SIP Nat / Iptables

VoIP

Próbálok beüzemelni egy Asterisk-es gépet, amely a tüzfal mögött van, de
a tüzfallal vannak gondjaim.

Amikor az asterisk akar konektálni a tüzfalon keresztül a VOIP szolgáltatóhoz nem Natolja a SIP-es csomagokat (az 5060 port ).
Próbálokztam már mindennel még avval is hogy a gép teljes forgalmát NAT-olom, de nem segített.
Modulokat betöltöttem ip_conntrack_sip ip_nat_sip
Kernel 2.6.18-hardened
Googliztam, pl http://www.iptel.org/sipalg/

Feladtam, Ötlet ?

  • 2377 megtekintés

( poperator v | 2007. 12. 20., cs – 12:30 )

Semmit sem natol , vagy csak az 5060 at nem?
És ugye 5060 UDP port?
PO

Csak az 5060 nem natolja.
Pl ssh http megy szépen.
A tüzfal kimenő lában ez jelenik meg :
14:52:22.328603 IP 192.168.1.xx.5060 > sip6.xx.hu.5060: SIP, length: 393

Amiből meg látszik hogy nem natolja.
Pedig (eth1 kimenő láb) :
IPTABLES -t nat -A POSTROUTING -o eth1 -s 192.168.1.xx -j SNAT --to-source $internetcimem

( snitt_ | 2007. 12. 20., cs – 15:21 )

szerintem natolja az neked. A probléma nem itt van, hanem az elkúrt sip szabványban, illetve főként azért, mert asteriskben nincs STUN support.

mindig be kell írnod sip.confba az externalip-t. ha dynip-d van, akkor pár script. gányolás tudom, de ez van.

Hát megnéztem,
A tcpdump a tűfalon még mindig azt látja hogy az internetes kártyán (eth1) a forrás 192.168.1.x.

Közben cseréltem kernelt (a tüzfalon), 2.6.22-hardened-r8 -re de ez sem segített

tcpdump -i eth1 src 192.168.1.xx
09:24:18.940739 IP 192.168.1.xx.5060 > sip.xxxx.hu.5060: SIP, length: 387

Az asterisk-en

#sip debug

Retransmitting #6 (NAT) to 85.159.xx.xx:5060:
REGISTER sip:85.159.xx.xx SIP/2.0
Via: SIP/2.0/UDP 192.168.1.yy:5060;branch=z9hG4bK15589faf;rport
From: ;tag=as15e216b3
To:
Call-ID: 516400a018a4fd3b1ef7841d716e16f5@127.0.1.1
CSeq: 107 REGISTER
User-Agent: Asterisk PBX
Max-Forwards: 70
Expires: 120
Contact:
Event: registration
Content-Length: 0

astersik
[general]
externip= 80.99.zzz.zzz
localnet = 192.168.1.0/255.255.255.0
nat=yes

Néztem még a dolgokat.
betetem elsőnek azt hogy logloja hogy egyáltalán natolásnál megtalálja a csomagot
iptables -t nat -A POSTROUTING -s 192.168.1.xx -j LOG --log-prefix "NAT UDP 2 ASTER: "
Hát semmi sem jött a log-ba a SIP-re de minden más OK

És lőn csoda.

Nyomogatom az asterisk consolon nagyban a sip show registry
és egyszer csak 105 Registered lett az állapotom.
De mitől ?
És a tcpdump is már mutatja hogy a kimenő címek helyesek.

Vannak még csodák / vagy hülyék ?