Я пытался прочитать много документов о запуске VoIP-системы за маршрутизатором NAT, выходящей в Интернет, а затем обратно через выделенное соединение для VoIP-сервера. Мои исследования ни к чему не привели.
Я унаследовал установку, где все оборудование VoIP-сервера находится в собственной сети с выделенным ADSL-подключением. Телефоны из любой точки Интернета работают! Моя проблема в том, что извнутри моей сети.
Я попробовал обычные действия по устранению неполадок: перезагрузку маршрутизатора, отключение брандмауэра, изменение портов, к которым я подключаю IP-телефоны, но ничего из этого не помогло.
Мы используем серверы Linux в качестве маршрутизаторов и iptablesбрандмауэра. Политики по умолчанию — ОТБРАСЫВАТЬ пакеты, которые не соответствуют, но проблема сохраняется, даже когда я говорю им ПРИНЯТЬ. Запуск выводит tcpdump -ni eth1 host 192.168.0.89следующее, когда телефон пытается подключиться:
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on eth1, link-type EN10MB (Ethernet), capture size 65535 bytes
13:45:24.487637 ARP, Request who-has 192.168.0.89 tell 192.168.0.89, length 46
13:45:33.285767 ARP, Request who-has 192.168.0.89 tell 192.168.0.89, length 46
13:45:43.333432 ARP, Request who-has 192.168.0.89 tell 0.0.0.0, length 46
13:45:49.331224 ARP, Reply 192.168.0.89 is-at 00:15:b7:48:04:cd, length 46
13:45:49.337216 ARP, Request who-has 192.168.0.89 tell 192.168.0.89, length 46
13:45:49.341575 ARP, Request who-has 192.168.0.89 tell 192.168.0.89, length 46
13:45:49.444252 ARP, Request who-has 192.168.0.89 tell 192.168.0.89, length 46
13:45:49.612308 ARP, Request who-has 192.168.0.3 tell 192.168.0.89, length 46
13:45:49.612319 ARP, Reply 192.168.0.3 is-at 00:22:b0:70:9a:eb, length 28
13:45:49.613504 IP 192.168.0.89.50138 > xxx.xxx.xxx.xxx.1719: UDP, length 125
13:45:49.631597 IP xxx.xxx.xxx.xxx > 192.168.0.89: ICMP host 216.57.190.87 unreachable - admin prohibited filter, length 36
Это xxx.xxx.xxx.xxxпубличный IP-адрес VoIP-сервера (отличного от нашего основного провайдера). Если я пропущу свой сервер и подключу телефон напрямую к нашему интернет-соединению (у нас есть подсеть /24), он подключится очень быстро. Если он находится за любым из наших серверов, он остановится на этой части рукопожатия. Я пробовал на разных шлюзах, эффект тот же.
Изнутри моей сети я могу RDP войти в систему управления, пинговать сервер и т. д. Я просто не могу подключить свои телефоны. Когда я выгружаю свой iptablesout, так что все установлено на ACCEPT, он все равно не подключается.
Куда мне еще обратиться, чтобы заставить эти телефоны работать? Раньше они работали, но теперь нет; вернуться к старой конфигурации невозможно, так как резервные копии хранятся всего 3 месяца.
решение1
Эта проблема была устранена внутри компании. Наш уполномоченный правительством интернет-провайдер «не мог обрабатывать трафик в стиле SIP и RTP», поэтому я создал новую VLAN. Порты на коммутаторах разрешали ТЕГИРОВАННЫЙ трафик либо в man LAN VLAN, либо в VoIP VLAN, а немаркированный порт — в телефонную систему.
Затем на каждом VoIP-телефоне я мог бы отдельно помечать голосовой трафик и компьютерный трафик.