Сообщения без ответов | Активные темы Текущее время: 09 июл 2020, 16:26



Ответить на тему  [ Сообщений: 5 ] 
CUCME за NAT 
Автор Сообщение

Зарегистрирован: 18 июн 2015, 08:26
Сообщения: 117
Доброго дня. Cisco 2821 с телефонией CUCME находится в локальной сети за NAT. Провайдер SIPNET, нужно также, чтобы доступ был открыт только с его адресов. Интересует рабочая конфигурация, как правильно пробросить диапазон портов на пограничном Cisco 2911. Статей на эту тему хватает, однако пока каменный цветок что-то не выходит )) Привожу часть своей конфиги, что относится к вопросу. 192.168.20.100 - адрес 2821 в локалке.

version 15.7
!
ip inspect name VOIP sip
!
object-group network VOIP_ALLOW
host 212.53.40.40
!
interface GigabitEthernet0/0 (смотрит в интернет)
ip access-group 107 in
ip inspect VOIP in
!
ip nat portmap voip
cisco-rtp-h323-low
cisco-rtp-h323-high
cisco-rtp-sip-high
cisco-rtp-sip-low
cisco-rtp-skinny-high
cisco-rtp-skinny-low
cisco-rtp-udp-high
cisco-rtp-udp-low
!
ip nat inside source static udp 192.168.20.100 5060 interface GigabitEthernet0/0 5060
ip nat inside source static tcp 192.168.20.100 5060 interface GigabitEthernet0/0 5060
ip nat inside source route-map cmemap interface GigabitEthernet0/0 overload portmap voip
!
ip access-list extended cme
permit ip host 192.168.20.100 any
!
route-map cmemap permit 10
match ip address cme
match interface GigabitEthernet0/0
!
access-list 107 permit ip object-group VOIP_ALLOW any log
access-list 107 permit ip any object-group VOIP_ALLOW log
access-list 107 deny tcp any any eq 5060 log
access-list 107 deny udp any any eq 5060 log
access-list 107 deny tcp any any eq 2000 log
access-list 107 deny udp any any eq 2000 log
access-list 107 deny tcp any any eq 1720 log
access-list 107 deny udp any any eq 1720 log
access-list 107 deny icmp any any echo log
access-list 107 deny icmp any any redirect log
access-list 107 deny icmp any any timestamp-request log
access-list 107 deny icmp any any information-request log
access-list 107 deny icmp any any mask-request log
access-list 107 permit ip any any


23 мар 2020, 20:41
Профиль

Зарегистрирован: 29 май 2017, 21:19
Сообщения: 1098
в вашем варианте лучше sip-ua поднять на пограничном c2911 с реальным ip


23 мар 2020, 20:56
Профиль

Зарегистрирован: 18 июн 2015, 08:26
Сообщения: 117
А чем лучше, Вы не могли бы пояснить ?


23 мар 2020, 21:32
Профиль

Зарегистрирован: 07 сен 2014, 02:54
Сообщения: 407
Откуда: Moscow
Maxische писал(а):
как правильно пробросить диапазон портов на пограничном Cisco 2911.

По хорошему нужно пробросить только SIP Signaling port (5060) от провайдера.
Остальное должен отрабатывать FW и SIP ALG.
Тут требуются некоторые танцы с бубном и понимание процесса.

Второй вариант, который уже озвучили, это поднять на 2911 SIP SBC.
Потребуется ли там SIP-UA, зависит от типа авторизации у провайдера.
Тут, впрочем, тоже понимание процесса понадобится.

_________________
Knowledge is Power


24 мар 2020, 00:56
Профиль

Зарегистрирован: 18 июн 2015, 08:26
Сообщения: 117
Благодарю за ответ, я примерно так и думал. В той же подсети стоят телефоны с городскими номерами от Манго, там всё работает на ура, без всяких SIP Proxy и STUN. А вот с роутером не всё гладко, хотя аналогия почти прямая. Вы не привели бы пример рабочей конфигурации, в первую очередь для лучшего понимания процессов ?


24 мар 2020, 08:54
Профиль
Показать сообщения за:  Поле сортировки  
Ответить на тему   [ Сообщений: 5 ] 

Кто сейчас на конференции

Сейчас этот форум просматривают: armenoidxp и гости: 26


Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Перейти:  
Создано на основе phpBB® Forum Software © phpBB Group
Designed by ST Software for PTF.
Русская поддержка phpBB