Добрый день!
Прошу помощи в настройке CISCO ASA 5505.Нужно для астериска разрешить протокол SIP (UDP)
(что то типа аналога правил add pass udp from any to any 5060,9999-20001 keepstate)
хх.хх.хх.хх - реальный ИП адрес
Сеть выглядит так:
Asterisk(192.168.188.5)---| ---
Www(192.168.188.4)------|-(192.168.188.1)-| |
|ASA|-(xx.xx.xx.xx)
Lan(192.168.180.78)-------(192.168.180.1)---| |
---
Проблема в том что через простой маршрутизатор с NAT (DFL-100) Астериск нормально регистрируется на sipnet.ru, принимает звонки, и передает голосовые данные.
При переключении на циску, пишет что на sipnet.ru зарегистировался но при этом ни какие звонки принимать не хочет, ну а до передачи голоса дело даже не доходит.
Циску я не администрирую, и не разбираюсь в ней, с админом циски пока связи нет, но есть конфиг.
Интересует правильно ли настроен НАТ?
Пакеты идущие с астериска проходят один НАТ или два?
Есть ли в данном конфиге возможность прохода обратных пакетов UDP (keepstate)?
Нужно ли в данном конфиге подобно как в PIX делать no fixup protocol sip 5060 no fixup protocol sip udp 5060?
Возможно кто нибудь знает пример конфигурации CISCO ASA для проброски Астериска?
Заранее спасибо!
name 192.168.180.78 proxy
!
interface Vlan1
nameif inside
security-level 100
ip address 192.168.180.1 255.255.255.0
!
interface Vlan2
mac-address 000f.3de9.361a
nameif outside
security-level 0
ip address dhcp setroute
!
interface Vlan12
no forward interface Vlan1
nameif dmz
security-level 50
ip address 192.168.188.1 255.255.255.0
!
interface Ethernet0/0
switchport access vlan 2
!
interface Ethernet0/1
switchport access vlan 12
!
interface Ethernet0/2
!
interface Ethernet0/3
switchport access vlan 12
!
interface Ethernet0/4
!
interface Ethernet0/5
!
interface Ethernet0/6
!
interface Ethernet0/7
!
boot system disk0:/asa804-k8.bin
ftp mode passive
dns domain-lookup inside
dns domain-lookup outside
dns server-group DefaultDNS
name-server 195.xx.xx.xx
name-server 195.xx.xx.xx
domain-name test.ru
access-list outside_access_in extended permit tcp any host xx.xx.xx.xx eq smtp
access-list outside_access_in extended permit tcp any host xx.xx.xx.xx eq ssh
access-list outside_access_in extended permit tcp any host xx.xx.xx.xx eq https
access-list outside_access_in extended permit tcp any host xx.xx.xx.xx eq www
access-list dmz_access_in extended permit udp any any eq domain
access-list dmz_access_in extended permit udp any any eq sip
access-list dmz_access_in extended permit tcp any any eq smtp
access-list dmz_access_in extended permit tcp any any eq ssh
access-list dmz_access_in extended permit icmp any any
access-list dmz_access_in extended permit tcp any any eq https
access-list dmz_access_in extended permit tcp any any eq www
access-list inside_access_in extended permit ip any any
pager lines 24
logging enable
logging monitor informational
logging asdm informational
mtu inside 1500
mtu outside 1500
mtu dmz 1500
icmp unreachable rate-limit 1 burst-size 1
asdm image disk0:/asdm-61551.bin
no asdm history enable
arp timeout 14400
nat-control
global (outside) 1 interface
global (dmz) 1 interface
nat (inside) 1 0.0.0.0 0.0.0.0
nat (dmz) 1 0.0.0.0 0.0.0.0
static (dmz,outside) tcp interface ssh 192.168.188.5 ssh netmask 255.255.255.255
static (dmz,outside) tcp interface www 192.168.188.4 www netmask 255.255.255.255
static (dmz,outside) tcp interface https 192.168.188.4 https netmask 255.255.255.255
static (dmz,outside) tcp interface smtp 192.168.188.4 smtp netmask 255.255.255.255
static (dmz,inside) tcp xx.xx.xx.xx www 192.168.188.4 www netmask 255.255.255.255
http server enable
http 192.168.180.0 255.255.255.0 inside
no snmp-server location
no snmp-server contact
snmp-server enable traps snmp authentication linkup linkdown coldstart
crypto ipsec security-association lifetime seconds 28800
crypto ipsec security-association lifetime kilobytes 4608000
telnet 192.168.180.0 255.255.255.0 inside
telnet timeout 5
ssh timeout 5
console timeout 0
dhcp-client client-id interface outside
dhcpd auto_config outside
!
threat-detection basic-threat
threat-detection statistics port
threat-detection statistics protocol
threat-detection statistics access-list
no threat-detection statistics tcp-intercept
username user nopassword
!
class-map inspection_default
match default-inspection-traffic
!
!
policy-map type inspect dns preset_dns_map
parameters
message-length maximum 512
policy-map global_policy
class inspection_default
inspect dns preset_dns_map
inspect ftp
inspect h323 h225
inspect h323 ras
inspect rsh
inspect rtsp
inspect esmtp
inspect sqlnet
inspect skinny
inspect sunrpc
inspect xdmcp
inspect sip
inspect netbios
inspect tftp
!
service-policy global_policy global
prompt hostname context
Cryptochecksu
Вариант для распечатки
on 19-Апр-17, 00:33 
