asterisk.ru

Я бы попробовал указать у экстеншена телефона nat=yes и поднять stun-сервер на машине с астериском и указывать его адрес в настройках STUN телефона.

все это пробовал...

Сервер OpenVPN при дефолтных настройках интерфейса tun по сути "NATит" своих клиентов (выставляет в локалку свой адрес типа 10.8.0.6 и маршрутизирует запросы между клиентами и локальной сетью).

не NATит он ничего... Все остальные клиенты (ноуты, планшеты) работают без какой-либо маршрутизации

Jugger1030 писал(а):Не доезжает. Проблема в машине, на которой поднят OpenVPN.

Это не факт. Пакеты могут "доезжать", но не восприниматься (пакетный фильтр на телефоне, или на телефоне по какой-то причине не прослушивается адрес 192.168.5.6). Возможно мы имеем дело с ошибкой в ПО телефона. Нужно записать трафик между 192.168.3.17 и 192.168.5.6 на машине, на которой поднят OpenVPN. Нужно увидеть есть ои передача SIP 401 в сторону 192.168.5.6.

Jugger1030 писал(а):Что-то с портами 5060 5160, не могу понять никак. Netstat, lsoft, и др. не показывают, что они открыты, не знаю должны ли показывать.

Не знаю как именно работает OpenVPN, но обычно VPN-сервер - это маршрутизатор, передающий IP-трафик между интерфейсами. Сервисы на нем не запускают, т.е. netstat ничего показывать не будет.

Jugger1030 писал(а):но до телефона они не доходят.

На самом телефоне какая-нибудь отладка есть? Если есть, пора в неё заглянуть.

покажите таблицы маршрутизации и iptables с asterisk, openvpn.

amateur писал(а):
Jugger1030 писал(а):Не доезжает. Проблема в машине, на которой поднят OpenVPN.
Это не факт. Пакеты могут "доезжать", но не восприниматься (пакетный фильтр на телефоне, или на телефоне по какой-то причине не прослушивается адрес 192.168.5.6). Возможно мы имеем дело с ошибкой в ПО телефона. Нужно записать трафик между 192.168.3.17 и 192.168.5.6 на машине, на которой поднят OpenVPN. Нужно увидеть есть ои передача SIP 401 в сторону 192.168.5.6.

Jugger1030 писал(а):Что-то с портами 5060 5160, не могу понять никак. Netstat, lsoft, и др. не показывают, что они открыты, не знаю должны ли показывать.
Не знаю как именно работает OpenVPN, но обычно VPN-сервер - это маршрутизатор, передающий IP-трафик между интерфейсами. Сервисы на нем не запускают, т.е. netstat ничего показывать не будет.

Jugger1030 писал(а):но до телефона они не доходят.
На самом телефоне какая-нибудь отладка есть? Если есть, пора в неё заглянуть.

дамп с астериск показывает, что телефон упорно отправляет запрос на регистрацию, а в ответ получает: Udp port sip unreachable.

дамп 192.168.5.6 порт 5060

Код: Выделить всё

tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on eth0, link-type EN10MB (Ethernet), capture size 262144 bytes
15:28:58.404255 IP 192.168.5.6.sip > icl.sangoma.local.sip: SIP: REGISTER sip:192.168.3.17;transport=UDP SIP/2.0
E..b..@.?..#.............N..REGISTER sip:192.168.3.17;transport=UDP SIP/2.0
Via: SIP/2.0/UDP 192.168.5.6:5060;branch=z9hG4bK-524287-1---cfa27fea2fadda50;rport
Max-Forwards: 70
Contact: <sip:4141@192.168.5.6:5060;rinstance=71a8c86f858e1a46;transport=UDP>
To: "4141"<sip:4141@192.168.3.17;transport=UDP>
From: "4141"<sip:4141@192.168.3.17;transport=UDP>;tag=4b2bbb5e
Call-ID: 4cJzVmWLeg-28EAxfAOFaQ..
CSeq: 1 REGISTER
Expires: 60
Allow: INVITE, ACK, CANCEL, BYE, NOTIFY, REFER, MESSAGE, OPTIONS, INFO, SUBSCRIBE
User-Agent: Zoiper rv2.9.15-mod
Allow-Events: presence, kpml, talk
Content-Length: 0


15:28:58.404296 IP icl.sangoma.local > 192.168.5.6: ICMP icl.sangoma.local udp port sip unreachable, length 556
E..@_Q..@..D................E..b..@.?..#.............N..REGISTER sip:192.168.3.17;transport=UDP SIP/2.0
Via: SIP/2.0/UDP 192.168.5.6:5060;branch=z9hG4bK-524287-1---cfa27fea2fadda50;rport
Max-Forwards: 70
Contact: <sip:4141@192.168.5.6:5060;rinstance=71a8c86f858e1a46;transport=UDP>
To: "4141"<sip:4141@192.168.3.17;transport=UDP>
From: "4141"<sip:4141@192.168.3.17;transport=UDP>;tag=4b2bbb5e
Call-ID: 4cJzVmWLeg-28EAxfAOFaQ..
CSeq: 1 REGISTER
Expires: 60
Allow: INVITE, ACK, CANCEL, BYE, NOTIFY, REFER, MESSAGE, OPTIONS, INFO, SUBSCRIBE
User-Agent: Zoiper rv2.9.15-
15:28:58.423316 IP 192.168.5.6.sip > icl.sangoma.local.sip: SIP: REGISTER sip:192.168.3.17;transport=UDP SIP/2.0
E..b..@.?..#.............N..REGISTER sip:192.168.3.17;transport=UDP SIP/2.0
Via: SIP/2.0/UDP 192.168.5.6:5060;branch=z9hG4bK-524287-1---cfa27fea2fadda50;rport
Max-Forwards: 70
Contact: <sip:4141@192.168.5.6:5060;rinstance=71a8c86f858e1a46;transport=UDP>
To: "4141"<sip:4141@192.168.3.17;transport=UDP>
From: "4141"<sip:4141@192.168.3.17;transport=UDP>;tag=4b2bbb5e
Call-ID: 4cJzVmWLeg-28EAxfAOFaQ..
CSeq: 1 REGISTER
Expires: 60
Allow: INVITE, ACK, CANCEL, BYE, NOTIFY, REFER, MESSAGE, OPTIONS, INFO, SUBSCRIBE
User-Agent: Zoiper rv2.9.15-mod
Allow-Events: presence, kpml, talk
Content-Length: 0


15:28:58.423346 IP icl.sangoma.local > 192.168.5.6: ICMP icl.sangoma.local udp port sip unreachable, length 556
E..@_T..@..A................E..b..@.?..#.............N..REGISTER sip:192.168.3.17;transport=UDP SIP/2.0
Via: SIP/2.0/UDP 192.168.5.6:5060;branch=z9hG4bK-524287-1---cfa27fea2fadda50;rport
Max-Forwards: 70
Contact: <sip:4141@192.168.5.6:5060;rinstance=71a8c86f858e1a46;transport=UDP>
To: "4141"<sip:4141@192.168.3.17;transport=UDP>
From: "4141"<sip:4141@192.168.3.17;transport=UDP>;tag=4b2bbb5e
Call-ID: 4cJzVmWLeg-28EAxfAOFaQ..
CSeq: 1 REGISTER
Expires: 60
Allow: INVITE, ACK, CANCEL, BYE, NOTIFY, REFER, MESSAGE, OPTIONS, INFO, SUBSCRIBE
User-Agent: Zoiper rv2.9.15-
15:28:59.264803 IP 192.168.5.6.sip > icl.sangoma.local.sip: SIP: REGISTER sip:192.168.3.17;transport=UDP SIP/2.0
E..b..@.?..#.............N..REGISTER sip:192.168.3.17;transport=UDP SIP/2.0
Via: SIP/2.0/UDP 192.168.5.6:5060;branch=z9hG4bK-524287-1---cfa27fea2fadda50;rport
Max-Forwards: 70
Contact: <sip:4141@192.168.5.6:5060;rinstance=71a8c86f858e1a46;transport=UDP>
To: "4141"<sip:4141@192.168.3.17;transport=UDP>
From: "4141"<sip:4141@192.168.3.17;transport=UDP>;tag=4b2bbb5e
Call-ID: 4cJzVmWLeg-28EAxfAOFaQ..
CSeq: 1 REGISTER
Expires: 60
Allow: INVITE, ACK, CANCEL, BYE, NOTIFY, REFER, MESSAGE, OPTIONS, INFO, SUBSCRIBE
User-Agent: Zoiper rv2.9.15-mod
Allow-Events: presence, kpml, talk
Content-Length: 0


15:28:59.264834 IP icl.sangoma.local > 192.168.5.6: ICMP icl.sangoma.local udp port sip unreachable, length 556
E..@_...@...................E..b..@.?..#.............N..REGISTER sip:192.168.3.17;transport=UDP SIP/2.0
Via: SIP/2.0/UDP 192.168.5.6:5060;branch=z9hG4bK-524287-1---cfa27fea2fadda50;rport
Max-Forwards: 70
Contact: <sip:4141@192.168.5.6:5060;rinstance=71a8c86f858e1a46;transport=UDP>
To: "4141"<sip:4141@192.168.3.17;transport=UDP>
From: "4141"<sip:4141@192.168.3.17;transport=UDP>;tag=4b2bbb5e
Call-ID: 4cJzVmWLeg-28EAxfAOFaQ..
CSeq: 1 REGISTER
Expires: 60
Allow: INVITE, ACK, CANCEL, BYE, NOTIFY, REFER, MESSAGE, OPTIONS, INFO, SUBSCRIBE
User-Agent: Zoiper rv2.9.15-
15:29:01.217765 IP 192.168.5.6.sip > icl.sangoma.local.sip: SIP: REGISTER sip:192.168.3.17;transport=UDP SIP/2.0
E..b..@.?..#.............N..REGISTER sip:192.168.3.17;transport=UDP SIP/2.0
Via: SIP/2.0/UDP 192.168.5.6:5060;branch=z9hG4bK-524287-1---cfa27fea2fadda50;rport
Max-Forwards: 70
Contact: <sip:4141@192.168.5.6:5060;rinstance=71a8c86f858e1a46;transport=UDP>
To: "4141"<sip:4141@192.168.3.17;transport=UDP>
From: "4141"<sip:4141@192.168.3.17;transport=UDP>;tag=4b2bbb5e
Call-ID: 4cJzVmWLeg-28EAxfAOFaQ..
CSeq: 1 REGISTER
Expires: 60
Allow: INVITE, ACK, CANCEL, BYE, NOTIFY, REFER, MESSAGE, OPTIONS, INFO, SUBSCRIBE
User-Agent: Zoiper rv2.9.15-mod
Allow-Events: presence, kpml, talk
Content-Length: 0

дамп с OpenVpn не показывает ничего относительно астериск (на данный момент проверяю все на мобильном, на софтфоне)

Код: Выделить всё

 tcpdump host 192.168.5.6 -s0 -A
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on eth0, link-type EN10MB (Ethernet), capture size 65535 bytes
^C^C15:48:56.707817 IP 192.168.5.6.48561 > 10.10.22.3.domain: 23665+ A? e5.whatsapp.net. (33)
E..=..@.?..;....

.....5.)..\q...........e5.whatsapp.net.....

1 packets captured
12 packets received by filter
0 packets dropped by kernel
[root@localhost shokhrat]# tcpdump host 192.168.5.6 -s0 -A
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on eth0, link-type EN10MB (Ethernet), capture size 65535 bytes
15:49:10.327468 IP 192.168.5.6.7083 > 10.10.22.3.domain: 29403+ A? alt8-mtalk.google.com. (39)
E..C..@.?.......

.....5./.!r...........
alt8-mtalk.google.com.....
15:49:10.546786 IP 192.168.5.6.33261 > 10.10.22.1.domain: 1156+ A? rosenberg.appmetrica.yandex.net. (49)
E..M..@.?.......

.....5.9..............  rosenberg
appmetrica.yandex.net.....
15:49:11.238254 IP 192.168.5.6.63414 > 10.10.22.3.domain: 41973+ A? www.zoiper.com. (32)
E..<.d@.?.......

.....5.(.S.............www.zoiper.com.....
15:49:11.275320 IP 192.168.5.6.54923 > 10.10.22.1.domain: 19968+ A? www.google.com. (32)
E..<.g@.?.......

.....5.(f|N............www.google.com.....
15:49:12.008633 IP 192.168.5.6.50679 > 10.10.22.1.domain: 64000+ A? e5.whatsapp.net. (33)
E..=..@.?..]....

.....5.)...............e5.whatsapp.net.....
15:49:13.067779 IP 192.168.5.6.19708 > 10.10.22.1.domain: 28263+ A? msg.kingoapp.com. (34)
E..>..@.?.......

..L..5.*kDng...........msg.kingoapp.com.....
15:49:15.260044 IP 192.168.5.6.21962 > 10.10.22.1.domain: 29403+ A? alt8-mtalk.google.com. (39)
E..C..@.?.......

..U..5./..r...........
alt8-mtalk.google.com.....
15:49:15.558868 IP 192.168.5.6.mc2studios > 10.10.22.3.domain: 11310+ A? rosenberg.appmetrica.yandex.net. (49)
E..M..@.?.......

отладки на телефоне нет((

Repz писал(а):покажите таблицы маршрутизации и iptables с asterisk, openvpn.

IPTABLES Asterisk:

Код: Выделить всё

# Generated by iptables-save v1.4.21 on Sun Aug  4 17:43:43 2019
*nat
:PREROUTING ACCEPT [42438:6442605]
:INPUT ACCEPT [10198:815387]
:OUTPUT ACCEPT [17032:1730535]
:POSTROUTING ACCEPT [17032:1730535]
:masq-input - [0:0]
:masq-output - [0:0]
-A POSTROUTING -j masq-input
-A POSTROUTING -j masq-output
-A POSTROUTING -m mark --mark 0x3/0x3 -j MASQUERADE
-A masq-input -j MARK --set-xmark 0x1/0xffffffff
COMMIT
# Completed on Sun Aug  4 17:43:43 2019
# Generated by iptables-save v1.4.21 on Sun Aug  4 17:43:43 2019
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [1543:323798]
:fail2ban-SIP - [0:0]
:fail2ban-recidive - [0:0]
:fpbx-rtp - [0:0]
:fpbxattacker - [0:0]
:fpbxblacklist - [0:0]
:fpbxfirewall - [0:0]
:fpbxhosts - [0:0]
:fpbxinterfaces - [0:0]
:fpbxknownreg - [0:0]
:fpbxlogdrop - [0:0]
:fpbxnets - [0:0]
:fpbxratelimit - [0:0]
:fpbxregistrations - [0:0]
:fpbxreject - [0:0]
:fpbxrfw - [0:0]
:fpbxshortblock - [0:0]
:fpbxsignalling - [0:0]
:fpbxsmarthosts - [0:0]
:fpbxsvc-chansip - [0:0]
:fpbxsvc-ftp - [0:0]
:fpbxsvc-http - [0:0]
:fpbxsvc-https - [0:0]
:fpbxsvc-iax - [0:0]
:fpbxsvc-isymphony - [0:0]
:fpbxsvc-letsencrypt - [0:0]
:fpbxsvc-nfs - [0:0]
:fpbxsvc-pjsip - [0:0]
:fpbxsvc-provis - [0:0]
:fpbxsvc-provis_ssl - [0:0]
:fpbxsvc-restapps - [0:0]
:fpbxsvc-restapps_ssl - [0:0]
:fpbxsvc-smb - [0:0]
:fpbxsvc-ssh - [0:0]
:fpbxsvc-tftp - [0:0]
:fpbxsvc-ucp - [0:0]
:fpbxsvc-vpn - [0:0]
:fpbxsvc-webrtc - [0:0]
:fpbxsvc-xmpp - [0:0]
:fpbxsvc-zulu - [0:0]
:rejsvc-nfs - [0:0]
:rejsvc-smb - [0:0]
:zone-external - [0:0]
:zone-internal - [0:0]
:zone-other - [0:0]
:zone-trusted - [0:0]
-A INPUT -j fail2ban-recidive
-A INPUT -j fail2ban-SIP
-A INPUT -j fpbxfirewall
-A INPUT -i eth0 -p udp -m udp --dport 5060 -j ACCEPT
-A INPUT -i eth0 -p udp -m udp --dport 5160 -j ACCEPT
-A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -d 192.168.3.13/32 -i eth1 -m state --state NEW -j ACCEPT
-A fail2ban-SIP -j RETURN
-A fail2ban-recidive -s 192.168.3.55/32 -j REJECT --reject-with icmp-port-unreachable
-A fail2ban-recidive -j RETURN
-A fpbx-rtp -p udp -m udp --dport 10000:20000 -j ACCEPT
-A fpbx-rtp -p udp -m udp --dport 4000:4999 -j ACCEPT
-A fpbxattacker -m recent --set --name ATTACKER --mask 255.255.255.255 --rsource
-A fpbxattacker -j DROP
-A fpbxfirewall -i lo -j ACCEPT
-A fpbxfirewall -p tcp -m state --state RELATED,ESTABLISHED -j ACCEPT
-A fpbxfirewall -p icmp -j ACCEPT
-A fpbxfirewall -d 255.255.255.255/32 -j ACCEPT
-A fpbxfirewall -m pkttype --pkt-type multicast -j ACCEPT
-A fpbxfirewall -p udp -m udp --sport 67:68 --dport 67:68 -j ACCEPT
-A fpbxfirewall -j fpbx-rtp
-A fpbxfirewall -j fpbxblacklist
-A fpbxfirewall -j fpbxsignalling
-A fpbxfirewall -j fpbxsmarthosts
-A fpbxfirewall -j fpbxregistrations
-A fpbxfirewall -j fpbxnets
-A fpbxfirewall -j fpbxhosts
-A fpbxfirewall -j fpbxinterfaces
-A fpbxfirewall -j fpbxreject
-A fpbxfirewall -m mark --mark 0x2/0x2 -j fpbxrfw
-A fpbxfirewall -p udp -m state --state RELATED,ESTABLISHED -j ACCEPT
-A fpbxfirewall -j fpbxlogdrop
-A fpbxhosts -s 127.0.0.1/32 -j zone-trusted
-A fpbxinterfaces -i eth0 -j zone-internal
-A fpbxknownreg -m recent --remove --name REPEAT --mask 255.255.255.255 --rsource
-A fpbxknownreg -m recent --remove --name ATTACKER --mask 255.255.255.255 --rsource
-A fpbxknownreg -m mark --mark 0x1/0x1 -j ACCEPT
-A fpbxknownreg -j fpbxsvc-ucp
-A fpbxknownreg -j fpbxsvc-zulu
-A fpbxknownreg -j fpbxsvc-restapps
-A fpbxknownreg -j fpbxsvc-restapps_ssl
-A fpbxknownreg -j fpbxsvc-provis
-A fpbxknownreg -j fpbxsvc-provis_ssl
-A fpbxlogdrop -j DROP
-A fpbxnets -s 192.168.3.199/32 -j zone-trusted
-A fpbxratelimit -m mark --mark 0x4/0x4 -j ACCEPT
-A fpbxratelimit -m recent --rcheck --seconds 90 --hitcount 1 --name WHITELIST --mask 255.255.255.255 --rsource -j ACCEPT
-A fpbxratelimit -m state --state NEW -m recent --set --name REPEAT --mask 255.255.255.255 --rsource
-A fpbxratelimit -m state --state NEW -m recent --set --name DISCOVERED --mask 255.255.255.255 --rsource
-A fpbxratelimit -j LOG
-A fpbxratelimit -m recent --rcheck --seconds 86400 --hitcount 1 --name ATTACKER --mask 255.255.255.255 --rsource -j fpbxattacker
-A fpbxratelimit -m recent --rcheck --seconds 86400 --hitcount 100 --name REPEAT --mask 255.255.255.255 --rsource -j fpbxattacker
-A fpbxratelimit -m recent --rcheck --seconds 3600 --hitcount 50 --name REPEAT --mask 255.255.255.255 --rsource -j fpbxattacker
-A fpbxratelimit -m recent --rcheck --seconds 60 --hitcount 10 --name REPEAT --mask 255.255.255.255 --rsource -j fpbxshortblock
-A fpbxratelimit -j ACCEPT
-A fpbxregistrations -s 192.168.3.108/32 -j fpbxknownreg
-A fpbxregistrations -s 192.168.3.51/32 -j fpbxknownreg
-A fpbxregistrations -s 192.168.3.213/32 -j fpbxknownreg
-A fpbxregistrations -s 192.168.3.48/32 -j fpbxknownreg
-A fpbxregistrations -s 192.168.3.214/32 -j fpbxknownreg
-A fpbxregistrations -s 192.168.3.216/32 -j fpbxknownreg
-A fpbxregistrations -s 192.168.3.210/32 -j fpbxknownreg
-A fpbxregistrations -s 192.168.3.212/32 -j fpbxknownreg
-A fpbxregistrations -s 192.168.3.19/32 -j fpbxknownreg
-A fpbxregistrations -s 192.168.3.215/32 -j fpbxknownreg
-A fpbxregistrations -s 192.168.3.47/32 -j fpbxknownreg
-A fpbxregistrations -s 192.168.3.1/32 -j fpbxknownreg
-A fpbxregistrations -s 192.168.3.50/32 -j fpbxknownreg
-A fpbxregistrations -s 192.168.3.15/32 -j fpbxknownreg
-A fpbxregistrations -s 192.168.3.63/32 -j fpbxknownreg
-A fpbxregistrations -s 192.168.3.60/32 -j fpbxknownreg
-A fpbxregistrations -s 192.168.3.61/32 -j fpbxknownreg
-A fpbxregistrations -s 192.168.3.62/32 -j fpbxknownreg
-A fpbxregistrations -s 192.168.3.218/32 -j fpbxknownreg
-A fpbxregistrations -s 192.168.3.65/32 -j fpbxknownreg
-A fpbxregistrations -s 192.168.3.18/32 -j fpbxknownreg
-A fpbxregistrations -s 192.168.3.107/32 -j fpbxknownreg
-A fpbxregistrations -s ххх.хх.хх.хх/32 -j fpbxknownreg
-A fpbxregistrations -s 192.168.3.26/32 -j fpbxknownreg
-A fpbxreject -j rejsvc-nfs
-A fpbxreject -j rejsvc-smb
-A fpbxrfw -m recent --rcheck --seconds 90 --hitcount 1 --name WHITELIST --mask 255.255.255.255 --rsource -j ACCEPT
-A fpbxrfw -m recent --set --name REPEAT --mask 255.255.255.255 --rsource
-A fpbxrfw -m recent --set --name DISCOVERED --mask 255.255.255.255 --rsource
-A fpbxrfw -m recent --rcheck --seconds 10 --hitcount 50 --name REPEAT --mask 255.255.255.255 --rsource -j fpbxattacker
-A fpbxrfw -m recent --rcheck --seconds 86400 --hitcount 1 --name ATTACKER --mask 255.255.255.255 --rsource -j fpbxattacker
-A fpbxrfw -m recent --rcheck --seconds 60 --hitcount 10 --name SIGNALLING --mask 255.255.255.255 --rsource -j fpbxshortblock
-A fpbxrfw -m recent --set --name SIGNALLING --mask 255.255.255.255 --rsource
-A fpbxrfw -m recent --rcheck --seconds 86400 --hitcount 100 --name REPEAT --mask 255.255.255.255 --rsource -j fpbxattacker
-A fpbxrfw -j ACCEPT
-A fpbxshortblock -m recent --set --name CLAMPED --mask 255.255.255.255 --rsource
-A fpbxshortblock -j REJECT --reject-with icmp-port-unreachable
-A fpbxsignalling -p udp -m udp --dport 5160 -j MARK --set-xmark 0x1/0xffffffff
-A fpbxsmarthosts -s 2хх.хх.хх.хх/32 -m mark --mark 0x1/0x1 -j ACCEPT # адрес  астериска в офисе в другом городе
-A fpbxsmarthosts -s 192.168.3.26/32 -m mark --mark 0x1/0x1 -j ACCEPT
-A fpbxsvc-chansip -p udp -m udp --dport 5160 -j ACCEPT
-A fpbxsvc-chansip -p udp -m udp --dport 5060 -j ACCEPT
-A fpbxsvc-ftp -p tcp -m tcp --dport 21 -j ACCEPT
-A fpbxsvc-http -p tcp -m tcp --dport 80 -j ACCEPT
-A fpbxsvc-https -p tcp -m tcp --dport 443 -j ACCEPT
-A fpbxsvc-iax -p udp -m udp --dport 4569 -j ACCEPT
-A fpbxsvc-provis -p tcp -m tcp --dport 84 -j ACCEPT
-A fpbxsvc-restapps -p tcp -m tcp --dport 82 -j ACCEPT
-A fpbxsvc-ssh -s 192.168.3.199/32 -p tcp -m tcp --dport 22 -j ACCEPT
-A fpbxsvc-ssh -s 192.168.103.0/24 -p tcp -m tcp --dport 22 -j ACCEPT
-A fpbxsvc-ssh -p tcp -m tcp --dport 22 -j DROP
-A fpbxsvc-tftp -p udp -m udp --dport 69 -j ACCEPT
-A fpbxsvc-ucp -p tcp -m tcp --dport 81 -j ACCEPT
-A fpbxsvc-ucp -p tcp -m tcp --dport 8001 -j ACCEPT
-A fpbxsvc-ucp -p tcp -m tcp --dport 8003 -j ACCEPT
-A fpbxsvc-vpn -p udp -m udp --dport 1194 -j ACCEPT
-A fpbxsvc-webrtc -p tcp -m tcp --dport 8088 -j ACCEPT
-A fpbxsvc-webrtc -p tcp -m tcp --dport 8089 -j ACCEPT
-A fpbxsvc-xmpp -p tcp -m tcp --dport 5222 -j ACCEPT
-A zone-external -m mark --mark 0x10/0x10
-A zone-external -j fpbxsvc-vpn
-A zone-external -j fpbxsvc-xmpp
-A zone-internal -m mark --mark 0x4/0x4
-A zone-internal -j fpbxsvc-ssh
-A zone-internal -j fpbxsvc-http
-A zone-internal -j fpbxsvc-https
-A zone-internal -j fpbxsvc-ucp
-A zone-internal -j fpbxsvc-pjsip
-A zone-internal -j fpbxsvc-chansip
-A zone-internal -j fpbxsvc-iax
-A zone-internal -j fpbxsvc-webrtc
-A zone-internal -j fpbxsvc-provis
-A zone-internal -j fpbxsvc-vpn
-A zone-internal -j fpbxsvc-restapps
-A zone-internal -j fpbxsvc-xmpp
-A zone-internal -j fpbxsvc-ftp
-A zone-internal -j fpbxsvc-tftp
-A zone-other -m mark --mark 0x8/0x8
-A zone-other -j fpbxsvc-ucp
-A zone-other -j fpbxsvc-pjsip
-A zone-other -j fpbxsvc-provis
-A zone-other -j fpbxsvc-vpn
-A zone-other -j fpbxsvc-xmpp
-A zone-trusted -j ACCEPT
COMMIT
# Completed on Sun Aug  4 17:43:43 2019

IPTABLES OpenVpn

Код: Выделить всё

:PREROUTING ACCEPT [213:30133]
:POSTROUTING ACCEPT [5:2927]
:OUTPUT ACCEPT [0:0]
COMMIT
# Completed on Sun Aug  4 17:37:24 2019
# Generated by iptables-save v1.4.7 on Sun Aug  4 17:37:24 2019
*filter
:INPUT DROP [4:468]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [15:2323]
-A INPUT -p udp -m udp --dport 1194 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 1194 -j ACCEPT
-A INPUT -d хх.ххх.ххх.ххх/32 -p udp -m udp --dport 1194 -j ACCEPT
-A INPUT -d хх.ххх.ххх.ххх/32 -p tcp -m tcp --dport 1194 -j ACCEPT
-A INPUT -s 192.168.3.199/32 -p tcp -m tcp --dport 22 -j ACCEPT
-A INPUT -s 192.168.103.0/24 -p tcp -m tcp --dport 22 -j ACCEPT
-A INPUT -p tcp -m tcp --sport 80 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 22 -j DROP
-A INPUT -s 192.168.5.0/24 -j ACCEPT
-A INPUT -s 192.168.103.0/24 -j ACCEPT
-A INPUT -s 192.168.3.199/32 -j ACCEPT
-A INPUT -s 192.168.3.0/24 -j ACCEPT
-A INPUT -i tun0 -j ACCEPT
-A INPUT -p tcp -m state --state NEW -m tcp --dport 5060:5260 -j ACCEPT
-A INPUT -p udp -m udp --dport 10000:20000 -j ACCEPT
-A INPUT -p udp -m udp --dport 5060:5260 -j ACCEPT
-A INPUT -i tun0 -j ACCEPT
-A INPUT -d 192.168.3.13/32 -p tcp -m tcp --dport 81 -j ACCEPT
-A INPUT -d 192.168.3.13/32 -p tcp -m tcp --dport 80 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 5060 -j ACCEPT
-A INPUT -p udp -m udp --dport 5060 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 5160 -j ACCEPT
-A FORWARD -i tun0 -j ACCEPT
-A FORWARD -i eth1 -j ACCEPT
-A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -d 192.168.3.17/32 -i eth1 -m state --state NEW -j ACCEPT
-A FORWARD -d 192.168.3.17/32 -o eth0 -p udp -m udp --dport 5060 -j ACCEPT
-A FORWARD -d 192.168.3.17/32 -o eth0 -p udp -m udp --dport 5160 -j ACCEPT
-A OUTPUT -p tcp -m tcp --dport 80 -j ACCEPT
-A OUTPUT -o tun0 -j ACCEPT
-A INPUT -p tcp --dport 22 -j DROP
-P INPUT DROP
COMMIT

В этом последнем дебаге у вас картинка изменилась (по сравнению с первым дампом на первой странице):
IP 192.168.5.6.sip > icl.sangoma.local.sip - запрос идёт с 192.168.5.6:5060 порта, на icl.sangoma.local:5060 - тоже SIP порт
поэтому станция отвечает
ICMP icl.sangoma.local udp port sip unreachable,

А раньше вы скинули дамп где регистрация
IP 192.168.5.6.sip > icl.sangoma.local:5160 - это другой порт. По видимому не смогли увести PJSIP на другой порт, чтобы chan_sip слушал 5060.

В этом последнем дебаге у вас картинка изменилась

Да, тот дебаг, если я не ошибаюсь, говорил, что станция принимает запрос от телефона, отправляет в ответ данные для регистрации, но до телефона они не доходят. PJSIP я вообще не использую. Не подскажете, куда копать, чтобы решить проблему? В настройках астериска перейти с 5160 на 5060?

192.168.5.6 - это ИП телефона, так? А icl.sangoma.local - какой ИП адрес? 192.168.3.17?

Jugger1030 писал(а):Да, тот дебаг, если я не ошибаюсь, говорил, что станция принимает запрос от телефона, отправляет в ответ данные для регистрации, но до телефона они не доходят.

Всё верно.

Распишите схему соединения по адресам и портам. Тут у вас галиматься, даже вдумываться не хочется.

Код: Выделить всё

-A FORWARD -d 192.168.3.17/32 -i eth1 -m state --state NEW -j ACCEPT
-A FORWARD -d 192.168.3.17/32 -o eth0 -p udp -m udp --dport 5060 -j ACCEPT
-A FORWARD -d 192.168.3.17/32 -o eth0 -p udp -m udp --dport 5160 -j ACCEPT

Это вы писали?

Jugger1030 писал(а):Дело в том, что OpenVpn работает нормально, так как имеются несколько клиентов с ноутбуками, и планшетами, которые без проблем удалённо подключаются к локальной сети и работают. Мой домашний комп, так же подключается. Данный телефон проверял из дома, такая же проблема. Сам телефон подключается к сети, получает адрес, пингует *. Проблема именно в регистрации на *. С локальной сети он прекрасно регистрируется. Думаю проблема с портами 5060 5160 на машине с OpenVpn

Это не аргумент.
Я вижу, что всё (кроме SIP) работает, но вы запутали сервер OpenVpn неверными правилами iptables.

Изучайте Routing & Switching - курс ICND.

192.168.5.6 - это ИП телефона, так? А icl.sangoma.local - какой ИП адрес? 192.168.3.17?

Все верно

-A FORWARD -d 192.168.3.17/32 -i eth1 -m state --state NEW -j ACCEPT
-A FORWARD -d 192.168.3.17/32 -o eth0 -p udp -m udp --dport 5060 -j ACCEPT
-A FORWARD -d 192.168.3.17/32 -o eth0 -p udp -m udp --dport 5160 -j ACCEPT

делал форвардинг между интерфейсами, но сейчас соображаю, что правила глупые

, потому что 3.17 интерфейс астериска, а eth0 - интерфейс OpenVpn, причем внешний.. О боже, что я там понаписал

короче напартачил с правилами, а правильно прокинуть порты 5060 5160 никак не соображу. 192.168.3.17-астериск, 192.168.3.13 - внутренний интерфейс OpenVpn, 192.168.5.1 - интерфейс tun0, 192.168.5.6-адрес телефона

asterisk.ru

Телефон не регистрируется по OpenVPN

Re: Телефон не регистрируется по OpenVPN

Re: Телефон не регистрируется по OpenVPN

Re: Телефон не регистрируется по OpenVPN

Re: Телефон не регистрируется по OpenVPN

Re: Телефон не регистрируется по OpenVPN

Re: Телефон не регистрируется по OpenVPN

Re: Телефон не регистрируется по OpenVPN

Re: Телефон не регистрируется по OpenVPN

Re: Телефон не регистрируется по OpenVPN

Re: Телефон не регистрируется по OpenVPN