 CCM9 nat односторонняя слышимость за NAT,  Николай, 20-Янв-14, 19:38 [смотреть все]Добрый день!Имеется сеть НО (10.128.0.0/16) и удаленная сеть SOHO(10.0.0.0/24) Между сетями ВПН + NAT (сеть 10.0.0.0/24 натиться в IP 10.128.3.246 ). SOHO(10.0.0.0.24)<=NAT=>HO(10.128.0.0/16) В сети НО находиться ССМ9, в удаленной сети телефон 7940 регается по SCCP на ССМ9. Проблема - когда телефон звонит на внутренний номер HО (10.128.0.0/16), идет односторонняя слышимость - с НО слышно удаленный офис, но удаленный офис не слышит HО. Сняли дамп - нашли интересную вещь: трафик от удаленного офиса проходит НАТ и поток идет с src IP 10.128.3.246 но вот когда локальный телефон в НО отправляет RTP то вместо dest IP 10.128.3.246 сессия строиться на dest IP 10.0.0.2 (это ИП удаленной сети и за НАт их вообще не должно быть видно). Подозреваю что в ССМ9 появилось некоторое поле которое говорит о реальном ИП на телефоне в удаленной сети.
Что это за поле? Как с этим бороться? До этого схема отлично работала на ССМ4 - таких проблем не было.
|
- CCM9 nat односторонняя слышимость за NAT, ShyLion, 07:21 , 21-Янв-14 (1)
На 4 тоже по SCCP регался? Какой шлюз делает NAT? - CCM9 nat односторонняя слышимость за NAT, mdenisov, 09:38 , 21-Янв-14 (2)
Так и не должно работать. Вернее, ели RTP между двумя терминалами будет идти без NAT'а, все будет жить. Как только произойдет NAT, слышно не будет. В SCCP есть команда установить RTP на определенный адрес и порт, соответственно, терминал бедрет концы оттуда. Как вы понимаете, NAT без ALG ничего там не поменяет.
Существует Phone Proxy, SSL VPN, поднимается на ASA. В UCM можете посмотреть какие терминалы это поддерживают.
- CCM9 nat односторонняя слышимость за NAT, Николай, 12:01 , 21-Янв-14 (3)
> Так и не должно работать. Вернее, ели RTP между двумя терминалами будет
> идти без NAT'а, все будет жить. Как только произойдет NAT, слышно
> не будет. В SCCP есть команда установить RTP на определенный адрес
> и порт, соответственно, терминал бедрет концы оттуда. Как вы понимаете, NAT
> без ALG ничего там не поменяет.
> Существует Phone Proxy, SSL VPN, поднимается на ASA. В UCM можете посмотреть
> какие терминалы это поддерживают.Без НАТ-а все понятно это обычный роутинг. НАТ отрабатывает, поскольку если бы удаленный RTP трафик был "не правильно отНАТен" в сторону НО, то абонент в НО удаленную сторону просто не услышал бы.
>В SCCP есть команда установить RTP на определенный адрес
> и порт Это где именно есть такая команда (не воип терминале, ССМ, НАТ железке)? Прочитал ТАС-и наткнулся на статью https://supportforums.cisco.com/docs/DOC-8131 Support for SCCPv17 was added to IOS Zone-Based Firewall via
CSCso53203 Support IOS FW interopreability with CUCM 7.0 running SCCP v17
starting with versions 12.4(20)T1 У меня ИОС 124-15.T13 - судя по всему не умеет он правильно инспектировать SCCP v17.
Решение как work around - залили SIP прошивку. Уточню это схема конечно не для всего предприятия, а скорее как исключение из правил.
- CCM9 nat односторонняя слышимость за NAT, mdenisov, 15:52 , 21-Янв-14 (4)
> Без НАТ-а все понятно это обычный роутинг. НАТ отрабатывает, поскольку если бы
> удаленный RTP трафик был "не правильно отНАТен" в сторону НО, то
> абонент в НО удаленную сторону просто не услышал бы.Перечитал внимательнее первое сообщение, не знал что SCCP телефоны вообще могут нормально кидать RTP через NAT. Что у вас делает NAT? Похоже что ALG работает только в одну сторону. >>В SCCP есть команда установить RTP на определенный адрес
>> и порт
> Это где именно есть такая команда (не воип терминале, ССМ, НАТ железке)? Ну не совсем команда, скорее сообщение SCCP. Посмотрите в дампе на адреса из open receive channel ack и start media. А для чего такое вообще делать, почему бы не избавиться от NAT'а? В край можно вместо 7940 взять 7941, который умеет сам по себе быть vpn client'ом.
Отпишите чем все кончится, а то я думал что SCCP дальше развиваться некуда, а оказывается не совсем так.
|
Версия для распечатки
