форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка

Вариант для распечатки		Пред. тема | След. тема
Форум Маршрутизаторы CISCO и др. оборудование. (VoIP)
Изначальное сообщение		[ Отслеживать ]

"CCM9 nat односторонняя слышимость за NAT"	+/–
Сообщение от Николай (??) on 20-Янв-14, 19:38
Добрый день! Имеется сеть НО (10.128.0.0/16) и удаленная сеть SOHO(10.0.0.0/24) Между сетями ВПН + NAT (сеть 10.0.0.0/24 натиться в IP 10.128.3.246 ). SOHO(10.0.0.0.24)<=NAT=>HO(10.128.0.0/16) В сети НО находиться ССМ9, в удаленной сети телефон 7940 регается по SCCP на ССМ9. Проблема - когда телефон звонит на внутренний номер HО (10.128.0.0/16), идет односторонняя слышимость - с НО слышно удаленный офис, но удаленный офис не слышит HО. Сняли дамп - нашли интересную вещь: трафик от удаленного офиса проходит НАТ и поток идет с src IP 10.128.3.246 но вот когда локальный телефон в НО отправляет RTP то вместо dest IP 10.128.3.246 сессия строиться на dest IP 10.0.0.2 (это ИП удаленной сети и за НАт их вообще не должно быть видно).  Подозреваю что в ССМ9 появилось некоторое поле которое говорит о реальном ИП на телефоне в удаленной сети. Что это за поле? Как с этим бороться? До этого схема отлично работала на ССМ4 - таких проблем не было.
Ответить | Правка | Cообщить модератору

Сообщения по теме

[Сортировка по времени | RSS]

1. "CCM9 nat односторонняя слышимость за NAT"	+/–
Сообщение от ShyLion (ok) on 21-Янв-14, 07:21
На 4 тоже по SCCP регался? Какой шлюз делает NAT?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "CCM9 nat односторонняя слышимость за NAT"	+/–
Сообщение от mdenisov (ok) on 21-Янв-14, 09:38
Так и не должно работать. Вернее, ели RTP между двумя терминалами будет идти без NAT'а, все будет жить. Как только произойдет NAT, слышно не будет. В SCCP есть команда установить RTP на определенный адрес и порт, соответственно, терминал бедрет концы оттуда. Как вы понимаете, NAT без ALG ничего там не поменяет. Существует Phone Proxy, SSL VPN, поднимается на ASA. В UCM можете посмотреть какие терминалы это поддерживают.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	3. "CCM9 nat односторонняя слышимость за NAT"	+/–
	Сообщение от Николай (??) on 21-Янв-14, 12:01
	> Так и не должно работать. Вернее, ели RTP между двумя терминалами будет > идти без NAT'а, все будет жить. Как только произойдет NAT, слышно > не будет. В SCCP есть команда установить RTP на определенный адрес > и порт, соответственно, терминал бедрет концы оттуда. Как вы понимаете, NAT > без ALG ничего там не поменяет. > Существует Phone Proxy, SSL VPN, поднимается на ASA. В UCM можете посмотреть > какие терминалы это поддерживают. Без НАТ-а все понятно это обычный роутинг. НАТ отрабатывает, поскольку если бы удаленный RTP трафик был "не правильно отНАТен" в сторону НО, то абонент в НО удаленную сторону просто не услышал бы. >В SCCP есть команда установить RTP на определенный адрес > и порт Это где именно есть такая команда (не воип терминале, ССМ, НАТ железке)? Прочитал ТАС-и наткнулся на статью https://supportforums.cisco.com/docs/DOC-8131 Support for SCCPv17 was added to IOS Zone-Based Firewall via CSCso53203 Support IOS FW interopreability with CUCM 7.0 running SCCP v17 starting with versions 12.4(20)T1 У меня ИОС 124-15.T13 - судя по всему не умеет он правильно инспектировать SCCP v17. Решение как work around - залили SIP прошивку. Уточню это схема конечно не для всего предприятия, а скорее как исключение из правил.
	Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

	4. "CCM9 nat односторонняя слышимость за NAT"	+/–
	Сообщение от mdenisov (ok) on 21-Янв-14, 15:52
	> Без НАТ-а все понятно это обычный роутинг. НАТ отрабатывает, поскольку если бы > удаленный RTP трафик был "не правильно отНАТен" в сторону НО, то > абонент в НО удаленную сторону просто не услышал бы. Перечитал внимательнее первое сообщение, не знал что SCCP телефоны вообще могут нормально кидать RTP через NAT. Что у вас делает NAT? Похоже что ALG работает только в одну сторону. >>В SCCP есть команда установить RTP на определенный адрес >> и порт > Это где именно есть такая команда (не воип терминале, ССМ, НАТ железке)? Ну не совсем команда, скорее сообщение SCCP. Посмотрите в дампе на адреса из open receive channel ack и start media. А для чего такое вообще делать, почему бы не избавиться от NAT'а? В край можно вместо 7940 взять 7941, который умеет сам по себе быть vpn client'ом. Отпишите чем все кончится, а то я думал что SCCP дальше развиваться некуда, а оказывается не совсем так.
	Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема