Mikrotik firewall настройка для sip

Настройка Mikrotik RouterOS (SIP через NAT)

Часто пользователи IP телефонии сталкиваются с проблемой односторонней слышимости. Проблема в том, что в SIP протоколе, в части где описываются возможности голосового соединения (кодеки, IP адреса и порты обмена) — в протоколе SDP (Session Description Protocol), имеется запись о IP адресе на котором клиент ожидает соединения, и этот IP адрес, естественно является «серым», то есть из сети, которая находится за NAT-ом. А прямое соединение на этот немаршрутизируемый IP естественно невозможно. Однако, все современные IP шлюзы, понимают, что такая ситуация может возникнуть и разруливают её соответствующим образом — то есть они не обращают внимание на этот адрес, а пакеты шлют на тот адрес с которого приходят к нему пакеты, то есть на наш реальный IP, находящийся на выходе из NAT.

SIP телефоны (софтфоны) вполне корректно работают из под NAT, и порты никакие пробрасывать не надо.

В процессе изучения Mikrotik и анализа проходящего VoIP трафика, выяснилось, что роутер по умолчанию лезет в SIP/SDP протокол и подменяет установленный там IP на свой внешний (так называемый SIP ALG). Таким образом, со стороны это выглядит так, как будто и нет никакого NAT-а. И всё в порядке, и всё в общем то работает. Однако если у вас проблема с односторонней слышимостью, то вам необходимо отключить SIP ALG на роутере. Делается это следующей командой в консоли RouterOS

/ip firewall service-port disable sip

Еще одна часто возникающая проблема с роутерами Mikrotik — это зависшие UDP соединения. По наблюдениям это происходит в результате цепочки событий

1. Происходит отключение Интернет соединения
2. Устройство, находящееся за NAT, отправляет запрос в сторону SIP сервера
3. Создается ошибочная запись в таблице conntrack
4. Интернет соединение восстанавливается
5. Таблица NAT netfilter не может получить корректную информацию для новых запросов

В результате SIP-устройства не могут зарегистрироваться, хотя запросы отправляются (клиенты Ростелеком с подключением по технологии PON страдают в первую очередь, т.к. раз в сутки биллинг провайдера принудительно разрывает сессию) .

TCPDUMP в данной ситуации показывает, что UAC отправляет в сторону сервера REGISTER, сервер отвечает запросом авторизации (SIP/2.0 401 Unauthorized), а в ответ ничего не приходит. Лечится это либо перезагрузкой роутера или удалением UDP соединений из консоли Mikrotik

/ip firewall connection remove [find where protocol=udp and dst-address

/ip firewall connection remove [find where connection-type=sip and assured=no]

Если нет возможности перезагрузить роутер или удалить UDP сессии, то можно попробовать выключить SIP устройство на 15-20 минут и потом включить снова.

Если проблема не постоянная, а то появляется, то исчезает, то возможно поможет отключение технологии fastpath (необходимо перезагрузить роутер после выполнения этих команд)

/ip settings set allow-fast-path=no

/ip firewall filter disable [/ip firewall filter find where action=fasttrack-connection]

В новых версиях RouterOS появился параметр sip-timeout, который теоретически может помочь в решении данной проблемы. Попробуйте выполнить следующую команду

/ip firewall service-port set sip disabled=no ports=5060,5061 sip-direct-media=yes sip-timeout=5m

Источник

Mikrotik настройка sip телефонии

Настройка sip на mikrotik. Пример на манго телеком

Для корректной работы телефонии необходимо открыть доступ на фаерволе/роутере/брандмауэре и т.д., осуществив следующие действия: разрешить входящие соединения и исходящий трафик для прохождения голоса по протоколу UDP и TCP для подсети:

81.88.86.0/24, порты с 1024 по 65535.

на всякий случай отключаем ip—firewall—service port — sip ставим disable

Открываем порты для sip:

В ip—firewall—filter rules создаем правило

chain=forward action=accept protocol=udp src-address=192.168.88.18 dst-address=81.88.86.0/24 in-interface=br

где для ip-телефона с ip 192.168.88.18 разрешаем открывать порты (1024-65535) для серверов манго-телеком 81.88.86.0/24

Часто пользователи IP телефонии сталкиваются с проблемой односторонней слышимости. Проблема в том, что в SIP протоколе, в части где описываются возможности голосового соединения (кодеки, IP адреса и порты обмена) — в протоколе SDP (Session Description Protocol), имеется запись о IP адресе на котором клиент ожидает соединения, и этот IP адрес, естественно является «серым», то есть из сети, которая находится за NAT-ом. А прямое соединение на этот немаршрутизируемый IP естественно невозможно. Однако, все современные IP шлюзы, понимают, что такая ситуация может возникнуть и разруливают её соответствующим образом — то есть они не обращают внимание на этот адрес, а пакеты шлют на тот адрес с которого приходят к нему пакеты, то есть на наш реальный IP, находящийся на выходе из NAT.

SIP телефоны (софтфоны) вполне корректно работают из под NAT, и порты никакие пробрасывать не надо.

В процессе изучения Mikrotik и анализа проходящего VoIP трафика, выяснилось, что роутер по умолчанию лезет в SIP/SDP протокол и подменяет установленный там IP на свой внешний (так называемый SIP ALG). Таким образом, со стороны это выглядит так, как будто и нет никакого NAT-а. И всё в порядке, и всё в общем то работает. Однако если у вас проблема с односторонней слышимостью, то вам необходимо отключить SIP ALG на роутере. Делается это следующей командой в консоли RouterOS

/ip firewall service-port disable sip

Еще одна часто возникающая проблема с роутерами Mikrotik — это зависшие UDP соединения. По наблюдениям это происходит в результате цепочки событий

1. Происходит отключение Интернет соединения
2. Устройство, находящееся за NAT, отправляет запрос в сторону SIP сервера
3. Создается ошибочная запись в таблице conntrack
4. Интернет соединение восстанавливается
5. Таблица NAT netfilter не может получить корректную информацию для новых запросов

В результате SIP-устройства не могут зарегистрироваться, хотя запросы отправляются (клиенты Ростелеком с подключением по технологии PON страдают в первую очередь, т.к. раз в сутки биллинг провайдера принудительно разрывает сессию) .

TCPDUMP в данной ситуации показывает, что UAC отправляет в сторону сервера REGISTER, сервер отвечает запросом авторизации (SIP/2.0 401 Unauthorized), а в ответ ничего не приходит. Лечится это либо перезагрузкой роутера или удалением UDP соединений из консоли Mikrotik

/ip firewall connection remove [find where protocol=udp and dst-address

/ip firewall connection remove [find where connection-type=sip and assured=no]

Если нет возможности перезагрузить роутер или удалить UDP сессии, то можно попробовать выключить SIP устройство на 15-20 минут и потом включить снова.

Если проблема не постоянная, а то появляется, то исчезает, то возможно поможет отключение технологии fastpath (необходимо перезагрузить роутер после выполнения этих команд)

/ip settings set allow-fast-path=no

/ip firewall filter disable [/ip firewall filter find where action=fasttrack-connection]

В новых версиях RouterOS появился параметр sip-timeout, который теоретически может помочь в решении данной проблемы. Попробуйте выполнить следующую команду

/ip firewall service-port set sip disabled=no ports=5060,5061 sip-direct-media=yes sip-timeout=5m

Настройка Mikrotik для SIP телефонии

Последние несколько лет ip –телефония стала очень популярна, благодаря ряду своих преимуществ. Для ее бесперебойной работы некоторое оборудование, поэтому в центре внимания mikrotik ip телефония настройка.

Microtik: достоинства и недостатки

Что же такое Microtik? Говоря общими словами, это сетевое оборудование, включающее в себя маршрутизаторы (проводные и беспроводные), и соответствующее им оборудование и операционные системы. Для удобства понимания, условно можно разделить ОС RouterOS и «железо» Router Board.

В чем же достоинства microtik?

  • Стоимость – в своем ценовом сегменте конкуренты просто не обнаруживаются;
  • Единая для всех своих устройств ОС позволяет быстро устанавливать оборудование, а так же раз усвоенный навык работы с Microtik поможет всегда.
  • Документация и обновления – один из самых приятных плюсов. Все прошивки размещены на официальном сайте, а документация – на Википедии. Все можно скачать, не регистрируясь, что не распространено среди конкурентов.
  • Надежность. – превыше всего. Если один раз правильно настроить Microtik, больше с этим вряд ли придется сталкиваться. Но на всякий случай стоит знать о WatchDog, которая может спасти зависший роутер.
  • Масштаб. Идеально Microtik подходит для небольших компаний, но ее вполне можно приспособить и для более сложной нагрузки, поставив на мощный сервер.
  • Функционал сетевого оборудования этой марки необычайно широк, конкурируя с серьезными марками. («Домашние» роутеры не могут составить ему конкуренцию»).

При таком привлекательном наборе преимуществ есть ли минусы?

Для бесперебойной работы роутера этой марки в реально большой компании, для правильной и постоянной работы нужно либо несколько мощных серверов, либо приглядеться к его конкурентам.

Если есть желание настроить Microtik, нужно обладать определенными знаниями в области сетей.

Сотрудники занимающиеся установкой сетевого оборудования, отмечают, что не всегда выгодно: работа настолько налажена, что повторных вызовов они не получают.

При требовании шифрования по ГОСТу могут возникнуть проблемы.

Подводя итог его оценки, можно сказать, что microtil – отличное бюджетное решение для роутера. В компании средней величины.

Как связаны ip телефония и microtik

При работе с ip телефонией ее пользователи иногда сталкиваются с нарушениеми корректной работы связи. Причиной может быть небрежная настройка mikrotik для sip телефонии.

Одной из самых распространенных проблем является частичная потеря связи с абонентом. То есть абонент говорит и слышит собеседника, а вот последний его просто не слышит. Такие проблемы возникали раньше из-за протокола SDP, но все современные шлюзы работают корректно, устраивая обмен пакетами именно между абонентами связи. SiP телефоны работают с NAT безошибочно, но при использовании microtik в качестве маршрутизатора (роутера) приводит к этой проблеме.

Как выяснилось при изучении оборудования этой марки, дело в «излишней» деятельности роутера: при передаче данных через трафик VOip он подменяет адрес получателя на свой внешний, делая двустороннее соединение невозможным. Создается впечатление, что NAT не принимает участие в передаче данных. Но эту проблему решить, к счастью, довольно просто: Нужно отключить его SIP ALG — внешний IP роутера, с помощью команды:

/ip firewall service-port disable sip

Следующая распространенная проблема, нередко встречающаяся при работе с роутерами Microtik – зависающие UDP соединения. Такое нарушение состоит из нескольких этапов, но начинается все с отключения интернета. Это создает фальшивую запись в таблице NAT. При возобновлении подключения к сети Интернет, таблица не может быть использована – в ней нет нужной информации, необходимой для новых запросов.

Для решения этой проблемы либо нужно перезагрузить роутер и удалить все сессии UDP, либо выключить его на 10-20 минут, затем включить.

Удалить из консоли UDP соединения можно такой командой:

/ip firewall connection remove [find where protocol=udp and dst-address

/ip firewall connection remove [find where connection-type=sip and assured=no]

В самых новейших версиях OC Microtik ввели параметр sip-timeout, способный разрешить эту проблему. Для этого нужно попробовать ввести такую команду:

/ip firewall service-port set sip disabled=no ports=5060,5061 sip-direct-media=yes sip-timeout=5m.

Подводя итог, можно сказать, что если для работы нужна ip телефония, mycrotic обеспечить ее надежную работу. Ошибки иногда могут возникать, но их решения достаточно простые, а высокую функциональность и удобство настройки таких роутеров гораздо важнее.

Источник

Решение проблем Mikrotik и SIP (SIP через NAT или VPN) SIP helper

Решение проблем Mikrotik и SIP (SIP через NAT или VPN) SIP helper

Часто пользователи IP телефонии сталкиваются с проблемой односторонней слышимости. Проблема в том, что в SIP протоколе, в части где описываются возможности голосового соединения (кодеки, IP адреса и порты обмена) — в протоколе SDP (Session Description Protocol), имеется запись о IP адресе на котором клиент ожидает соединения, и этот IP адрес, естественно является «серым», то есть из сети, которая находится за NAT-ом. А прямое соединение на этот немаршрутизируемый IP естественно невозможно. И дальше есть два пути решения либо включить SIP Helper на mirotik либо на сервере телефонии (Asterisk) включить (настройку nat = force_rport, comedia).


В видео более детально разобран SDP (Session Description Protocol) протокол и работа SIP helper, также разобраны проблемы SIP NAT и SIP VPN

Проблема 1. SIP NAT mikrotik

Решение: Либо включаете на mikrotik SIP Helper либо выключаете и настраиваете на Asterisk NAT и force, comedia

«Подвисание» SIP в Connection Trackin (UDP) — В чем же дело? ПРИМЕР: Всё довольно просто: переключение на резервный канал было реализовано с помощью двух маршрутов с destination 0.0.0.0/0 и разным значением distance в зависимости от приоритета, а также с настроенными соответствующим образом опциями check-gateway. Но переключение переключением, а вот таблицу NAT роутер при этом не очищал, т.к. его об этом никто и не просил, что приводило к «повисанию» UDP-соединений на том дефолте, который по несчастью отвалился.

Скрипт как почистить подвисшие SIP: (можно в нетвоч и делать переключение каналов не check-gateway)
:foreach i in=[/ip firewall connection find dst-address

Проблема 2. SIP VPN mikrotik

Asterisk – смотрит, если сеть не объявлена в переменной localnet, определяет, что клиент находится за NAT и использует свой внешний адрес (externalip), как адрес для в SIP/SDP
обязательно нужно прописывать сети «точек» в localnet

При падение VPN, ваш маршрут до астериск также станет не доступен и пакеты уйдут в интернет и сип также «подвиснет» и чтобы такого не было создаем анричебл маршруты с большим дистанс ,чтобы в случае падения ВПН, ничего никуда не уходило.
/ip route
add dst-address=192.168.0.0/16 type=unreachable distance=250
add dst-address=10.0.0.0/8 type=unreachable distance=250
add dst-address=172.16.0.0/12 type=unreachable distance=250


Проблема 3. SIP Helper Регистрация (проблема односторонней слышимости)

Решение: либо включить SIP Helper на mirotik либо на сервере телефонии (Asterisk) включить (настройку nat = force_rport, comedia).

Также у SIP Helpe есть парметр sip-timeout:

/ip firewall service-port set sip disabled=no ports=5060,5061 sip-direct-media=yes sip-timeout=5m

Если в сообщении есть поле Expires со значением больше чем 0, то RouterOS создаст соединение с timeout из sip-timeout значения service-port (Только для UDP)

Если Expires отсутствует или равно 0, то существующее соединение удаляется из трекера

Источник

Читайте также:  Маршрутизатор mikrotik hex poe lite настройка