Nastaveno takovéto providlo, v torch vidím, že data přicházejí. Čítač paketů při tomto pravidle se ani nehnout, resp. při jakémkoliv, které padá to dohoto rozsahu, i když data prokazatelně na WAN jdou.
chain=dstnat action=dst-nat to-addresses=192.168.0.253 protocol=udp
src-address=xxx.xxx.xxx.xxx dst-address=zzz.zzz.zzz.zzz dst-port=!5060
log=no log-prefix="VOIP data redir:
když nastavím s portem 5060, který je ale směrován na jinou IP, tak ta prochází.
❗️Toto je původní verze internetového fóra ISPforum.cz do února 2020 bez možnosti registrace nových uživatelů. Aktivní verzi fóra naleznete na adrese https://telekomunikace.cz
Nefunguje dstnat pro udp
petr_ píše: dst-port=!5060
Tady říkáš vše mimo portu 5060 to asi není v pořádku když je to VOIP redir, ne?
0 x
No, ono je to složitější. Za routerem je ústřenda, který má dvě royhraní - 2 IP adresy. Na jednu se směruje 5060, na druhé audio data (což je dynamicky zvolený UDP port - vidím v torch).
0 x
Moc tomu nerozumím. Lidsky.
Pokud prokazatelně pakety na které by pravidlo mělo zabrat přicházejí, ale čítač se nehýbe, tak jsou prostě akceptovány nějakým jiným pravidlem co přijde na řadu dříve. Je pravděpodobnější špatný zápis člověkem, než objevení chyby (a to ještě hodně triviální) v kódu netfilteru linuxu.
Pokud prokazatelně pakety na které by pravidlo mělo zabrat přicházejí, ale čítač se nehýbe, tak jsou prostě akceptovány nějakým jiným pravidlem co přijde na řadu dříve. Je pravděpodobnější špatný zápis člověkem, než objevení chyby (a to ještě hodně triviální) v kódu netfilteru linuxu.
0 x
Jelikož je zde zakázáno se negativně vyjadřovat k provozním záležitostem, tak se holt musím vyjádřit takto: nové fórum tak jak je připravováno považuji za cestu do pekel. Nepřehledný maglajz z toho bude. Do podpisu se mi pozitiva již nevejdou.
petr_ píše:No, ono je to složitější. Za routerem je ústřenda, který má dvě royhraní - 2 IP adresy. Na jednu se směruje 5060, na druhé audio data (což je dynamicky zvolený UDP port - vidím v torch).
Ok, tak prvním pravidlem pořeš UDP 5060 na první lokální adresu a druhým pošli vše ze src-addr na dst-addr na to-address. V netfilteru první pravidlo co je true tak se provede jinak to propadne dál a zpracuje se to tim druhým.
0 x
Ahoj
Provozuje nekdo ve vnitrni siti za mikrotikem SIP server?
Zda se mi, ze mikrotik ma Symmetrical nat(?), lze to nejak prepnout?
Promapovani udp sip/5060 a rtp rozsahu portu na vnejsi adresu nefunguje, neprochazi pakety ven z vnitrni site.
Spojeni mi funguje pouze pres VPN. Nastaveni Sip Alg (ip/firevall/sluzby/5060,5061 on/off) nema zadny vliv.
Diky za kazdou radu. Treba jak odloguju, jsem-li venku na internetu, udp/5060 pakety mezi mikrotikem a sip serverem pro analyzu wiresharkem.
Provozuje nekdo ve vnitrni siti za mikrotikem SIP server?
Zda se mi, ze mikrotik ma Symmetrical nat(?), lze to nejak prepnout?
Promapovani udp sip/5060 a rtp rozsahu portu na vnejsi adresu nefunguje, neprochazi pakety ven z vnitrni site.
Spojeni mi funguje pouze pres VPN. Nastaveni Sip Alg (ip/firevall/sluzby/5060,5061 on/off) nema zadny vliv.
Diky za kazdou radu. Treba jak odloguju, jsem-li venku na internetu, udp/5060 pakety mezi mikrotikem a sip serverem pro analyzu wiresharkem.
0 x