VIDEOCHAT  ::   FAQ  ::   Поиск  ::   Регистрация  ::   Вход

Sip криво ходит через ipsec?

Проблемы Asterisk без вэб-оболочек и их решения

Модераторы: april22, Zavr2008

blackvalex
Сообщения: 73
Зарегистрирован: 20 авг 2011, 16:59
Откуда: Новосибирск

Re: Sip криво ходит через ipsec?

Сообщение blackvalex »

Проблема где-то глубже.

tcpdump на астериске показывает, что пакеты от планета прилетают и ответы шлются.
До планета не долетают ответы.
Самая фигня, что ответы астериска не долетают до маршрутизатора.

12:14:21.093673 IP (tos 0x0, ttl 61, id 42548, offset 0, flags [none], proto: UDP (17), length: 519) 192.168.8.200.sip > 192.168.2.205.sip: SIP, length: 491
REGISTER sip:192.168.2.205 SIP/2.0
Via: SIP/2.0/UDP 1

12:14:21.093840 IP (tos 0x60, ttl 64, id 19066, offset 0, flags [none], proto: UDP (17), length: 545) 192.168.2.205.sip > 192.168.8.200.sip: SIP, length: 517
SIP/2.0 401 Unauthorized
Via: SIP/2.0/UDP

12:14:22.421278 IP (tos 0x60, ttl 64, id 19067, offset 0, flags [none], proto: UDP (17), length: 534) 192.168.2.205.sip > 192.168.8.200.sip: SIP, length: 506
OPTIONS sip:192.168.8.200 SIP/2.0
Via: SIP/2.0/UDP

12:14:23.420951 IP (tos 0x60, ttl 64, id 19068, offset 0, flags [none], proto: UDP (17), length: 534) 192.168.2.205.sip > 192.168.8.200.sip: SIP, length: 506
OPTIONS sip:192.168.8.200 SIP/2.0
Via: SIP/2.0/UDP

12:14:24.420909 IP (tos 0x60, ttl 64, id 19069, offset 0, flags [none], proto: UDP (17), length: 534) 192.168.2.205.sip > 192.168.8.200.sip: SIP, length: 506
OPTIONS sip:192.168.8.200 SIP/2.0
Via: SIP/2.0/UDP

12:14:25.080682 IP (tos 0x0, ttl 61, id 42549, offset 0, flags [none], proto: UDP (17), length: 519) 192.168.8.200.sip > 192.168.2.205.sip: SIP, length: 491
REGISTER sip:192.168.2.205 SIP/2.0
Via: SIP/2.0/UDP

12:14:25.081236 IP (tos 0x60, ttl 64, id 19070, offset 0, flags [none], proto: UDP (17), length: 545) 192.168.2.205.sip > 192.168.8.200.sip: SIP, length: 517
SIP/2.0 401 Unauthorized
Via: SIP/2.0/UDP 192.168.8.2

12:14:25.420854 IP (tos 0x60, ttl 64, id 19071, offset 0, flags [none], proto: UDP (17), length: 534) 192.168.2.205.sip > 192.168.8.200.sip: SIP, length: 506
OPTIONS sip:192.168.8.200 SIP/2.0
Via: SIP/2.0/UDP

12:14:26.420781 IP (tos 0x60, ttl 64, id 19072, offset 0, flags [none], proto: UDP (17), length: 534) 192.168.2.205.sip > 192.168.8.200.sip: SIP, length: 506
OPTIONS sip:192.168.8.200 SIP/2.0
Via: SIP/2.0/UDP
ded
Сообщения: 15620
Зарегистрирован: 26 авг 2010, 19:00

Re: Sip криво ходит через ipsec?

Сообщение ded »

Плохо также то, что несмотря на разъяснения упортвуете в оставлении OPTIONS. Зачем спрашивать советов? Чтобы им не следовать ни в какую.
Ковыряйтесь сами.
blackvalex
Сообщения: 73
Зарегистрирован: 20 авг 2011, 16:59
Откуда: Новосибирск

Re: Sip криво ходит через ipsec?

Сообщение blackvalex »

Отключение OPTIONS проблему не решило. Вместо Занято теперь тишина.
ded
Сообщения: 15620
Зарегистрирован: 26 авг 2010, 19:00

Re: Sip криво ходит через ipsec?

Сообщение ded »

А оно не не должно было решить проблему. Вы упорно их тут постили, это было просто ненужным информационным шумом.
tcpdump -s 1500 host 192.168.8.200 -w dumpfile.pcap
затем
Wireshark - open dumpfile.pcap.
Возможно что угодно, например фрагментация пакетов (ввиду инкапсуляции в IPsec) нарушает целостность SIP пакетов.
blackvalex
Сообщения: 73
Зарегистрирован: 20 авг 2011, 16:59
Откуда: Новосибирск

Re: Sip криво ходит через ipsec?

Сообщение blackvalex »

Сменили порт у шлюзов с 5060 на 5070. Заработало. Как связано - непонятно. До замены упорно не регистрировались.

12:14:21.093673 IP (tos 0x0, ttl 61, id 42548, offset 0, flags [none], proto: UDP (17), length: 519) 192.168.8.200.sip > 192.168.2.205.sip: SIP, length: 491
REGISTER sip:192.168.2.205 SIP/2.0
Via: SIP/2.0/UDP 1

12:14:21.093840 IP (tos 0x60, ttl 64, id 19066, offset 0, flags [none], proto: UDP (17), length: 545) 192.168.2.205.sip > 192.168.8.200.sip: SIP, length: 517
SIP/2.0 401 Unauthorized
Via: SIP/2.0/UDP
blackvalex
Сообщения: 73
Зарегистрирован: 20 авг 2011, 16:59
Откуда: Новосибирск

Re: Sip криво ходит через ipsec?

Сообщение blackvalex »

ded писал(а): Возможно что угодно, например фрагментация пакетов (ввиду инкапсуляции в IPsec) нарушает целостность SIP пакетов.
Проблема решилась заменой Zywall 300 на Cisco ASA
ded
Сообщения: 15620
Зарегистрирован: 26 авг 2010, 19:00

Re: Sip криво ходит через ipsec?

Сообщение ded »

Зопишем: Zywall - это тоже шлак.
blackvalex
Сообщения: 73
Зарегистрирован: 20 авг 2011, 16:59
Откуда: Новосибирск

Re: Sip криво ходит через ipsec?

Сообщение blackvalex »

причем новый - шлак. Старые (2+,5,35,70) серии стоят и не жужжат
Vlad1983
Сообщения: 4251
Зарегистрирован: 09 авг 2011, 11:51

Re: Sip криво ходит через ipsec?

Сообщение Vlad1983 »

в "умелых" руках любое железо может шлаком оказаться

нужно по обе стороны канала зеркалировать порты (в край на виртуалках развернуть asterisk) и дампить одновременно с обоих концов
только после этого реально выясняется проблема в маршрутизаторах или нет
ЛС: @rostel
ded
Сообщения: 15620
Зарегистрирован: 26 авг 2010, 19:00

Re: Sip криво ходит через ipsec?

Сообщение ded »

Судя по анамнезу - "сменили порт у шлюзов с 5060 на 5070 и пошло", видимо в новых сериях пытались реализовать SIP ALG, но неудачно.
Ответить
© 2008 — 2024 Asterisk.ru
Digium, Asterisk and AsteriskNOW are registered trademarks of Digium, Inc.
Design and development by PostMet-Netzwerk GmbH