soh20
- Сообщения: 17
- Зарегистрирован: 03 дек 2013, 11:37
Ну потому что ты милчел запутал со своим VPN :D
Ещё раз:
Так
Первое это SIP, второе это RTP
Блин. Я сейчас сижу на работе через канал домашний. Если убираю
то интернет у меня по VPN пропадает. Как мне прописать маскарадинг так, чтоб инет был у сети 192.168.5.0/24 был инет, как и у 192.168.88.0/24?
А что я должен на нем увидеть?
Ещё раз:
на микроте проброшены UDP порты до астериска, у клиента настроено обращаться на внешний адрес микрота, так?
Так
Код: Выделить всё
add action=dst-nat chain=dstnat dst-port=5178 in-interface=ether1 protocol=udp to-addresses=192.168.88.100 to-ports=5178
add action=dst-nat chain=dstnat dst-port=19900-20000 in-interface=ether1 protocol=udp to-addresses=192.168.88.100 to-ports=19900-20000
Первое это SIP, второе это RTP
У астериска дефолтным гейтом что стоит? Должен быть микрот и без левых маршрутов.
Код: Выделить всё
auto eth0
iface eth0 inet static
address 192.168.88.100
netmask 255.255.255.0
network 192.168.88.0
broadcast 192.168.88.255
gateway 192.168.88.1
# dns-* options are implemented by the resolvconf package, if installed
dns-nameservers 8.8.8.8
NAT должен быть один - маскарад пакетов на внешнем интерфейсе микрота, остальные убрать.
Ну и два правила dst-nat, указать нужные порты, указать интерфейс - WAN, action - netmap, указать адрес астериска и порты.
Блин. Я сейчас сижу на работе через канал домашний. Если убираю
Код: Выделить всё
add action=masquerade chain=srcnat src-address=192.168.5.0/24то интернет у меня по VPN пропадает. Как мне прописать маскарадинг так, чтоб инет был у сети 192.168.5.0/24 был инет, как и у 192.168.88.0/24?
Ещё можно посмотреть на ip firewall filter
А что я должен на нем увидеть?
-
soh20
- Сообщения: 17
- Зарегистрирован: 03 дек 2013, 11:37
Ещё можно посмотреть на ip firewall filter
Все! Всем спасибо. Тема закрыта. Посмотрел в фильтр и нашел там пустоту :)
Соответственно прописал
Код: Выделить всё
chain=forward action=accept protocol=udp dst-address=192.168.88.100 in-interface=ether1 out-interface=ether2И все заработало
-
DJGlooM
- Сообщения: 73
- Зарегистрирован: 27 ноя 2013, 14:05
Ну я бы не стал так весь UDP пускать, а то по 53 порту будут всякие чушки приставать и не только.
Про VPN либо с рабочей машины убирать дефолт роут на тоннель и писать статик роут в домашнюю подсеть, либо на домашнем микроте маскарадить тоннельный интерфейс и всё. Только тогда не забывай если хочешь с работы по VPN ломиться к себе в подсеть или на микрот - правила фильтра, а так же dst-nat правила. Причём NAT находится ДО фильтра, то есть если пробрасываем порт 8080 на 80, то разрешть в фильтре надо 80-й.
Про VPN либо с рабочей машины убирать дефолт роут на тоннель и писать статик роут в домашнюю подсеть, либо на домашнем микроте маскарадить тоннельный интерфейс и всё. Только тогда не забывай если хочешь с работы по VPN ломиться к себе в подсеть или на микрот - правила фильтра, а так же dst-nat правила. Причём NAT находится ДО фильтра, то есть если пробрасываем порт 8080 на 80, то разрешть в фильтре надо 80-й.
-
soh20
- Сообщения: 17
- Зарегистрирован: 03 дек 2013, 11:37
Ну я бы не стал так весь UDP пускать, а то по 53 порту будут всякие чушки приставать и не только.
А так пойдет?
Код: Выделить всё
add chain=forward dst-address=192.168.88.100 dst-port=19900-20000 in-interface=ether1 out-interface=ether2 protocol=udp src-port=19900-20000-
DJGlooM
- Сообщения: 73
- Зарегистрирован: 27 ноя 2013, 14:05
soh20 писал(а):А так пойдет?Код: Выделить всё
add chain=forward dst-address=192.168.88.100 dst-port=19900-20000 in-interface=ether1 out-interface=ether2 protocol=udp src-port=19900-20000
Не пойму только зачем указывать src порт и исходящий интерфейс?
Пришёл запрос на NAT, форварднулся, затем обрабатывается фильтром.
Вот эта часть имхо ни к чему
Код: Выделить всё
out-interface=ether2 src-port=19900-20000-
Vladimir22
- Сообщения: 561
- Зарегистрирован: 09 дек 2012, 17:12
Код: Выделить всё
src-port=19900-20000позвольте поинтересоваться , а что в RTP.conf
тут могут быть проблемы
-
soh20
- Сообщения: 17
- Зарегистрирован: 03 дек 2013, 11:37
Vladimir22 писал(а):Код: Выделить всё
src-port=19900-20000
позвольте поинтересоваться , а что в RTP.conf
тут могут быть проблемы
Код: Выделить всё
rtpstart=19900
rtpend=20000
-
soh20
- Сообщения: 17
- Зарегистрирован: 03 дек 2013, 11:37
DJGlooM писал(а):Ну я бы не стал так весь UDP пускать, а то по 53 порту будут всякие чушки приставать и не только.
А тогда эту проблему как решить?
-
DJGlooM
- Сообщения: 73
- Зарегистрирован: 27 ноя 2013, 14:05
soh20 писал(а):А тогда эту проблему как решить?
Какую проблему то? Цель - добросить порты через микрот до астериска, так? dst-nat с указанием порта НАЗНАЧЕНИЯ и входящего интерфейса, зачем указывать ему с какого порта должен приходить запрос и на какой интерфейс уходить то?
Код: Выделить всё
chain=dstnat action=netmap to-addresses=192.168.88.100 to-ports=19900-20000 protocol=udp in-interface=ether1 dst-port=19900-20000
chain=forward action=accept protocol=udp dst-port=19900-20000