ESR-200 NAT ALG SIP

krl · Сообщение **krl** » 27 июл 2018 09:42

Добрый день!
Не удается настроить трансляцию адресов источника для протокола SIP на маршрутизаторе ESR-200.
Сделал по инструкции из центра поддержки:

Настройка NAT ALG: ip firewall sessions tracking ftp
ip firewall sessions tracking sip
nat alg ftp
nat alg sip
Теперь NAT будет отрабатывать и для внутренних заголовков

так не получается. Вот наша не работающая конфигурация:

Код: Выделить всё

ip firewall sessions counters
ip firewall sessions allow-unknown

ip firewall sessions tcp-estabilished-timeout 86400

ip firewall sessions tracking sip

object-group network voip_client
  ip address-range 10.62.251.10
  ip address-range 10.62.251.11
exit

interface gigabitethernet 1/0/2
  description "PANASONIC-LAN"
  security-zone trusted
  ip address 10.62.251.32/24
  ipv6 enable
exit

interface gigabitethernet 1/0/4
  description "ISP-VOIP"
  security-zone voip
  ip address 10.251.129.121/30
exit

nat source
  pool VOIP
    ip address-range 10.251.129.121
  exit
  ruleset SNAT_VOIP
    to zone voip
    rule 10
      match source-address voip_client
      match destination-address any
      action source-nat pool VOIP
      enable
    exit
  exit
exit

nat alg sip

ip route <ISP ADDRESS>/32 10.251.129.122

АТС (Panasonic) расположена в локальной сети. SIP-сессия до провайдера устанавливается, вызов с внутреннего аппарата на внешний номер проходит, НО звук не проходит в обе стороны.
Вот содержание SIP-сессии, снятое на внешнем интерфейсе маршрутизатора со стороны провайдера (прошу прощения за большой текст):

Код: Выделить всё

INVITE sip:89XXXXXXXXX@<ISP ADDRESSSIP/2.0
Via: SIP/2.0/UDP 10.251.129.121:35060;branch=z9hG4bK00007320;rport
Max-Forwards: 70
To: sip:89XXXXXXXXX@<ISP ADDRESS
From: "....... ...." <sip:9XXXXX@<ISP ADDRESS;tag=1700
Call-ID: 00003a88-dd58705e55e610009b6a0080f0bcde76@10.62.251.10
CSeq: 2 INVITE
Contact: sip:9XXXXX@10.251.129.121:35060
Supported: timer,100rel
Authorization: Digest realm="<ISP ADDRESS", nonce="xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx", algorithm=MD5, qop=auth, cnonce="00002E00", nc=00000001, uri="sip:89XXXXXXXXX@<ISP ADDRESS", username="9XXXXX", response="xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx"
Session-Expires: 180
Allow: INVITE,ACK,CANCEL,BYE,PRACK,OPTIONS,REGISTER,INFO,NOTIFY,UPDATE
Content-Type: application/sdp
User-Agent: Panasonic-MPR07-V8.0102/VSIPGW-V2.3002
Content-Length: 212

v=0
o=- 1 1 IN IP4 10.62.251.11
s=-
c=IN IP4 10.62.251.11
t=0 0
m=audio 12122 RTP/AVP 8 101
a=rtpmap:8 PCMA/8000/1
a=rtpmap:101 telephone-event/8000
a=fmtp:101 0-15
a=sendrecv
a=ptime:20
a=rtcp:12123

SIP/2.0 100 Trying
Via: SIP/2.0/UDP 10.251.129.121:35060;received=10.251.129.121;branch=z9hG4bK00007320;rport=35060
To: <sip:89XXXXXXXXX@<ISP ADDRESS;tag=153258415500215C22
From: <sip:9XXXXX@<ISP ADDRESS;tag=1700
Contact: <sip:89XXXXXXXXX@<ISP ADDRESS:5060
Call-ID: 00003a88-dd58705e55e610009b6a0080f0bcde76@10.62.251.10
CSeq: 2 INVITE
Content-Length: 0

SIP/2.0 180 Ringing
Via: SIP/2.0/UDP 10.251.129.121:35060;received=10.251.129.121;branch=z9hG4bK00007320;rport=35060
To: <sip:89XXXXXXXXX@<ISP ADDRESS;tag=153258415500215C22
From: <sip:9XXXXX@<ISP ADDRESS;tag=1700
Contact: <sip:89XXXXXXXXX@<ISP ADDRESS:5060
Call-ID: 00003a88-dd58705e55e610009b6a0080f0bcde76@10.62.251.10
CSeq: 2 INVITE
RSeq: 25
Content-Type: application/sdp
Content-Length: 244
Allow: INVITE,CANCEL,ACK,BYE,INFO,PRACK,UPDATE,NOTIFY,MESSAGE,REFER,OPTIONS
Require: 100rel

v=0
o=ngn 1532584160 1532584876 IN IP4 <ISP ADDRESS
s=ngn
c=IN IP4 <ISP ADDRESS
t=0 0
m=audio 23940 RTP/AVP 8 101 18 4
a=rtpmap:8 pcma/8000
a=rtpmap:101 telephone-event/8000
a=fmtp:101 0-15
a=rtpmap:18 G729/8000
a=rtpmap:4 G723/8000

PRACK sip:89XXXXXXXXX@<ISP ADDRESS:5060 SIP/2.0
Via: SIP/2.0/UDP 10.251.129.121:35060;branch=z9hG4bK000030ab;rport
Max-Forwards: 70
To: sip:89XXXXXXXXX@<ISP ADDRESS;tag=153258415500215C22
From: "....... ...." <sip:9XXXXX@<ISP ADDRESS;tag=1700
Call-ID: 00003a88-dd58705e55e610009b6a0080f0bcde76@10.62.251.10
CSeq: 3 PRACK
RAck: 25 2 INVITE
Authorization: Digest realm="<ISP ADDRESS", nonce="xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx", algorithm=MD5, qop=auth, cnonce="0000060C", nc=00000002, uri="sip:89XXXXXXXXX@<ISP ADDRESS:5060", username="9XXXXX", response="xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx"
Allow: INVITE,ACK,CANCEL,BYE,PRACK,OPTIONS,REGISTER,INFO,NOTIFY,UPDATE
User-Agent: Panasonic-MPR07-V8.0102/VSIPGW-V2.3002
Content-Length: 0

SIP/2.0 200 OK
Via: SIP/2.0/UDP 10.251.129.121:35060;received=10.251.129.121;branch=z9hG4bK000030ab;rport=35060
To: <sip:89XXXXXXXXX@<ISP ADDRESS;tag=153258415500215C22
From: <sip:9XXXXX@<ISP ADDRESS;tag=1700
Call-ID: 00003a88-dd58705e55e610009b6a0080f0bcde76@10.62.251.10
CSeq: 3 PRACK
Content-Length: 0

SIP/2.0 200 OK
Via: SIP/2.0/UDP 10.251.129.121:35060;received=10.251.129.121;branch=z9hG4bK00007320;rport=35060
To: <sip:89XXXXXXXXX@<ISP ADDRESS;tag=153258415500215C22
From: <sip:9XXXXX@<ISP ADDRESS;tag=1700
Contact: <sip:89XXXXXXXXX@<ISP ADDRESS:5060
Call-ID: 00003a88-dd58705e55e610009b6a0080f0bcde76@10.62.251.10
CSeq: 2 INVITE
Content-Type: application/sdp
Content-Length: 244
Allow: INVITE,CANCEL,ACK,BYE,INFO,PRACK,UPDATE,NOTIFY,MESSAGE,REFER,OPTIONS

v=0
o=ngn 1532584160 1532584876 IN IP4 <ISP ADDRESS
s=ngn
c=IN IP4 <ISP ADDRESS
t=0 0
m=audio 23940 RTP/AVP 8 101 18 4
a=rtpmap:8 pcma/8000
a=rtpmap:101 telephone-event/8000
a=fmtp:101 0-15
a=rtpmap:18 G729/8000
a=rtpmap:4 G723/8000

ACK sip:89XXXXXXXXX@<ISP ADDRESS:5060 SIP/2.0
Via: SIP/2.0/UDP 10.251.129.121:35060;branch=z9hG4bK000075b1;rport
Max-Forwards: 70
To: sip:89XXXXXXXXX@<ISP ADDRESS;tag=153258415500215C22
From: "....... ...." <sip:9XXXXX@<ISP ADDRESS;tag=1700
Call-ID: 00003a88-dd58705e55e610009b6a0080f0bcde76@10.62.251.10
CSeq: 2 ACK
Authorization: Digest realm="<ISP ADDRESS", nonce="xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx", algorithm=MD5, qop=auth, cnonce="000055C7", nc=00000003, uri="sip:89XXXXXXXXX@<ISP ADDRESS:5060", username="9XXXXX", response="xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx"
Content-Length: 0

Несмотря на включенные alg и session tracking маршрутизатор передает наружу в полях протокола SIP внутренний адрес VoIP-DSP АТС 10.62.251.11
Таким образом трансляция на уровне приложений происходит не полностью. Помогите разобраться, пожалуйста.

Код: Выделить всё

# sh ip nat tr
Prot   Inside source           Inside destination      Outside source          Outside destination     Pkts         Bytes
----   ---------------------   ---------------------   ---------------------   ---------------------   ----------   ----------
udp    10.62.251.11:12122      <ISP ADDRESS>:23940      10.251.129.121:12122    <ISP ADDRESS>:23940      1147         229400
udp    10.62.251.10:35060      <ISP ADDRESS>:5060       10.251.129.121:35060    <ISP ADDRESS>:5060       12           7810

# sh syst
System type:           Eltex ESR-200 Service Router
System name:           GW2
Software version:      1.4.0 build 96[c51146f] (date 24/05/2018 time 15:33:58)
Hardware version:      1v4

leonid_zarkov

У вас используется нестандартный SIP порт: 35060, а NAT ALG ловит только 5060
udp 10.62.251.10:35060 <ISP ADDRESS>:5060 10.251.129.121:35060 <ISP ADDRESS>:5060 12 7810

В текущей реализации возможности менять порт для NAT ALG SIP нет.
Есть возможность проверить на стандартном SIP порту?

leonid_zarkov

Начиная с версий ПО 1.4.4 доступен механизм конфигурации нестандартного SIP порта.

Код: Выделить всё

esr(config)# object-group service SIP
esr(config-object-group-service)# port-range 65060
esr(config-object-group-service)# exit 
esr(config)# ip firewall sessions tracking sip port SIP

Элтекс

ESR-200 NAT ALG SIP

ESR-200 NAT ALG SIP

Re: ESR-200 NAT ALG SIP

Re: ESR-200 NAT ALG SIP

Кто сейчас на конференции