Добрый день!

Имеется сеть НО (10.128.0.0/16) и удаленная сеть SOHO(10.0.0.0/24) Между сетями ВПН + NAT (сеть 10.0.0.0/24 натиться в IP 10.128.3.246 ).

SOHO(10.0.0.0.24)<=NAT=>HO(10.128.0.0/16)

В сети НО находиться ССМ9, в удаленной сети телефон 7940 регается по SCCP на ССМ9.

Проблема - когда телефон звонит на внутренний номер HО (10.128.0.0/16), идет односторонняя слышимость - с НО слышно удаленный офис, но удаленный офис не слышит HО.

Сняли дамп - нашли интересную вещь: трафик от удаленного офиса проходит НАТ и поток идет с src IP 10.128.3.246 но вот когда локальный телефон в НО отправляет RTP то вместо dest IP 10.128.3.246 сессия строиться на dest IP 10.0.0.2 (это ИП удаленной сети и за НАт их вообще не должно быть видно).  Подозреваю что в ССМ9 появилось некоторое поле которое говорит о реальном ИП на телефоне в удаленной сети.
Что это за поле? Как с этим бороться? До этого схема отлично работала на ССМ4 - таких проблем не было.

• CCM9 nat односторонняя слышимость за NAT,ShyLion, 07:21 , 21-Янв-14
• CCM9 nat односторонняя слышимость за NAT,mdenisov, 09:38 , 21-Янв-14
  • CCM9 nat односторонняя слышимость за NAT,Николай, 12:01 , 21-Янв-14
    • CCM9 nat односторонняя слышимость за NAT,mdenisov, 15:52 , 21-Янв-14

На 4 тоже по SCCP регался? Какой шлюз делает NAT?

Так и не должно работать. Вернее, ели RTP между двумя терминалами будет идти без NAT'а, все будет жить. Как только произойдет NAT, слышно не будет. В SCCP есть команда установить RTP на определенный адрес и порт, соответственно, терминал бедрет концы оттуда. Как вы понимаете, NAT без ALG ничего там не поменяет.
Существует Phone Proxy, SSL VPN, поднимается на ASA. В UCM можете посмотреть какие терминалы это поддерживают.

> Так и не должно работать. Вернее, ели RTP между двумя терминалами будет
> идти без NAT'а, все будет жить. Как только произойдет NAT, слышно
> не будет. В SCCP есть команда установить RTP на определенный адрес
> и порт, соответственно, терминал бедрет концы оттуда. Как вы понимаете, NAT
> без ALG ничего там не поменяет.
> Существует Phone Proxy, SSL VPN, поднимается на ASA. В UCM можете посмотреть
> какие терминалы это поддерживают.

Без НАТ-а все понятно это обычный роутинг. НАТ отрабатывает, поскольку если бы удаленный RTP трафик был "не правильно отНАТен" в сторону НО, то абонент в НО удаленную сторону просто не услышал бы.
>В SCCP есть команда установить RTP на определенный адрес
> и порт

Это где именно есть такая команда (не воип терминале, ССМ, НАТ железке)?

Прочитал ТАС-и наткнулся на статью https://supportforums.cisco.com/docs/DOC-8131

Support for SCCPv17 was added to IOS Zone-Based Firewall via
CSCso53203 Support IOS FW interopreability with CUCM 7.0 running SCCP v17
starting with versions 12.4(20)T1

У меня ИОС 124-15.T13 - судя по всему не умеет он правильно инспектировать SCCP v17.
Решение как work around - залили SIP прошивку.

Уточню это схема конечно не для всего предприятия, а скорее как исключение из правил.

> Без НАТ-а все понятно это обычный роутинг. НАТ отрабатывает, поскольку если бы
> удаленный RTP трафик был "не правильно отНАТен" в сторону НО, то
> абонент в НО удаленную сторону просто не услышал бы.

Перечитал внимательнее первое сообщение, не знал что SCCP телефоны вообще могут нормально кидать RTP через NAT. Что у вас делает NAT? Похоже что ALG работает только в одну сторону.

>>В SCCP есть команда установить RTP на определенный адрес
>> и порт
> Это где именно есть такая команда (не воип терминале, ССМ, НАТ железке)?

Ну не совсем команда, скорее сообщение SCCP. Посмотрите в дампе на адреса из open receive channel ack и start media.

А для чего такое вообще делать, почему бы не избавиться от NAT'а? В край можно вместо 7940 взять 7941, который умеет сам по себе быть vpn client'ом.
Отпишите чем все кончится, а то я думал что SCCP дальше развиваться некуда, а оказывается не совсем так.