Роутер открыть sip порт

Роутер открыть sip порт

В качестве роутера для примера настройки был взят роутер D-Link, DIR-632. Была скачена и установлена последняя прошивка с сайта производителя.

Установки по умолчанию:
IP-адрес беспроводного маршрутизатора: 192.168.0.1
Имя пользователя: admin
Пароль: admin
Название беспроводной сети: DIR-632

Системные требования и оборудование (информация взята из руководства по установке с сайта производителя).

  • Компьютер с любой операционной системой, которая поддерживает Web-браузер для доступа к web-интерфейсу: Internet Explorer, Mozilla Firefox, Opera, Google Chrome и т.д.
  • Сетевая карта (Ethernet- или Wi-Fi-адаптер) для подключения к маршрутизатору.
  • Wi-Fi-адаптер (стандарта 802.11b, g или n) для создания беспроводной сети.
  • USB-модем для подключения к сети Интернет.
  • WiMAX USB-модем для подключения к сети Интернет через сеть WiMAX. Некоторые WiMAX-операторы требуют активации WiMAX USB-модема перед использованием. Обратитесь к инструкциям по подключению, предоставленным Вашим оператором при заключении договора или размещенным на его web-сайте.
  • 3G USB-модем для подключения к сети Интернет через сеть 3G GSM или CDMA. В USB-модеме должна быть установлена активная идентификационная карта (SIM или R-UIM) Вашего оператора.
  • Для CDMA USB-модемов необходимо отключить проверку PIN-кода идентификационной карты до подключения USB-модема к маршрутизатору.

Роутер D-Link, DIR-632 поддерживает достаточно большое количество USB-модемов (GSM, CDMA, WiMAX). В нашем примере для тестирования использовался GSM-модем «Huawei E3370».

Внимание! В частных случаях при использовании USB-модемов не всегда может корректно работать соединение с сервером телефонии. Дело в том, что USB-модем выступает как роутер для соединения двух сетей. Поэтому он имеет свой барьер адресной трансляции, что в свою очередь может препятствовать стабильной работе IP-телефонии.

Итак, перейдем к настройкам роутера D-Link, DIR-632, для этого необходимо подключиться к web-интерфейсу:

1. Запускаем web-браузер.
2. В адресной строке web-браузера вводим IP-адрес нашего роутера (по умолчанию: 192.168.0.1). И нажимаем клавишу Enter.

photo

На открывшейся странице вводим имя пользователя и пароль администратора для доступа к web-интерфейсу роутера в полях Login и Password соответственно (по умолчанию имя пользователя – admin, пароль – admin). Нажимаем ссылку Enter.

Читайте также:  Установка свитча перед роутером

photo

Если при попытке подключения к web-интерфейсу роутера браузер выдает ошибку типа «Невозможно отобразить страницу», необходимо убедиться, что ваше устройство правильно
подключено к компьютеру.

Если введенные регистрационные данные были введены корректно, то откроется страница быстрых настроек роутера.

При тестировании роутера D-Link, DIR-632 было установлено, что IP-телефония программы «Клиентская база» успешно работает при заданных настройках по умолчанию. То есть без каких-либо дополнительных настроек файрволла, открытия доступов и т. д.
Ниже приведем ряд скриншотов с основными вкладками настроек роутера, представленных в режиме «по умолчанию».

1. Раздел настроек Advanced/VLAN.

photo

2. Раздел настроек Advanced/UpnP IGD.

photo

3. Раздел настроек Advanced/Miscellaneous.

photo

Важно! Для работы браузерных звонков телефонии «Клиентская база» необходимо, чтобы «SIP» был выключен (не отмечаем галкой данный вариант).

4. Раздел настроек Firewall/IP filters.

photo

Отсутствуют ограничения/правила доступа для внутренних IP-адресов локальной сети.

5. Раздел настроек Firewall/Virtual servers.

photo

Также отсутствуют дополнительные настройки проброса портов.

6. Раздел настроек Firewall/DMZ.

Отсутствуют какие-либо ограничения доступа к внутренним серверам. То есть все открытые порты на этом компьютере доступны снаружи.
Если же вы решите обезопасить свой компьютер путем установки программного межсетевого экрана защиты, то это стоит делать только в том случае, когда другими способами не удается обеспечить правильную работу сервисов на этом компьютере.

Внимание! DMZ и виртуальные серверы — «Virtual Servers» вместе работать не будут!Поэтому, если у вас имеются настройки Virtual Servers, то их необходимо отключить.

photo

7. Раздел настроек Status.

photo

Здесь содержится информация обо всех соединениях, а также производится проверка статуса подключения в Интернету.

В следующих скриншотах приведем пример настроек в разделах Firewall/IP filters, в которых открываем доступ только конкретным IP-адресам.

photo

Здесь мы открываем доступы для сервера телефонии «Клиентская база»: sip.clientbase.ru для своей локальной сети, а также для своего сайта, с которого должна работать IP-телефония. В примере мы видим, что открыт только порт сигнализации (8089), поэтому при текущих настройках роутера будет наблюдаться проблема со слышимостью.

Читайте также:  После перезагрузки роутера пропал интернет мтс

Поэтому мы должны открыть доступ для диапазона портов 10000-20000.

photo

При текущих настройках звонок сформируется и дойдет до абонента, но тем не менее он может оборваться короткими гудками или все так же могут наблюдаться проблемы со слышимостью (все зависит от особенностей сети и действующих настройках безопасности). Для успешного формирования вызова и для обеспечения двусторонней слышимости, необходимо на своем роутере дополнительно открыть доступ к STUN-серверам:
stun.l.google.com порт UDP 19302
stun.ekiga.net порт UDP 3478
stun.sipnet.ru порт UDP 3478

Источник

Проброс SIP RTP портов MikroTik

Аналогично делаем для всех пробрасываемых портов.

/ip firewall nat add action=dst-nat chain=dstnat comment=PBX dst-address=1.1.1.2 dst-port=5060 in-interface=ether1-WAN1 protocol=tcp to-addresses=10.73.10.14 add action=dst-nat chain=dstnat comment=PBX dst-address=1.1.1.2 dst-port=5060 in-interface=ether1-WAN1 protocol=udp to-addresses=10.73.10.14 add action=dst-nat chain=dstnat comment=PBX dst-address=1.1.1.2 dst-port=5061 in-interface=ether1-WAN1 protocol=tcp to-addresses=10.73.10.14 add action=dst-nat chain=dstnat comment=PBX dst-address=1.1.1.2 dst-port=4569 in-interface=ether1-WAN1 protocol=udp to-addresses=10.73.10.14 add action=dst-nat chain=dstnat comment=PBX dst-address=1.1.1.2 dst-port=10000-20000 in-interface=ether1-WAN1 protocol=udp to-addresses=10.73.10.14

Правильный NAT

Правило должно быть выше основного NAT для сети.

Для подключения изнутри, нужно настраивать DNS или Hairpin

Источник

Настройка Mikrotik RouterOS (SIP через NAT)

E-mail Печать

Часто пользователи IP телефонии сталкиваются с проблемой односторонней слышимости. Проблема в том, что в SIP протоколе, в части где описываются возможности голосового соединения (кодеки, IP адреса и порты обмена) — в протоколе SDP (Session Description Protocol), имеется запись о IP адресе на котором клиент ожидает соединения, и этот IP адрес, естественно является «серым», то есть из сети, которая находится за NAT-ом. А прямое соединение на этот немаршрутизируемый IP естественно невозможно. Однако, все современные IP шлюзы, понимают, что такая ситуация может возникнуть и разруливают её соответствующим образом — то есть они не обращают внимание на этот адрес, а пакеты шлют на тот адрес с которого приходят к нему пакеты, то есть на наш реальный IP, находящийся на выходе из NAT.

SIP телефоны (софтфоны) вполне корректно работают из под NAT, и порты никакие пробрасывать не надо.

В процессе изучения Mikrotik и анализа проходящего VoIP трафика, выяснилось, что роутер по умолчанию лезет в SIP/SDP протокол и подменяет установленный там IP на свой внешний (так называемый SIP ALG). Таким образом, со стороны это выглядит так, как будто и нет никакого NAT-а. И всё в порядке, и всё в общем то работает. Однако если у вас проблема с односторонней слышимостью, то вам необходимо отключить SIP ALG на роутере. Делается это следующей командой в консоли RouterOS

Читайте также:  Соединение проводом роутер компьютер

/ip firewall service-port disable sip

Еще одна часто возникающая проблема с роутерами Mikrotik — это зависшие UDP соединения. По наблюдениям это происходит в результате цепочки событий

1. Происходит отключение Интернет соединения
2. Устройство, находящееся за NAT, отправляет запрос в сторону SIP сервера
3. Создается ошибочная запись в таблице conntrack
4. Интернет соединение восстанавливается
5. Таблица NAT netfilter не может получить корректную информацию для новых запросов

В результате SIP-устройства не могут зарегистрироваться, хотя запросы отправляются (клиенты Ростелеком с подключением по технологии PON страдают в первую очередь, т.к. раз в сутки биллинг провайдера принудительно разрывает сессию) .

TCPDUMP в данной ситуации показывает, что UAC отправляет в сторону сервера REGISTER, сервер отвечает запросом авторизации (SIP/2.0 401 Unauthorized), а в ответ ничего не приходит. Лечится это либо перезагрузкой роутера или удалением UDP соединений из консоли Mikrotik

/ip firewall connection remove [find where protocol=udp and dst-address~»:5060″]

/ip firewall connection remove [find where connection-type=sip and assured=no]

Если нет возможности перезагрузить роутер или удалить UDP сессии, то можно попробовать выключить SIP устройство на 15-20 минут и потом включить снова.

Если проблема не постоянная, а то появляется, то исчезает, то возможно поможет отключение технологии fastpath (необходимо перезагрузить роутер после выполнения этих команд)

/ip settings set allow-fast-path=no

/ip firewall filter disable [/ip firewall filter find where action=fasttrack-connection]

В новых версиях RouterOS появился параметр sip-timeout, который теоретически может помочь в решении данной проблемы. Попробуйте выполнить следующую команду

/ip firewall service-port set sip disabled=no ports=5060,5061 sip-direct-media=yes sip-timeout=5m

Источник

Оцените статью
Adblock
detector