Понимаю, тема уже была обсосана много раз и не думал, что придется мучатся с этим, но нет.
Дано Роутер - Cisco 2900, на порту Gi0/0 белый ИП a.b.c.48
Есть офисная сеть, 10.0.0.0/24 ходит череp NAT в Интернет, тут все ОК.
в сети есть АТС (древняя) которая может SIP Trunk 12 линий. ИП - 10.0.0.128
Есть пару опубликованных внутренних серверов, (443 и 25 порты)
И пока АТС ходила в Интернет через свой маленький домашний роутер (со своим другим реальным ИП) - было все ОК, но он приказал долго жить.
Пришлось переводить все на одну циску.
SIP работает на не стандартном порту (UDP 5070).
Имеем - звонки наружу проходят, но не устанавливаются (нет голоса ни в одну сторону)
Звонки внутрь вообще не проходят.
Что есть в конфиге:
ip inspect name FW sip
interface GigabitEthernet0/0
description INTERNET
ip address a.b.c.48 255.255.255.0
ip access-group INTERNET_FIREWALL_IN in
ip access-group INTERNET_FIREWALL_OUT out
ip nat outside
ip virtual-reassembly in
interface GigabitEthernet0/1.501
description Customer LAN
encapsulation dot1Q 501
ip address 10.0.0.6 255.255.255.0
no ip redirects
no ip unreachables
no ip proxy-arp
ip accounting output-packets
ip pim sparse-mode
ip nat inside
ip inspect FW in
ip virtual-reassembly in
ip nat translation timeout 14400
ip nat translation tcp-timeout 14400
ip nat service sip tcp port 5070
ip nat service sip udp port 5070
ip nat inside source route-map AppOffload interface GigabitEthernet0/0 overload
route-map AppOffload permit 10
match ip address NAT_ACL
match interface GigabitEthernet0/0
ip access-list extended NAT_ACL
permit ip 10.0.0.6 0.0.0.255 any
ip access-list extended INTERNET_FIREWALL_IN
deny ip 0.0.0.0 0.255.255.255 any
deny ip 127.0.0.0 0.255.255.255 any
permit icmp any any
permit udp any any eq isakmp
permit esp any any
permit tcp any any eq 4500
permit udp any any eq non500-isakmp
permit udp any any eq bootpc
permit udp any eq domain any
permit tcp any eq www any established
permit tcp any eq 443 any established
permit tcp any any eq smtp
permit tcp any any eq www
permit gre any any
permit udp any any eq 5070
permit udp any any eq 5060
Уже все перепробовал - не выходит каменный цветок