VIDEOCHAT  ::   FAQ  ::   Поиск  ::   Регистрация  ::   Вход

Asterisk за NAT

Проблемы Asterisk без вэб-оболочек и их решения

Модераторы: april22, Zavr2008

ded
Сообщения: 15620
Зарегистрирован: 26 авг 2010, 19:00

Re: Asterisk за NAT

Сообщение ded »

Cмысл параметра insecure (invite) прост: игнорировать значения аутентификации username & secret, которые прибегают во входящем звонке в пакете INVITE.
А insecure (port) - не игнрировать если этот запрос прибегает не с того порта, с какого ожидается (обычно ожидается с 5060)
svd
Сообщения: 169
Зарегистрирован: 19 июл 2011, 08:13
Откуда: Красноярск
Контактная информация:

Re: Asterisk за NAT

Сообщение svd »

ded, всё становится на свои места
остался ещё один вопрос:

шлюз, за ним астериск

внешние сип клиенты, что необходимо, чтобы подключались они, кроме порта udp 5060?

получаю ответ serviceunavailable

Код: Выделить всё

[801]
deny=0.0.0.0/0.0.0.0
type=friend
secret=801
qualify=yes
port=5060
pickupgroup=
permit=0.0.0.0/0.0.0.0
nat=yes
mailbox=801@device
host=dynamic
dtmfmode=rfc2833
dial=SIP/801
context=from-internal
canreinvite=no
callgroup=
callerid=device <801>
accountcode=
call-limit=50
svd
Сообщения: 169
Зарегистрирован: 19 июл 2011, 08:13
Откуда: Красноярск
Контактная информация:

Re: Asterisk за NAT

Сообщение svd »

Тестанул ещё раз, выяснил следующее:
не хочет цепляться PortGo, x-lite приконнектился.

Если кто-то знает в чём фокус, подскажите.
проверю ещё аппаратные телефоны, но есть подозрение что x-lite умнее остальных софтфонов.

а из портов проброшено сейчас по udp 5060 и 10000-11000 (их же указал в rtp.conf)
svd
Сообщения: 169
Зарегистрирован: 19 июл 2011, 08:13
Откуда: Красноярск
Контактная информация:

Re: Asterisk за NAT

Сообщение svd »

Продолжение следует.

Всё тот же астериск, всё за тем же натом.
Далее протокол h323.
Пробросил порты 1719, 1729
Но регистрации на гейткипере не случилось.
Использую ooh_323.

Вот текст ooh_323.conf

Код: Выделить всё

[general]
port=1720
bindaddr=95.130.xxx.xxx
gateway=no
gatekeeper=84.22.xxx.xxx
context=from-trunk
disallow=all
allow=g729
dtmfmode=h245signal
logfile=/etc/asterisk/ooh323_log
acceptanonymous=no
faststart=yes
h245tunneling=yes
[2002]
ip=95.130.xxx.xxx
type=peer
port=1720
h323id=3099@password
пытаюсь регистрироваться на гейткипере - результата нет

Код: Выделить всё

---------Date 07/20/11---------
01:17:14:449  Signalling IP address is set to 95.130.xxx.xxx
01:17:14:449  Listen port number is set to 1720
01:17:14:449  Added alias: H323ID - 3099@password
01:17:14:449  Gatekeeper Mode - RasUseSpecificGatekeeper
01:17:14:449  Gatekeeper IP:port set to - 84.22.xxx.xxx:1719
01:17:14:449  Adding endpoint capability OO_G729ANNEXA. 
01:17:14:449  Adding endpoint capability OO_G729. 
01:17:14:449  Dtmf mode set to H.245(signal) for endpoint
01:17:14:449  Error:Bind failed
01:17:14:449  ERROR:Failed to create H323 listener
01:17:14:449  Destroying H323 Endpoint
01:17:14:449  Destroying Gatekeeper Client
01:17:14:449  Closed RAS channel
в какую сторону рыть, оператор как всегда утверждает, что всё настроил.
добавлю, этот транк у меня работал, но астериск имел другой ip и был не за НАТом.
svd
Сообщения: 169
Зарегистрирован: 19 июл 2011, 08:13
Откуда: Красноярск
Контактная информация:

Re: Asterisk за NAT

Сообщение svd »

магии и мистики не существует (во всяком случае у меня на астериске)
зато есть загадки с закадыками.

запускаю на шлюзе tcpdump host 84.22.xxx.xxx
выполняю restart now
смотрю файл лога ooh323.log в файле этом перманентно тоже самое, за исключением ip-шников. (ну ежели их в конфиге менять)
смотрю tcpdump на шлюзе - там тишина. (ни одного пакета).

А теперь закавыка-закадыка:
Как понять почему астериск не ломится никуда? И даже походу не пытается.
ded
Сообщения: 15620
Зарегистрирован: 26 авг 2010, 19:00

Re: Asterisk за NAT

Сообщение ded »

Н323 и NAT - несовместимы.
Пробросом портов не решить проблемы, потому что информация о регистрации и соединениях находится на уровне приложений (Layer 7 модели OSI)
То есть проброс портов - это транспортный уровень - TCP & UDP (Layer 4 модели OSI), вот вы сделали проброс портов, ИП пакет выбежал с source IP = 192.168.1.100, на рутере транслировался в реальный source IP 80.90.100.200, прибежал на Гейткипер провайдера, тот смотрит на его содержимое, а там информация о каком-то неведомом ему пире с ИП 192.168.1.100.
ded
Сообщения: 15620
Зарегистрирован: 26 авг 2010, 19:00

Re: Asterisk за NAT

Сообщение ded »

svd писал(а):bindaddr=95.130.xxx.xxx
Так этот адрес есть на станции? Виден при ifconfig? Или это адрес чего?
А вот и подтверждение -

Код: Выделить всё

 01:17:14:449  Error:Bind failed
svd писал(а):Как понять почему астериск не ломится никуда? И даже походу не пытается.
Походу Вам в платный суппорт уже пора лыжи смазывать.
svd
Сообщения: 169
Зарегистрирован: 19 июл 2011, 08:13
Откуда: Красноярск
Контактная информация:

Re: Asterisk за NAT

Сообщение svd »

ded, видимо я неправильно понимал назначение bindaddress

bindaddr = 95.130.xxx.xxx
это внешний айпишник шлюза

заменил на тот что существует на сервере, пакеты полетели...
победа всё ближе, но ещё не в руках

bindaddr = 192.168.xxx.xxx

три попытки подключиться и

Код: Выделить всё

02:24:47:818  Sent GRQ message
02:25:02:818  Gatekeeper client GRQ timer expired.
02:25:02:818  Error:Gatekeeper could not be found
02:25:02:818  Error: Gatekeeper error. Either Gk not responding or Gk sending invalid messages
02:25:02:818  Error: Gatekeeper error detected. Closing GkClient as Gk mode is UseSpecifcGatekeeper
02:25:02:818  Destroying Gatekeeper Client
02:25:02:818  Closed RAS channel
02:25:02:818  Doing ooStopMonitorCalls
02:25:02:818  Stopping listener for incoming calls
02:25:02:818  Done ooStopMonitorCalls
02:25:02:818  Ending Monitor thread
смотрю описание файла ooh_323.conf тут http://asterisk.ru/knowledgebase/asterisk-h323

пробую следующую конструкцию
bindaddr = 0.0.0.0

результат тот же, есть подозрение что их серваку опять таки не нравится упоминание где либо в пакете локального айпишника.
но тех поддержка ужо спит.
ded
Сообщения: 15620
Зарегистрирован: 26 авг 2010, 19:00

Re: Asterisk за NAT

Сообщение ded »

Пошли на второй круг...
ded писал(а):Н323 и NAT - несовместимы.
svd
Сообщения: 169
Зарегистрирован: 19 июл 2011, 08:13
Откуда: Красноярск
Контактная информация:

Re: Asterisk за NAT

Сообщение svd »

Итого ooh_323.conf

Код: Выделить всё

[general]
port=1720
bindaddr=192.168.xxx.xxx
gateway=no
gatekeeper=84.22.xxx.xxx
context=from-trunk
disallow=all
allow=g729
dtmfmode=h245signal
logfile=/etc/asterisk/ooh323_log
acceptanonymous=no
faststart=yes
h245tunneling=yes
[3099]
ip=95.130.xxx.xxx
type=peer
port=1720
h323id=3099@password
tcpdump 4 исходящих пакета 0 входящих
сервак провайдера игнорирует запросы к нему
внутри UDP пакета вижу RAS address ip 192.168.xxx.xxx, уверен что и их сервак (насколько помню это Цыска AS5300) это видит и потому игнорит.

Нужно опять таки обмануть их сервер.
Ответить
© 2008 — 2024 Asterisk.ru
Digium, Asterisk and AsteriskNOW are registered trademarks of Digium, Inc.
Design and development by PostMet-Netzwerk GmbH