Подключение через маршрутизатор с NAT
SIP-телефон или SIP-адаптер часто приходится подключать к Интернет через маршрутизатор с функцией NAT. В качестве маршрутизатора может выступать либо DSL-модем либо отдельное устройство.
Также NAT может быть реализован и на стороне провайдера Интернет, что в итоге приводит к двойному NAT для SIP-клиента.
При таком подключении нет никакой необходимости делать «исправление» NAT на стороне абонента, т.е. подменять IP-адреса в SIP-сигнализации. Все необходимое для нормальной работы абонентов, подключенных через NAT, сделает сервер SIPNET, однако для этого необходимо, чтобы внутренний (приватный) адрес SIP-клиента был назначен из правильного диапазона адресов согласно RFC 1918. При использовании других адресов «исправления» NAT на стороне SIPNET не происходит и возникают различные проблемы, например, с односторонней слышимостью, входящими вызовами и проч.
Формально допустимые внутренние адреса:
Интернет-провайдер может делать NAT на своей стороне и выдавать своим абонентам приватные адреса согласно RFC6598:
При работе через NAT можно (но совсем не обязательно!) использовать STUN-сервер, например stun.sipnet.ru или любой другой доступный сервер. Некоторые программы и устройства умеют определять адрес STUN-сервера автоматически. Технология STUN позволяет SIP-устройству узнать свой внешний (публичный) IP-адрес, а также определить, как именно работает механизм NAT между ним и Интернетом. Если тип используемого NAT’а оказался «symmetric» — STUN не поможет.
Если маршрутизатор имеет встроенную поддержку протокола SIP (т.наз. SIP ALG), то в этом случае, как правило, включение STUN только мешает.
- SIP ALG в маршрутизаторах, как правило, работают некорректно, так называемую «поддержку SIP» (SIP Helper, SIP Passthrough. ) следует, по возможности, отключать. Рекомендации для TP-Link можно найти здесь, для некоторых других маршрутизаторов — здесь. При использовании в SIP-программе или устройстве транспортного протокола TLS можно не отключать SIP ALG в маршрутизаторе
- В зависимости от конкретной реализации STUN-клиента в программе/устройстве, от типа используемого NAT’а, от задержек в сети и прочих факторов включение STUN может привести к нежелательным последствиям. Рекомендуется с осторожностью подходить к использованию этой технологии.
Входящие вызовы
Делать на DSL-модеме или маршрутизаторе «проброс портов», «port forwarding» или «virtual server» для сигнализации и RTP-трафика в подавляющем большинстве случаев не требуется. Согласно принципу своей работы, любое NAT-устройство не пропускает новые входящие соединения извне. Для того, чтобы это не мешало входящему трафику SIP-сигнализации, необходимо чтобы SIP-устройство или программа периодически генерировали трафик из внутренней сети наружу. Обычно это обеспечивается путем регулярной (примерно каждые 50-170 сек) отправки keepalive пакетов. «Проброс» порта сигнализации позволяет избежать отправки keepalive пакетов и может быть рекомендован только в том случае, если никаким другим способом не удалось добиться устойчивого прохождения входящих вызовов. При подключении через двойной NAT «проброс» портов лишь на одном из NAT-устройств не решает проблему.
Если входящие вызовы на SIP-устройство или программу не проходят вообще или проходят только в течение короткого промежутка времени (обычно < 3-5 минут) после включения или перезагрузки SIP-агента либо после исходящего вызова с него, то:
- необходимо убедиться в том, что устройство (или программа) успешно регистрируется на сервере; статус регистрации следует проверять не только в программе или устройстве, но и в своем Личном кабинете
- необходимо включить механизм keepalive (на SIP-агенте)
- либо уменьшить интервал keepalive, если механизм keepalive уже был включён ранее
- если устройство не имеет функции keepalive, то можно попробовать уменьшить интервал перерегистрации (Register Expire) до значения, чуть меньшего чем то время, в течение которого вызовы проходят; не устанавливайте интервал перерегистрации менее 60 секунд!
- либо настроить «port forwarding» (на маршрутизаторе) для того порта, который фактически используется клиентской стороной для сигнализации SIP
- необходимо убедиться, что входящим соединениям не мешает встроенный в маршрутизатор firewall.
По умолчанию, как правило, на клиентской стороне для сигнализации SIP используется порт 5060/UDP, однако программные и аппаратные устройства SIP-телефонии позволяют менять это значение или же выбирать этот порт динамически.
Sip в настройках роутера
В качестве роутера для примера настройки был взят роутер D-Link, DIR-632. Была скачена и установлена последняя прошивка с сайта производителя.
Установки по умолчанию:
IP-адрес беспроводного маршрутизатора: 192.168.0.1
Имя пользователя: admin
Пароль: admin
Название беспроводной сети: DIR-632
Системные требования и оборудование (информация взята из руководства по установке с сайта производителя).
- Компьютер с любой операционной системой, которая поддерживает Web-браузер для доступа к web-интерфейсу: Internet Explorer, Mozilla Firefox, Opera, Google Chrome и т.д.
- Сетевая карта (Ethernet- или Wi-Fi-адаптер) для подключения к маршрутизатору.
- Wi-Fi-адаптер (стандарта 802.11b, g или n) для создания беспроводной сети.
- USB-модем для подключения к сети Интернет.
- WiMAX USB-модем для подключения к сети Интернет через сеть WiMAX. Некоторые WiMAX-операторы требуют активации WiMAX USB-модема перед использованием. Обратитесь к инструкциям по подключению, предоставленным Вашим оператором при заключении договора или размещенным на его web-сайте.
- 3G USB-модем для подключения к сети Интернет через сеть 3G GSM или CDMA. В USB-модеме должна быть установлена активная идентификационная карта (SIM или R-UIM) Вашего оператора.
- Для CDMA USB-модемов необходимо отключить проверку PIN-кода идентификационной карты до подключения USB-модема к маршрутизатору.
Роутер D-Link, DIR-632 поддерживает достаточно большое количество USB-модемов (GSM, CDMA, WiMAX). В нашем примере для тестирования использовался GSM-модем «Huawei E3370».
Внимание! В частных случаях при использовании USB-модемов не всегда может корректно работать соединение с сервером телефонии. Дело в том, что USB-модем выступает как роутер для соединения двух сетей. Поэтому он имеет свой барьер адресной трансляции, что в свою очередь может препятствовать стабильной работе IP-телефонии.
Итак, перейдем к настройкам роутера D-Link, DIR-632, для этого необходимо подключиться к web-интерфейсу:
1. Запускаем web-браузер.
2. В адресной строке web-браузера вводим IP-адрес нашего роутера (по умолчанию: 192.168.0.1). И нажимаем клавишу Enter.
На открывшейся странице вводим имя пользователя и пароль администратора для доступа к web-интерфейсу роутера в полях Login и Password соответственно (по умолчанию имя пользователя – admin, пароль – admin). Нажимаем ссылку Enter.
Если при попытке подключения к web-интерфейсу роутера браузер выдает ошибку типа «Невозможно отобразить страницу», необходимо убедиться, что ваше устройство правильно
подключено к компьютеру.
Если введенные регистрационные данные были введены корректно, то откроется страница быстрых настроек роутера.
При тестировании роутера D-Link, DIR-632 было установлено, что IP-телефония программы «Клиентская база» успешно работает при заданных настройках по умолчанию. То есть без каких-либо дополнительных настроек файрволла, открытия доступов и т. д.
Ниже приведем ряд скриншотов с основными вкладками настроек роутера, представленных в режиме «по умолчанию».
1. Раздел настроек Advanced/VLAN.
2. Раздел настроек Advanced/UpnP IGD.
3. Раздел настроек Advanced/Miscellaneous.
Важно! Для работы браузерных звонков телефонии «Клиентская база» необходимо, чтобы «SIP» был выключен (не отмечаем галкой данный вариант).
4. Раздел настроек Firewall/IP filters.
Отсутствуют ограничения/правила доступа для внутренних IP-адресов локальной сети.
5. Раздел настроек Firewall/Virtual servers.
Также отсутствуют дополнительные настройки проброса портов.
6. Раздел настроек Firewall/DMZ.
Отсутствуют какие-либо ограничения доступа к внутренним серверам. То есть все открытые порты на этом компьютере доступны снаружи.
Если же вы решите обезопасить свой компьютер путем установки программного межсетевого экрана защиты, то это стоит делать только в том случае, когда другими способами не удается обеспечить правильную работу сервисов на этом компьютере.
Внимание! DMZ и виртуальные серверы — «Virtual Servers» вместе работать не будут!Поэтому, если у вас имеются настройки Virtual Servers, то их необходимо отключить.
7. Раздел настроек Status.
Здесь содержится информация обо всех соединениях, а также производится проверка статуса подключения в Интернету.
В следующих скриншотах приведем пример настроек в разделах Firewall/IP filters, в которых открываем доступ только конкретным IP-адресам.
Здесь мы открываем доступы для сервера телефонии «Клиентская база»: sip.clientbase.ru для своей локальной сети, а также для своего сайта, с которого должна работать IP-телефония. В примере мы видим, что открыт только порт сигнализации (8089), поэтому при текущих настройках роутера будет наблюдаться проблема со слышимостью.
Поэтому мы должны открыть доступ для диапазона портов 10000-20000.
При текущих настройках звонок сформируется и дойдет до абонента, но тем не менее он может оборваться короткими гудками или все так же могут наблюдаться проблемы со слышимостью (все зависит от особенностей сети и действующих настройках безопасности). Для успешного формирования вызова и для обеспечения двусторонней слышимости, необходимо на своем роутере дополнительно открыть доступ к STUN-серверам:
stun.l.google.com порт UDP 19302
stun.ekiga.net порт UDP 3478
stun.sipnet.ru порт UDP 3478
Инструкция по настройке маршрутизатора при подключении SIP-сотрудника ВАТС
При подключении услуги Вам будет предоставлена схема подключения к SIP-телефонии.
На схеме указана адресация и маршруты, которые необходимо указать в настройках маршрутизатора.
- IP-адрес, который должен быть указан на WAN-интерфейсе маршрутизатора.
- Шлюз, через который будут прописываться статические маршруты, а также который будет указан в настройках WAN-интерфейса.
- Список статических маршрутов до SIP-серверов.
Настройка маршрутизатора
1. Подключите маршрутизатор через LAN-порт к компьютеру.
2. Откройте браузер, введите адрес 192.168.0.1.
3. В меню маршрутизатора выберите Сеть -> WAN.
4. В появившемся окне выполните следующие настройки:
Тип подключения – значение Статический IP-адрес.
IP-адрес – введите IP-адрес из схемы настройки на клиентской стороне. На примере адрес 10.166.1.2.
Маска подсети – введите маску подсети согласно схеме настройки. На примере маска указана /30 – что соответствует числовому значение 255.255.255.252.
Шлюз – введите IP-адрес из схемы настройки, который находится на стороне оборудования компании А1. На примере адрес 10.166.1.1.
Предпочитаемый DNS-сервер – введите DNS-адрес 213.184.225.37.
Альтернативный DNS-сервер – введите DNS-адрес 213.184.224.254.
5) Далее в меню маршрутизатора выберите Дополнительные настройки маршрутизации -> Список статический маршрутов.
6) Нажмите кнопку Добавить. В появившемся окне ведите следующие настройки: IP–адрес назначения – адрес SIP-сервера из схемы настройки, для которого необходимо указать маршрут. На примере адрес 10.126.17.231. Маска подсети — маска подсети, к который строится маршрут. На примере все маршруты будут с маской 255.255.255.255. Шлюз – шлюз из схемы настройки, прописанный на оборудовании компании А1. На примере все маршруты будут со шлюзом 10.166.1.1. Интерфейс – значение Интернет-подключению
Таким образом необходимо ввести все оставшиеся маршруты.
По итогу настройки таблица статических маршрутов должна выглядеть так:
Проверка доступности серверов
1. Для проверки правильности настройки требуется подключить кабель в LAN4/WAN порт (1), а компьютер подключить в LAN порт (2).
2. На компьютере, который подключен к маршрутизатору, необходимо открыть командную строку.
Для этого в операционной системе Windows в поиске введите – командная строка или cmd.
3. В открывшемся окне введите команду ping 10.126.17.231 (по очереди все IP-адреса SIP-серверов, указанные на схеме) и нажмите Enter.
Если все пакеты полечены успешно для всех IP-адресов, то настройка завершена успешно и можно приступать к настройкам IP-телефонов.
Если при выполнении команд есть потерянные пакеты, проверьте корректность произведенных настроек по инструкции.