The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

форумы  правила/FAQ  поиск  регистрация  вход/выход  слежка  RSS
"Помогите с пробросом Asterisk через CISCO ASA 5505."
Вариант для распечатки  
Пред. тема | След. тема 
Форум Маршрутизаторы CISCO и др. оборудование. (VoIP)
Изначальное сообщение [ Отслеживать ]

"Помогите с пробросом Asterisk через CISCO ASA 5505."  +/
Сообщение от Billi on 25-Май-09, 15:33 
Добрый день!
Прошу помощи в настройке CISCO ASA 5505.

Нужно для астериска разрешить протокол SIP (UDP)
(что то типа аналога правил add pass udp from any to any 5060,9999-20001 keepstate)

хх.хх.хх.хх - реальный ИП адрес

Сеть выглядит так:

Asterisk(192.168.188.5)---|                                   ---
Www(192.168.188.4)------|-(192.168.188.1)-|        |
                                                                                |ASA|-(xx.xx.xx.xx)
Lan(192.168.180.78)-------(192.168.180.1)---|        |
                                                                                   ---
    
Проблема в том что через простой маршрутизатор с NAT (DFL-100) Астериск нормально регистрируется на sipnet.ru, принимает звонки, и передает голосовые данные.
При переключении на циску, пишет что на sipnet.ru зарегистировался но при этом ни какие звонки принимать не хочет, ну а до передачи голоса дело даже не доходит.

Циску я не администрирую, и не разбираюсь в ней, с админом циски пока связи нет, но есть конфиг.

Интересует правильно ли настроен НАТ?
Пакеты идущие с астериска проходят один НАТ или два?
Есть ли в данном конфиге возможность прохода обратных пакетов UDP (keepstate)?
Нужно ли в данном конфиге подобно как в PIX делать no fixup protocol sip 5060 no fixup protocol sip udp 5060?
Возможно кто нибудь знает пример конфигурации CISCO ASA для проброски Астериска?

Заранее спасибо!


name 192.168.180.78 proxy
!
interface Vlan1
nameif inside
security-level 100
ip address 192.168.180.1 255.255.255.0
!
interface Vlan2
mac-address 000f.3de9.361a
nameif outside
security-level 0
ip address dhcp setroute
!
interface Vlan12
no forward interface Vlan1
nameif dmz
security-level 50
ip address 192.168.188.1 255.255.255.0
!
interface Ethernet0/0
switchport access vlan 2
!
interface Ethernet0/1
switchport access vlan 12
!
interface Ethernet0/2
!
interface Ethernet0/3
switchport access vlan 12
!
interface Ethernet0/4
!
interface Ethernet0/5
!
interface Ethernet0/6
!
interface Ethernet0/7
!
boot system disk0:/asa804-k8.bin
ftp mode passive
dns domain-lookup inside
dns domain-lookup outside
dns server-group DefaultDNS
name-server 195.xx.xx.xx
name-server 195.xx.xx.xx
domain-name test.ru
access-list outside_access_in extended permit tcp any host xx.xx.xx.xx eq smtp
access-list outside_access_in extended permit tcp any host xx.xx.xx.xx eq ssh
access-list outside_access_in extended permit tcp any host xx.xx.xx.xx eq https
access-list outside_access_in extended permit tcp any host xx.xx.xx.xx eq www
access-list dmz_access_in extended permit udp any any eq domain
access-list dmz_access_in extended permit udp any any eq sip
access-list dmz_access_in extended permit tcp any any eq smtp
access-list dmz_access_in extended permit tcp any any eq ssh
access-list dmz_access_in extended permit icmp any any
access-list dmz_access_in extended permit tcp any any eq https
access-list dmz_access_in extended permit tcp any any eq www
access-list inside_access_in extended permit ip any any
pager lines 24
logging enable
logging monitor informational
logging asdm informational
mtu inside 1500
mtu outside 1500
mtu dmz 1500
icmp unreachable rate-limit 1 burst-size 1
asdm image disk0:/asdm-61551.bin
no asdm history enable
arp timeout 14400
nat-control
global (outside) 1 interface
global (dmz) 1 interface
nat (inside) 1 0.0.0.0 0.0.0.0
nat (dmz) 1 0.0.0.0 0.0.0.0
static (dmz,outside) tcp interface ssh 192.168.188.5 ssh netmask 255.255.255.255
static (dmz,outside) tcp interface www 192.168.188.4 www netmask 255.255.255.255
static (dmz,outside) tcp interface https 192.168.188.4 https netmask 255.255.255.255
static (dmz,outside) tcp interface smtp 192.168.188.4 smtp netmask 255.255.255.255
static (dmz,inside) tcp xx.xx.xx.xx www 192.168.188.4 www netmask 255.255.255.255
http server enable
http 192.168.180.0 255.255.255.0 inside
no snmp-server location
no snmp-server contact
snmp-server enable traps snmp authentication linkup linkdown coldstart
crypto ipsec security-association lifetime seconds 28800
crypto ipsec security-association lifetime kilobytes 4608000
telnet 192.168.180.0 255.255.255.0 inside
telnet timeout 5
ssh timeout 5
console timeout 0
dhcp-client client-id interface outside
dhcpd auto_config outside
!

threat-detection basic-threat
threat-detection statistics port
threat-detection statistics protocol
threat-detection statistics access-list
no threat-detection statistics tcp-intercept
username user nopassword
!
class-map inspection_default
match default-inspection-traffic
!
!
policy-map type inspect dns preset_dns_map
parameters
  message-length maximum 512
policy-map global_policy
class inspection_default
  inspect dns preset_dns_map
  inspect ftp
  inspect h323 h225
  inspect h323 ras
  inspect rsh
  inspect rtsp
  inspect esmtp
  inspect sqlnet
  inspect skinny  
  inspect sunrpc
  inspect xdmcp
  inspect sip  
  inspect netbios
  inspect tftp
!
service-policy global_policy global
prompt hostname context
Cryptochecksu

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Помогите с пробросом Asterisk через CISCO ASA 5505."  +/
Сообщение от chocholl (??) on 25-Май-09, 17:16 
  inspect sip читай
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "Помогите с пробросом Asterisk через CISCO ASA 5505."  +/
Сообщение от Ишддш on 25-Май-09, 19:27 
>  inspect sip читай

можешь предложить рабочий конфиг?

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

3. "Помогите с пробросом Asterisk через CISCO ASA 5505."  +/
Сообщение от chocholl (??) on 26-Май-09, 08:10 
может ЗП мне переведешь? )

смысл в том, что при инспекции асой транслируется не только ip адрес твоего sip сервера, но и payload в замом протоколе SDP, который используется в частности для установки rtp соединения.
добавь в класс inspection_default в global_policy строчку inspect sip.

рабочий конфиг вещь сугубо индивидуальная.

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

4. "Помогите с пробросом Asterisk через CISCO ASA 5505."  +/
Сообщение от Billi on 26-Май-09, 10:17 
>может ЗП мне переведешь? )

мне ЗП уже 4 месяц не платят, живу подработкой, могу напоить пивом :-)

>смысл в том, что при инспекции асой транслируется не только ip адрес
>твоего sip сервера, но и payload в замом протоколе SDP, который
>используется в частности для установки rtp соединения.
>добавь в класс inspection_default в global_policy строчку inspect sip.

есть там эти строчки, но похоже что как раз из за него и не работает корректно регистрация на сипнете

сейчас хотим попробовать отключить inspect sip, и пробросить диапазон UDP портов, только незнаем как в PIX/ASA это реализуется (пробросить диапазон портов в DMZ)?

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

5. "Помогите с пробросом Asterisk через CISCO ASA 5505."  +/
Сообщение от chocholl (??) on 26-Май-09, 10:54 
легче пробросить весь адрес через static.

а пробовали ли выставлять в астериске (sip.conf) параметр external address (точное совпадение не гарантирую). этот параметр как-раз отвечает за работу SDP за натом.

ну и еще раз проверьте входящий access-list, рекомендую на время проведения экспериментов его убрать, так как порт входящий/исходящий выбирается динамически.


Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

6. "Помогите с пробросом Asterisk через CISCO ASA 5505."  +/
Сообщение от ural_sm (ok) on 26-Май-09, 12:34 
>легче пробросить весь адрес через static.
>

Ну или программным SIP клиентом попробовать выйти на сипнет.
У меня при инспекте SIP по дефолту коннект наружу был и  у астериска и Linksys.
Звонки наружу работали, только я входящий не тестировал.

Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

7. "Помогите с пробросом Asterisk через CISCO ASA 5505."  +/
Сообщение от Billi on 26-Май-09, 17:34 
>легче пробросить весь адрес через static.

в DMZ помимо астериска есть еще веб сервер, а внешний ИП один, поэтому весь ИП не могу

>а пробовали ли выставлять в астериске (sip.conf) параметр external address (точное совпадение
>не гарантирую). этот параметр как-раз отвечает за работу SDP за натом.

externip = xx.xx.xx.xx
установлен, с ним как раз и работало нормально с DLINKом, до установки ASA

>ну и еще раз проверьте входящий access-list, рекомендую на время проведения экспериментов
>его убрать, так как порт входящий/исходящий выбирается динамически.

сейчас отключили inspect sip, разрешили весь UDP, и пробросили UDP 5060 на астериск, и он нормально зарегистрировался на сипнете

интересует алгоритм работы NAT в ASA
в ASA также как у DLINK, в течение некоторого времени хранятся соответствия в таблице НАТ, и "ответные" пакеты в течение этого времени могут через НАТ попасть на астериск?

Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

8. "Помогите с пробросом Asterisk через CISCO ASA 5505."  +/
Сообщение от chocholl (??) on 26-Май-09, 18:19 
все несколько сложнее
http://www.cisco.com/en/US/products/ps6120/products_configur...
Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

10. "Помогите с пробросом Asterisk через CISCO ASA 5505."  +/
Сообщение от plohish (??) on 27-Май-09, 19:39 
>
>интересует алгоритм работы NAT в ASA
>в ASA также как у DLINK, в течение некоторого времени хранятся соответствия
>в таблице НАТ, и "ответные" пакеты в течение этого времени могут
>через НАТ попасть на астериск?

это называется stateful firewall, коим ASA является.

Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

9. "Помогите с пробросом Asterisk через CISCO ASA 5505."  +/
Сообщение от Billi on 27-Май-09, 15:50 
В итоге решил пока пробросить несколько портов, и как оказалось для нормально работы с сипнет достаточно было присутствия строк:
...
access-list dmz_access_in extended permit udp any any eq sip
access-list dmz_access_in extended permit udp any range 10000 10010 any
...
static (dmz,outside) udp interface sip 192.168.188.5 sip netmask 255.255.255.255
static (dmz,outside) udp interface 10000 192.168.188.5 10000 netmask 255.255.255.255
static (dmz,outside) udp interface 10001 192.168.188.5 10001 netmask 255.255.255.255
static (dmz,outside) udp interface 10002 192.168.188.5 10002 netmask 255.255.255.255
static (dmz,outside) udp interface 10003 192.168.188.5 10003 netmask 255.255.255.255
static (dmz,outside) udp interface 10004 192.168.188.5 10004 netmask 255.255.255.255
static (dmz,outside) udp interface 10005 192.168.188.5 10005 netmask 255.255.255.255
static (dmz,outside) udp interface 10006 192.168.188.5 10006 netmask 255.255.255.255
static (dmz,outside) udp interface 10007 192.168.188.5 10007 netmask 255.255.255.255
static (dmz,outside) udp interface 10008 192.168.188.5 10008 netmask 255.255.255.255
static (dmz,outside) udp interface 10009 192.168.188.5 10009 netmask 255.255.255.255
static (dmz,outside) udp interface 10010 192.168.188.5 10010 netmask 255.255.255.255
...

включение/отключение испектирования (inspect sip) в моем случае никак не сказалось на работе с сипнет
никаких дополнительных правил касательно sip в outside_access_in тоже не понадобилось
соответственно в rtp.conf был вписан диапазон портов rtpstart=10000 rtpend=10009

Большое спасибо всем за рекомендации!
Особенное спасибо chocholl, за его выдержку и помощь!

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

11. "Помогите с пробросом Asterisk через CISCO ASA 5505."  +/
Сообщение от Zafar Djurayev email on 19-Апр-17, 00:33 
>[оверквотинг удален]
> static (dmz,outside) udp interface 10008 192.168.188.5 10008 netmask 255.255.255.255
> static (dmz,outside) udp interface 10009 192.168.188.5 10009 netmask 255.255.255.255
> static (dmz,outside) udp interface 10010 192.168.188.5 10010 netmask 255.255.255.255
> ...
> включение/отключение испектирования (inspect sip) в моем случае никак не сказалось на работе
> с сипнет
> никаких дополнительных правил касательно sip в outside_access_in тоже не понадобилось
> соответственно в rtp.conf был вписан диапазон портов rtpstart=10000 rtpend=10009
> Большое спасибо всем за рекомендации!
> Особенное спасибо chocholl, за его выдержку и помощь!

Доброе времени суток. В моем случае тоже не помогло ничего кроме вашего решения! просто хотел сказать спасибо)).

Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Спонсоры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2022 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру