Страница 6 из 6

Re: 401 на INVITE с использованием nat

Добавлено: 19 сен 2013, 21:24
Vlad1983
оставляете вариант для fax.nat.pcap, т.е. не надо коментировать externip и localnet
в [general]
nat=yes
в [ertelecom-line](!) ставите nat=no

уберите POSTROUTING -j SNAT в сторону машины с астериск, т.к. преобразование идет
192.168.0.51.1149 > 192.168.0.65.5060: SIP, length: 1113
INVITE sip:s@88.87.76.35:5060 SIP/2.0
Via: SIP/2.0/UDP 188.187.253.2:5161

там должен быть 188.187.253.2 из-за этого 401 и вылазиет

можно попробовать добавить

Код: Выделить всё

[ertelecom-in-ttt](ertelecom-in)
host=192.168.0.51
не факт что сработает

лучше с фаерволом разберитесь

Re: 401 на INVITE с использованием nat

Добавлено: 19 сен 2013, 21:41
mapt
Vlad1983 писал(а):оставляете вариант для fax.nat.pcap, т.е. не надо коментировать externip и localnet
в [general]
nat=yes
в [ertelecom-line](!) ставите nat=no
сделал
Vlad1983 писал(а):можно попробовать добавить

Код: Выделить всё

[ertelecom-in-ttt](ertelecom-in)
host=192.168.0.51
не факт что сработает
добавил, и о чудо - завелось!!!!
Vlad1983 писал(а): уберите POSTROUTING -j SNAT в сторону машины с астериск, т.к. преобразование идет
192.168.0.51.1149 > 192.168.0.65.5060: SIP, length: 1113
INVITE sip:s@88.87.76.35:5060 SIP/2.0
Via: SIP/2.0/UDP 188.187.253.2:5161

там должен быть 188.187.253.2 из-за этого 401 и вылазиет

лучше с фаерволом разберитесь
согласен что решение с 51 - костыль, и рад бы разобраться с фаерволом, но вот настройки, текущие:
PRIME_BBCODE_SPOILER_SHOW PRIME_BBCODE_SPOILER: iptables
WAN="ppp0"
WAN_ADDR="88.87.76.35"
LAN="eth1"
LAN_ADDR="192.168.0.51"

WAN_CLOSE="3000 3128 5222 9090 9091 139 445 2727 5000 4520 2000"

DHCP_RANGE="192.168.0.1-192.168.0.254"

SAVE_FILE="/var/lib/iptables/rules-save"

set -e

echo -n "Clean all tables..."
iptables -t nat -F
iptables -F
iptables -F FORWARD
iptables -F INPUT
iptables -F OUTPUT
echo OK

echo -n "Set default policities..."
iptables -P FORWARD DROP
iptables -P INPUT ACCEPT
iptables -P OUTPUT ACCEPT
echo OK

echo -n "Upping nat..."
echo 1 > /proc/sys/net/ipv4/ip_forward
iptables -t nat -A POSTROUTING -o $WAN -j SNAT --to-source $WAN_ADDR
iptables -t nat -A POSTROUTING -o $LAN -j SNAT --to-source $LAN_ADDR
echo OK

#asterisk
iptables -t nat -A PREROUTING -p udp --dport 5060 -i $WAN -j DNAT --to 192.168.0.65

iptables -t nat -A PREROUTING -p udp -d 192.168.0.51 --dport 4000:4999 -j DNAT --to-destination 192.168.0.65
iptables -t nat -A POSTROUTING -p udp --dst 192.168.0.65 --dport 4000:4999 -j SNAT --to-source 192.168.0.51
iptables -t nat -A PREROUTING -p udp --dport 4000:4999 -i $WAN -j DNAT --to 192.168.0.65

iptables -t nat -A PREROUTING -p udp -d 192.168.0.51 --dport 10000:20000 -j DNAT --to-destination 192.168.0.65
iptables -t nat -A POSTROUTING -p udp --dst 192.168.0.65 --dport 10000:20000 -j SNAT --to-source 192.168.0.51
iptables -t nat -A PREROUTING -p udp --dport 10000:20000 -i $WAN -j DNAT --to 192.168.0.65
#end of asterisk

echo -n "Allow dhcp range"
iptables -A FORWARD -m iprange --dst-range $DHCP_RANGE -j ACCEPT
iptables -A FORWARD -m iprange --src-range $DHCP_RANGE -j ACCEPT
echo OK

iptables -I FORWARD -p tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu

echo "Deny ports to WAN:"
for WAN_CLOSE_PORT in $WAN_CLOSE; do
echo -en " deny port $WAN_CLOSE_PORT..."
iptables -A INPUT -p tcp --dport $WAN_CLOSE_PORT -i $WAN -j DROP
echo OK
done

echo -n "Save settings to $SAVE_FILE..."
iptables-save -c > $SAVE_FILE
echo OK
вроде POSTROUTING убрал, но не помогает...

Re: 401 на INVITE с использованием nat

Добавлено: 20 сен 2013, 06:00
awsswa
выхлоп с роутера lsmod

Re: 401 на INVITE с использованием nat

Добавлено: 20 сен 2013, 06:54
Vlad1983
убрать этот бред
iptables -t nat -A POSTROUTING -o $LAN -j SNAT --to-source $LAN_ADDR
iptables -t nat -A POSTROUTING -p udp --dst 192.168.0.65 --dport 4000:4999 -j SNAT --to-source 192.168.0.51
iptables -t nat -A POSTROUTING -p udp --dst 192.168.0.65 --dport 10000:20000 -j SNAT --to-source 192.168.0.51

Re: 401 на INVITE с использованием nat

Добавлено: 20 сен 2013, 12:21
mapt
Vlad1983 писал(а):убрать этот бред
iptables -t nat -A POSTROUTING -o $LAN -j SNAT --to-source $LAN_ADDR
iptables -t nat -A POSTROUTING -p udp --dst 192.168.0.65 --dport 4000:4999 -j SNAT --to-source 192.168.0.51
iptables -t nat -A POSTROUTING -p udp --dst 192.168.0.65 --dport 10000:20000 -j SNAT --to-source 192.168.0.51
да, без данных опций завелось. огромное спасибо за помощь, впорос окончательно решен. факсы ходят, вх/исх работает, все настроено в общем то по правилам.

Vlad1983, еще раз большое спасибо. будете в наших краях - с меня пиво!

Re: 401 на INVITE с использованием nat

Добавлено: 20 сен 2013, 13:57
Vlad1983
сильно сомневаюсь, что к вам когда-нить занесет
по этому с вашей конторы пожертвования в фонд «Подари жизнь» реквизиты здесь
в размере: сколько не жалко