Mikrotik firewall настройка для sip

/ip firewall connection remove [find where connection-type=sip and assured=no]

Если нет возможности перезагрузить роутер или удалить UDP сессии, то можно попробовать выключить SIP устройство на 15-20 минут и потом включить снова.

Если проблема не постоянная, а то появляется, то исчезает, то возможно поможет отключение технологии fastpath (необходимо перезагрузить роутер после выполнения этих команд)

/ip settings set allow-fast-path=no

/ip firewall filter disable [/ip firewall filter find where action=fasttrack-connection]

В новых версиях RouterOS появился параметр sip-timeout, который теоретически может помочь в решении данной проблемы. Попробуйте выполнить следующую команду

/ip firewall service-port set sip disabled=no ports=5060,5061 sip-direct-media=yes sip-timeout=5m

Источник

Mikrotik настройка sip телефонии

Настройка sip на mikrotik. Пример на манго телеком

Для корректной работы телефонии необходимо открыть доступ на фаерволе/роутере/брандмауэре и т.д., осуществив следующие действия: разрешить входящие соединения и исходящий трафик для прохождения голоса по протоколу UDP и TCP для подсети:

81.88.86.0/24, порты с 1024 по 65535.

на всякий случай отключаем ip—firewall—service port — sip ставим disable

Открываем порты для sip:

В ip—firewall—filter rules создаем правило

chain=forward action=accept protocol=udp src-address=192.168.88.18 dst-address=81.88.86.0/24 in-interface=br

где для ip-телефона с ip 192.168.88.18 разрешаем открывать порты (1024-65535) для серверов манго-телеком 81.88.86.0/24

Часто пользователи IP телефонии сталкиваются с проблемой односторонней слышимости. Проблема в том, что в SIP протоколе, в части где описываются возможности голосового соединения (кодеки, IP адреса и порты обмена) — в протоколе SDP (Session Description Protocol), имеется запись о IP адресе на котором клиент ожидает соединения, и этот IP адрес, естественно является «серым», то есть из сети, которая находится за NAT-ом. А прямое соединение на этот немаршрутизируемый IP естественно невозможно. Однако, все современные IP шлюзы, понимают, что такая ситуация может возникнуть и разруливают её соответствующим образом — то есть они не обращают внимание на этот адрес, а пакеты шлют на тот адрес с которого приходят к нему пакеты, то есть на наш реальный IP, находящийся на выходе из NAT.

SIP телефоны (софтфоны) вполне корректно работают из под NAT, и порты никакие пробрасывать не надо.

В процессе изучения Mikrotik и анализа проходящего VoIP трафика, выяснилось, что роутер по умолчанию лезет в SIP/SDP протокол и подменяет установленный там IP на свой внешний (так называемый SIP ALG). Таким образом, со стороны это выглядит так, как будто и нет никакого NAT-а. И всё в порядке, и всё в общем то работает. Однако если у вас проблема с односторонней слышимостью, то вам необходимо отключить SIP ALG на роутере. Делается это следующей командой в консоли RouterOS

/ip firewall service-port disable sip

Еще одна часто возникающая проблема с роутерами Mikrotik — это зависшие UDP соединения. По наблюдениям это происходит в результате цепочки событий

1. Происходит отключение Интернет соединения
2. Устройство, находящееся за NAT, отправляет запрос в сторону SIP сервера
3. Создается ошибочная запись в таблице conntrack
4. Интернет соединение восстанавливается
5. Таблица NAT netfilter не может получить корректную информацию для новых запросов

В результате SIP-устройства не могут зарегистрироваться, хотя запросы отправляются (клиенты Ростелеком с подключением по технологии PON страдают в первую очередь, т.к. раз в сутки биллинг провайдера принудительно разрывает сессию) .

TCPDUMP в данной ситуации показывает, что UAC отправляет в сторону сервера REGISTER, сервер отвечает запросом авторизации (SIP/2.0 401 Unauthorized), а в ответ ничего не приходит. Лечится это либо перезагрузкой роутера или удалением UDP соединений из консоли Mikrotik

/ip firewall connection remove [find where protocol=udp and dst-address

/ip firewall connection remove [find where connection-type=sip and assured=no]

Если нет возможности перезагрузить роутер или удалить UDP сессии, то можно попробовать выключить SIP устройство на 15-20 минут и потом включить снова.

Если проблема не постоянная, а то появляется, то исчезает, то возможно поможет отключение технологии fastpath (необходимо перезагрузить роутер после выполнения этих команд)

/ip settings set allow-fast-path=no

/ip firewall filter disable [/ip firewall filter find where action=fasttrack-connection]

В новых версиях RouterOS появился параметр sip-timeout, который теоретически может помочь в решении данной проблемы. Попробуйте выполнить следующую команду

/ip firewall service-port set sip disabled=no ports=5060,5061 sip-direct-media=yes sip-timeout=5m

Настройка Mikrotik для SIP телефонии

Последние несколько лет ip –телефония стала очень популярна, благодаря ряду своих преимуществ. Для ее бесперебойной работы некоторое оборудование, поэтому в центре внимания mikrotik ip телефония настройка.

Microtik: достоинства и недостатки

Что же такое Microtik? Говоря общими словами, это сетевое оборудование, включающее в себя маршрутизаторы (проводные и беспроводные), и соответствующее им оборудование и операционные системы. Для удобства понимания, условно можно разделить ОС RouterOS и «железо» Router Board.

В чем же достоинства microtik?

• Стоимость – в своем ценовом сегменте конкуренты просто не обнаруживаются;
• Единая для всех своих устройств ОС позволяет быстро устанавливать оборудование, а так же раз усвоенный навык работы с Microtik поможет всегда.
• Документация и обновления – один из самых приятных плюсов. Все прошивки размещены на официальном сайте, а документация – на Википедии. Все можно скачать, не регистрируясь, что не распространено среди конкурентов.
• Надежность. – превыше всего. Если один раз правильно настроить Microtik, больше с этим вряд ли придется сталкиваться. Но на всякий случай стоит знать о WatchDog, которая может спасти зависший роутер.
• Масштаб. Идеально Microtik подходит для небольших компаний, но ее вполне можно приспособить и для более сложной нагрузки, поставив на мощный сервер.
• Функционал сетевого оборудования этой марки необычайно широк, конкурируя с серьезными марками. («Домашние» роутеры не могут составить ему конкуренцию»).

При таком привлекательном наборе преимуществ есть ли минусы?

Для бесперебойной работы роутера этой марки в реально большой компании, для правильной и постоянной работы нужно либо несколько мощных серверов, либо приглядеться к его конкурентам.

Если есть желание настроить Microtik, нужно обладать определенными знаниями в области сетей.

Сотрудники занимающиеся установкой сетевого оборудования, отмечают, что не всегда выгодно: работа настолько налажена, что повторных вызовов они не получают.

При требовании шифрования по ГОСТу могут возникнуть проблемы.

Подводя итог его оценки, можно сказать, что microtil – отличное бюджетное решение для роутера. В компании средней величины.

Как связаны ip телефония и microtik

При работе с ip телефонией ее пользователи иногда сталкиваются с нарушениеми корректной работы связи. Причиной может быть небрежная настройка mikrotik для sip телефонии.

Одной из самых распространенных проблем является частичная потеря связи с абонентом. То есть абонент говорит и слышит собеседника, а вот последний его просто не слышит. Такие проблемы возникали раньше из-за протокола SDP, но все современные шлюзы работают корректно, устраивая обмен пакетами именно между абонентами связи. SiP телефоны работают с NAT безошибочно, но при использовании microtik в качестве маршрутизатора (роутера) приводит к этой проблеме.

Как выяснилось при изучении оборудования этой марки, дело в «излишней» деятельности роутера: при передаче данных через трафик VOip он подменяет адрес получателя на свой внешний, делая двустороннее соединение невозможным. Создается впечатление, что NAT не принимает участие в передаче данных. Но эту проблему решить, к счастью, довольно просто: Нужно отключить его SIP ALG — внешний IP роутера, с помощью команды:

/ip firewall service-port disable sip

Следующая распространенная проблема, нередко встречающаяся при работе с роутерами Microtik – зависающие UDP соединения. Такое нарушение состоит из нескольких этапов, но начинается все с отключения интернета. Это создает фальшивую запись в таблице NAT. При возобновлении подключения к сети Интернет, таблица не может быть использована – в ней нет нужной информации, необходимой для новых запросов.

Для решения этой проблемы либо нужно перезагрузить роутер и удалить все сессии UDP, либо выключить его на 10-20 минут, затем включить.

Удалить из консоли UDP соединения можно такой командой:

/ip firewall connection remove [find where protocol=udp and dst-address

/ip firewall connection remove [find where connection-type=sip and assured=no]

В самых новейших версиях OC Microtik ввели параметр sip-timeout, способный разрешить эту проблему. Для этого нужно попробовать ввести такую команду:

/ip firewall service-port set sip disabled=no ports=5060,5061 sip-direct-media=yes sip-timeout=5m.

Подводя итог, можно сказать, что если для работы нужна ip телефония, mycrotic обеспечить ее надежную работу. Ошибки иногда могут возникать, но их решения достаточно простые, а высокую функциональность и удобство настройки таких роутеров гораздо важнее.

Источник

Решение проблем Mikrotik и SIP (SIP через NAT или VPN) SIP helper

Решение проблем Mikrotik и SIP (SIP через NAT или VPN) SIP helper

Часто пользователи IP телефонии сталкиваются с проблемой односторонней слышимости. Проблема в том, что в SIP протоколе, в части где описываются возможности голосового соединения (кодеки, IP адреса и порты обмена) — в протоколе SDP (Session Description Protocol), имеется запись о IP адресе на котором клиент ожидает соединения, и этот IP адрес, естественно является «серым», то есть из сети, которая находится за NAT-ом. А прямое соединение на этот немаршрутизируемый IP естественно невозможно. И дальше есть два пути решения либо включить SIP Helper на mirotik либо на сервере телефонии (Asterisk) включить (настройку nat = force_rport, comedia).

Проблема 1. SIP NAT mikrotik

Решение: Либо включаете на mikrotik SIP Helper либо выключаете и настраиваете на Asterisk NAT и force, comedia

«Подвисание» SIP в Connection Trackin (UDP) — В чем же дело? ПРИМЕР: Всё довольно просто: переключение на резервный канал было реализовано с помощью двух маршрутов с destination 0.0.0.0/0 и разным значением distance в зависимости от приоритета, а также с настроенными соответствующим образом опциями check-gateway. Но переключение переключением, а вот таблицу NAT роутер при этом не очищал, т.к. его об этом никто и не просил, что приводило к «повисанию» UDP-соединений на том дефолте, который по несчастью отвалился.

Скрипт как почистить подвисшие SIP: (можно в нетвоч и делать переключение каналов не check-gateway)
:foreach i in=[/ip firewall connection find dst-address