05-19-2025, 09:39 AM
Z tym beda niezle jaja , nie jeden na tym sie poddal, wiec i ja sprawdze na czym polegne lub jakims cudem uda mi sie to ustawic :
Twój serwer Astersik nie musi być na publicznym IP, DMZ lub innych nieefektywnych pozycjach, aby zostać odpowiednio zaimplementowane. Przedstawiono tutaj jedną z najskuteczniej bezpiecznych implementacji * za NAT/Firewall.
Najpierw upewnij się, że zapora systemu Linux na * serwerze jest wyłączona (będziesz musiał polegać na zaporze routera lub przynajmniej po uruchomieniu wszystkiego możesz ponownie włączyć zaporę Linux i otworzyć każdy potrzebny port). Następnie ustawiasz statyczny adres IP na swoim * serwerze. Na routerze NAT/Firewall, porty SIP Forward SIP (UDP i TCP) 5060 - 5082 i RTP (UDP i TCP) 8000 - 20000 na Twój adres IP serwera (lub 5000 - 31000 zarówno dla SIP, jak i RTP).
Aby uzyskać podwójną konfigurację NIC, upewnij się, że ustawiłeś ETH0 jako NIC dla * WAN. Zazwyczaj jest to NIC, z którą Linux używa przede wszystkim WAN. Jeśli sprawdź swój dziennik wychodzący router, znajdziesz * główny adres IP IP wychodzący z ITSP, przeglądanie internetowe lub zdalne rozszerzenie na porcie 5060 lub czymkolwiek są twoje porty VoIP. Jeśli nie zostanie to zrobione, albo nie będzie dźwięku, w jednym sposobie dźwięku, albo porzuconych połączeń, ponieważ pakiety RTP zostaną wysłane i odbierane na niewłaściwej karty sieciowej. Innymi słowy, upewnij się, że skonfigurujesz swój * serwer WAN NIC na ETH0 i przekazujesz do niego wszystkie ścisłe porty (adres IP ETH0) i pozostaw domyślne pole bramy na Nici ETH1, ponieważ będzie ono dostępne tylko przez ETH0.
Następnie edytuj wartość „rtpstart” w rtp.conf - od rtpstart = 10000 na rtpstart = 8000 Ponieważ 8000 jest domyślnym portem RTP na x -lite softphones i niektórych innych telefonach, lub możesz całkowicie zmienić ją na wartości domyślne, które są RTPSTART = 5000 i RTPEND = 31000, ale będziesz miał również dostosować RTP (UDP), które są na Portptart) (wspomniane powyżej) na routerze NAT/Firewall, aby odzwierciedlić ten sam zakres portów. Nie trzeba dodawać, że jeśli serwer zdalny * znajduje się również za NAT/Firewall z drugiej strony wszystkie wspomniane powyżej zakresy portów (TCP/UDP), należy otworzyć również podobnie jak w przypadku dwukierunkowego przepływu ruchu VoIP. Telefony IP lub ogólnie klienci VoIP nie potrzebują żadnych portów otwartych ani przekazywanych do nich. Wprowadź również ten sam exterlip = xxx.xxx.xxx.xxx i localnet = xxx.xxx.xxx.xxx/xxx.xxx.xx.xxx z ustawień ogólnych SIP.CONF w SIP_NAT.CONF.
Następnie w SIP.Conf w ustawieniach uwierzytelniania konta dla każdego zdalnego rozszerzenia Dodaj Nat = Tak, i canreInvite = nie. Upewnij się, że zapisz nowe konfiguracje w każdym edytowanym pliku, a następnie uruchom „RELOOD” na CLI Asterisk lub zatrzymaj i ponownie uruchom * ponownie, aby ponownie ponownie przeczytać wszystkie pliki konfiguracyjne po zmianach. To powinno sprawić, że działało bezbłędnie, zrobiło to dla mnie po wielu badaniach i rozwiązywaniu problemów. Powinno to oznaczać koniec problemów NAT/Firewall z gwiazdką. Chciałbym zobaczyć posty potwierdzające od tych, którzy to wdrażają.
Dzięki.
Uwaga: W przypadku innych protokołów, takich jak H.323, SCCP (Skiiny), MGCP itp., Musisz tylko upewnić się, że w routerowej zaporze/NAT masz ich numery portów do swojego * interfejsu WAN Server WAN i upewnij się, że porty RTP (które przenoszą faktyczne pakiety audio) w RTP.Conf wynosi 5000 - 31000 (TCP/UD), a także do przodu). Dobrze.
Twój adres WAN lub zewnętrzny od twojego dostawcy dostawcy usług internetowych zwykle nie jest stały, więc w przypadku zmiany, będziesz musiał edytować wartość „exterip =” w Ustawieniach ogólnych SIP.CONF i SIP_NAT.CONF do nowej wartości lub jeszcze lepiej, możesz ją automatycznie odnawiać, rejestrując się z dynamicznym DNS (dyndns) za pośrednictwem routetera (znam linki i niektóre inne Routers w nich Dyntns. Nazwa, która zawsze rozwiąże dowolny adres IP wydany przez twojego dostawcę usług internetowych do sieci. Lub inną opcją dla osób z routerami bez wbudowanych dyndns jest użycie dynamicznego adresu IP z no-p.com; Ustawiasz go tak jak dyndns i pobierasz dynamiczny klient aktualizacji (dla systemu Windows, Apple lub Linux), który możesz zainstalować w swoim * lub dowolnym pudełku (zawsze włączonym) w sieci lokalnej w celu aktualizacji wskaźnika NO-IP.com co 30 minut lub choć często tego chcesz. Więc wszystko, co musisz zrobić, to użyć nazwy domeny, którą otrzymujesz od no-ip.com lub dyndns.org jako swojego exterlip = on *, aby rozwiązywała tę nazwę domeny na dowolny dynamiczny adres IP, który jest ci przypisywany przez dostawcę usług internetowych.
W przypadku innych protokołów, takich jak IAX, (port IAX2 to 4569. Port IAX wynosi 5036) na router NAT/Firewall, powinieneś przekazywać porty (UDP i TCP) 4569 i/lub 5036 na adres IP serwera Asterisk.
Dwuża linia pozostaje do zanotowania potrzebnych i odpowiednich portów w plikach konfiguracyjnych i przekazanie ich/przez router NAT/Firewall na swój adres IP serwera.
Aby dodać, eksperymenty przeprowadzone właśnie okazały się najbardziej kompatybilne z *, co poparte DiGium. Aby skrócić problemy i rozwiązywanie problemów, zawsze istnieje opcja wypróbowania FC. Pamiętaj, wszystkie przekazania portów do * powinny być do interfejsu * serwera WAN ( * NIC przypisany przede wszystkim do komunikacji WAN), a domyślnie jest/powinien być ETH0.
- pobrano stad: https://community.asterisk.org/t/solutio...ewall/7564
Twój serwer Astersik nie musi być na publicznym IP, DMZ lub innych nieefektywnych pozycjach, aby zostać odpowiednio zaimplementowane. Przedstawiono tutaj jedną z najskuteczniej bezpiecznych implementacji * za NAT/Firewall.
Najpierw upewnij się, że zapora systemu Linux na * serwerze jest wyłączona (będziesz musiał polegać na zaporze routera lub przynajmniej po uruchomieniu wszystkiego możesz ponownie włączyć zaporę Linux i otworzyć każdy potrzebny port). Następnie ustawiasz statyczny adres IP na swoim * serwerze. Na routerze NAT/Firewall, porty SIP Forward SIP (UDP i TCP) 5060 - 5082 i RTP (UDP i TCP) 8000 - 20000 na Twój adres IP serwera (lub 5000 - 31000 zarówno dla SIP, jak i RTP).
Aby uzyskać podwójną konfigurację NIC, upewnij się, że ustawiłeś ETH0 jako NIC dla * WAN. Zazwyczaj jest to NIC, z którą Linux używa przede wszystkim WAN. Jeśli sprawdź swój dziennik wychodzący router, znajdziesz * główny adres IP IP wychodzący z ITSP, przeglądanie internetowe lub zdalne rozszerzenie na porcie 5060 lub czymkolwiek są twoje porty VoIP. Jeśli nie zostanie to zrobione, albo nie będzie dźwięku, w jednym sposobie dźwięku, albo porzuconych połączeń, ponieważ pakiety RTP zostaną wysłane i odbierane na niewłaściwej karty sieciowej. Innymi słowy, upewnij się, że skonfigurujesz swój * serwer WAN NIC na ETH0 i przekazujesz do niego wszystkie ścisłe porty (adres IP ETH0) i pozostaw domyślne pole bramy na Nici ETH1, ponieważ będzie ono dostępne tylko przez ETH0.
Następnie edytuj wartość „rtpstart” w rtp.conf - od rtpstart = 10000 na rtpstart = 8000 Ponieważ 8000 jest domyślnym portem RTP na x -lite softphones i niektórych innych telefonach, lub możesz całkowicie zmienić ją na wartości domyślne, które są RTPSTART = 5000 i RTPEND = 31000, ale będziesz miał również dostosować RTP (UDP), które są na Portptart) (wspomniane powyżej) na routerze NAT/Firewall, aby odzwierciedlić ten sam zakres portów. Nie trzeba dodawać, że jeśli serwer zdalny * znajduje się również za NAT/Firewall z drugiej strony wszystkie wspomniane powyżej zakresy portów (TCP/UDP), należy otworzyć również podobnie jak w przypadku dwukierunkowego przepływu ruchu VoIP. Telefony IP lub ogólnie klienci VoIP nie potrzebują żadnych portów otwartych ani przekazywanych do nich. Wprowadź również ten sam exterlip = xxx.xxx.xxx.xxx i localnet = xxx.xxx.xxx.xxx/xxx.xxx.xx.xxx z ustawień ogólnych SIP.CONF w SIP_NAT.CONF.
Następnie w SIP.Conf w ustawieniach uwierzytelniania konta dla każdego zdalnego rozszerzenia Dodaj Nat = Tak, i canreInvite = nie. Upewnij się, że zapisz nowe konfiguracje w każdym edytowanym pliku, a następnie uruchom „RELOOD” na CLI Asterisk lub zatrzymaj i ponownie uruchom * ponownie, aby ponownie ponownie przeczytać wszystkie pliki konfiguracyjne po zmianach. To powinno sprawić, że działało bezbłędnie, zrobiło to dla mnie po wielu badaniach i rozwiązywaniu problemów. Powinno to oznaczać koniec problemów NAT/Firewall z gwiazdką. Chciałbym zobaczyć posty potwierdzające od tych, którzy to wdrażają.
Dzięki.
Uwaga: W przypadku innych protokołów, takich jak H.323, SCCP (Skiiny), MGCP itp., Musisz tylko upewnić się, że w routerowej zaporze/NAT masz ich numery portów do swojego * interfejsu WAN Server WAN i upewnij się, że porty RTP (które przenoszą faktyczne pakiety audio) w RTP.Conf wynosi 5000 - 31000 (TCP/UD), a także do przodu). Dobrze.
Twój adres WAN lub zewnętrzny od twojego dostawcy dostawcy usług internetowych zwykle nie jest stały, więc w przypadku zmiany, będziesz musiał edytować wartość „exterip =” w Ustawieniach ogólnych SIP.CONF i SIP_NAT.CONF do nowej wartości lub jeszcze lepiej, możesz ją automatycznie odnawiać, rejestrując się z dynamicznym DNS (dyndns) za pośrednictwem routetera (znam linki i niektóre inne Routers w nich Dyntns. Nazwa, która zawsze rozwiąże dowolny adres IP wydany przez twojego dostawcę usług internetowych do sieci. Lub inną opcją dla osób z routerami bez wbudowanych dyndns jest użycie dynamicznego adresu IP z no-p.com; Ustawiasz go tak jak dyndns i pobierasz dynamiczny klient aktualizacji (dla systemu Windows, Apple lub Linux), który możesz zainstalować w swoim * lub dowolnym pudełku (zawsze włączonym) w sieci lokalnej w celu aktualizacji wskaźnika NO-IP.com co 30 minut lub choć często tego chcesz. Więc wszystko, co musisz zrobić, to użyć nazwy domeny, którą otrzymujesz od no-ip.com lub dyndns.org jako swojego exterlip = on *, aby rozwiązywała tę nazwę domeny na dowolny dynamiczny adres IP, który jest ci przypisywany przez dostawcę usług internetowych.
W przypadku innych protokołów, takich jak IAX, (port IAX2 to 4569. Port IAX wynosi 5036) na router NAT/Firewall, powinieneś przekazywać porty (UDP i TCP) 4569 i/lub 5036 na adres IP serwera Asterisk.
Dwuża linia pozostaje do zanotowania potrzebnych i odpowiednich portów w plikach konfiguracyjnych i przekazanie ich/przez router NAT/Firewall na swój adres IP serwera.
Aby dodać, eksperymenty przeprowadzone właśnie okazały się najbardziej kompatybilne z *, co poparte DiGium. Aby skrócić problemy i rozwiązywanie problemów, zawsze istnieje opcja wypróbowania FC. Pamiętaj, wszystkie przekazania portów do * powinny być do interfejsu * serwera WAN ( * NIC przypisany przede wszystkim do komunikacji WAN), a domyślnie jest/powinien być ETH0.
- pobrano stad: https://community.asterisk.org/t/solutio...ewall/7564