Помогите с пробросом Asterisk через CISCO ASA 5505., Billi, 25-Май-09, 15:33 [смотреть все]Добрый день! Прошу помощи в настройке CISCO ASA 5505.Нужно для астериска разрешить протокол SIP (UDP) (что то типа аналога правил add pass udp from any to any 5060,9999-20001 keepstate) хх.хх.хх.хх - реальный ИП адрес Сеть выглядит так: Asterisk(192.168.188.5)---| --- Www(192.168.188.4)------|-(192.168.188.1)-| | |ASA|-(xx.xx.xx.xx) Lan(192.168.180.78)-------(192.168.180.1)---| | --- Проблема в том что через простой маршрутизатор с NAT (DFL-100) Астериск нормально регистрируется на sipnet.ru, принимает звонки, и передает голосовые данные. При переключении на циску, пишет что на sipnet.ru зарегистировался но при этом ни какие звонки принимать не хочет, ну а до передачи голоса дело даже не доходит. Циску я не администрирую, и не разбираюсь в ней, с админом циски пока связи нет, но есть конфиг. Интересует правильно ли настроен НАТ? Пакеты идущие с астериска проходят один НАТ или два? Есть ли в данном конфиге возможность прохода обратных пакетов UDP (keepstate)? Нужно ли в данном конфиге подобно как в PIX делать no fixup protocol sip 5060 no fixup protocol sip udp 5060? Возможно кто нибудь знает пример конфигурации CISCO ASA для проброски Астериска? Заранее спасибо! name 192.168.180.78 proxy ! interface Vlan1 nameif inside security-level 100 ip address 192.168.180.1 255.255.255.0 ! interface Vlan2 mac-address 000f.3de9.361a nameif outside security-level 0 ip address dhcp setroute ! interface Vlan12 no forward interface Vlan1 nameif dmz security-level 50 ip address 192.168.188.1 255.255.255.0 ! interface Ethernet0/0 switchport access vlan 2 ! interface Ethernet0/1 switchport access vlan 12 ! interface Ethernet0/2 ! interface Ethernet0/3 switchport access vlan 12 ! interface Ethernet0/4 ! interface Ethernet0/5 ! interface Ethernet0/6 ! interface Ethernet0/7 ! boot system disk0:/asa804-k8.bin ftp mode passive dns domain-lookup inside dns domain-lookup outside dns server-group DefaultDNS name-server 195.xx.xx.xx name-server 195.xx.xx.xx domain-name test.ru access-list outside_access_in extended permit tcp any host xx.xx.xx.xx eq smtp access-list outside_access_in extended permit tcp any host xx.xx.xx.xx eq ssh access-list outside_access_in extended permit tcp any host xx.xx.xx.xx eq https access-list outside_access_in extended permit tcp any host xx.xx.xx.xx eq www access-list dmz_access_in extended permit udp any any eq domain access-list dmz_access_in extended permit udp any any eq sip access-list dmz_access_in extended permit tcp any any eq smtp access-list dmz_access_in extended permit tcp any any eq ssh access-list dmz_access_in extended permit icmp any any access-list dmz_access_in extended permit tcp any any eq https access-list dmz_access_in extended permit tcp any any eq www access-list inside_access_in extended permit ip any any pager lines 24 logging enable logging monitor informational logging asdm informational mtu inside 1500 mtu outside 1500 mtu dmz 1500 icmp unreachable rate-limit 1 burst-size 1 asdm image disk0:/asdm-61551.bin no asdm history enable arp timeout 14400 nat-control global (outside) 1 interface global (dmz) 1 interface nat (inside) 1 0.0.0.0 0.0.0.0 nat (dmz) 1 0.0.0.0 0.0.0.0 static (dmz,outside) tcp interface ssh 192.168.188.5 ssh netmask 255.255.255.255 static (dmz,outside) tcp interface www 192.168.188.4 www netmask 255.255.255.255 static (dmz,outside) tcp interface https 192.168.188.4 https netmask 255.255.255.255 static (dmz,outside) tcp interface smtp 192.168.188.4 smtp netmask 255.255.255.255 static (dmz,inside) tcp xx.xx.xx.xx www 192.168.188.4 www netmask 255.255.255.255 http server enable http 192.168.180.0 255.255.255.0 inside no snmp-server location no snmp-server contact snmp-server enable traps snmp authentication linkup linkdown coldstart crypto ipsec security-association lifetime seconds 28800 crypto ipsec security-association lifetime kilobytes 4608000 telnet 192.168.180.0 255.255.255.0 inside telnet timeout 5 ssh timeout 5 console timeout 0 dhcp-client client-id interface outside dhcpd auto_config outside !
threat-detection basic-threat threat-detection statistics port threat-detection statistics protocol threat-detection statistics access-list no threat-detection statistics tcp-intercept username user nopassword ! class-map inspection_default match default-inspection-traffic ! ! policy-map type inspect dns preset_dns_map parameters message-length maximum 512 policy-map global_policy class inspection_default inspect dns preset_dns_map inspect ftp inspect h323 h225 inspect h323 ras inspect rsh inspect rtsp inspect esmtp inspect sqlnet inspect skinny inspect sunrpc inspect xdmcp inspect sip inspect netbios inspect tftp ! service-policy global_policy global prompt hostname context Cryptochecksu
|
- Помогите с пробросом Asterisk через CISCO ASA 5505., chocholl, 17:16 , 25-Май-09 (1)
- Помогите с пробросом Asterisk через CISCO ASA 5505., Ишддш, 19:27 , 25-Май-09 (2)
> inspect sip читай можешь предложить рабочий конфиг?
- Помогите с пробросом Asterisk через CISCO ASA 5505., chocholl, 08:10 , 26-Май-09 (3)
может ЗП мне переведешь? )смысл в том, что при инспекции асой транслируется не только ip адрес твоего sip сервера, но и payload в замом протоколе SDP, который используется в частности для установки rtp соединения. добавь в класс inspection_default в global_policy строчку inspect sip. рабочий конфиг вещь сугубо индивидуальная.
- Помогите с пробросом Asterisk через CISCO ASA 5505., Billi, 10:17 , 26-Май-09 (4)
>может ЗП мне переведешь? ) мне ЗП уже 4 месяц не платят, живу подработкой, могу напоить пивом :-) >смысл в том, что при инспекции асой транслируется не только ip адрес >твоего sip сервера, но и payload в замом протоколе SDP, который >используется в частности для установки rtp соединения. >добавь в класс inspection_default в global_policy строчку inspect sip. есть там эти строчки, но похоже что как раз из за него и не работает корректно регистрация на сипнете сейчас хотим попробовать отключить inspect sip, и пробросить диапазон UDP портов, только незнаем как в PIX/ASA это реализуется (пробросить диапазон портов в DMZ)?
- Помогите с пробросом Asterisk через CISCO ASA 5505., chocholl, 10:54 , 26-Май-09 (5)
легче пробросить весь адрес через static.а пробовали ли выставлять в астериске (sip.conf) параметр external address (точное совпадение не гарантирую). этот параметр как-раз отвечает за работу SDP за натом. ну и еще раз проверьте входящий access-list, рекомендую на время проведения экспериментов его убрать, так как порт входящий/исходящий выбирается динамически.
- Помогите с пробросом Asterisk через CISCO ASA 5505., ural_sm, 12:34 , 26-Май-09 (6)
>легче пробросить весь адрес через static. >Ну или программным SIP клиентом попробовать выйти на сипнет. У меня при инспекте SIP по дефолту коннект наружу был и у астериска и Linksys. Звонки наружу работали, только я входящий не тестировал. - Помогите с пробросом Asterisk через CISCO ASA 5505., Billi, 17:34 , 26-Май-09 (7)
>легче пробросить весь адрес через static. в DMZ помимо астериска есть еще веб сервер, а внешний ИП один, поэтому весь ИП не могу >а пробовали ли выставлять в астериске (sip.conf) параметр external address (точное совпадение >не гарантирую). этот параметр как-раз отвечает за работу SDP за натом. externip = xx.xx.xx.xx установлен, с ним как раз и работало нормально с DLINKом, до установки ASA >ну и еще раз проверьте входящий access-list, рекомендую на время проведения экспериментов >его убрать, так как порт входящий/исходящий выбирается динамически. сейчас отключили inspect sip, разрешили весь UDP, и пробросили UDP 5060 на астериск, и он нормально зарегистрировался на сипнете интересует алгоритм работы NAT в ASA в ASA также как у DLINK, в течение некоторого времени хранятся соответствия в таблице НАТ, и "ответные" пакеты в течение этого времени могут через НАТ попасть на астериск?
- Помогите с пробросом Asterisk через CISCO ASA 5505., Billi, 15:50 , 27-Май-09 (9)
В итоге решил пока пробросить несколько портов, и как оказалось для нормально работы с сипнет достаточно было присутствия строк: ... access-list dmz_access_in extended permit udp any any eq sip access-list dmz_access_in extended permit udp any range 10000 10010 any ... static (dmz,outside) udp interface sip 192.168.188.5 sip netmask 255.255.255.255 static (dmz,outside) udp interface 10000 192.168.188.5 10000 netmask 255.255.255.255 static (dmz,outside) udp interface 10001 192.168.188.5 10001 netmask 255.255.255.255 static (dmz,outside) udp interface 10002 192.168.188.5 10002 netmask 255.255.255.255 static (dmz,outside) udp interface 10003 192.168.188.5 10003 netmask 255.255.255.255 static (dmz,outside) udp interface 10004 192.168.188.5 10004 netmask 255.255.255.255 static (dmz,outside) udp interface 10005 192.168.188.5 10005 netmask 255.255.255.255 static (dmz,outside) udp interface 10006 192.168.188.5 10006 netmask 255.255.255.255 static (dmz,outside) udp interface 10007 192.168.188.5 10007 netmask 255.255.255.255 static (dmz,outside) udp interface 10008 192.168.188.5 10008 netmask 255.255.255.255 static (dmz,outside) udp interface 10009 192.168.188.5 10009 netmask 255.255.255.255 static (dmz,outside) udp interface 10010 192.168.188.5 10010 netmask 255.255.255.255 ...включение/отключение испектирования (inspect sip) в моем случае никак не сказалось на работе с сипнет никаких дополнительных правил касательно sip в outside_access_in тоже не понадобилось соответственно в rtp.conf был вписан диапазон портов rtpstart=10000 rtpend=10009 Большое спасибо всем за рекомендации! Особенное спасибо chocholl, за его выдержку и помощь!
- Помогите с пробросом Asterisk через CISCO ASA 5505., Zafar Djurayev, 00:33 , 19-Апр-17 (11)
>[оверквотинг удален] > static (dmz,outside) udp interface 10008 192.168.188.5 10008 netmask 255.255.255.255 > static (dmz,outside) udp interface 10009 192.168.188.5 10009 netmask 255.255.255.255 > static (dmz,outside) udp interface 10010 192.168.188.5 10010 netmask 255.255.255.255 > ... > включение/отключение испектирования (inspect sip) в моем случае никак не сказалось на работе > с сипнет > никаких дополнительных правил касательно sip в outside_access_in тоже не понадобилось > соответственно в rtp.conf был вписан диапазон портов rtpstart=10000 rtpend=10009 > Большое спасибо всем за рекомендации! > Особенное спасибо chocholl, за его выдержку и помощь!Доброе времени суток. В моем случае тоже не помогло ничего кроме вашего решения! просто хотел сказать спасибо)).
|