Меню

Настройка kerio для ip телефонии



Kerio Kontrol firewall телефония voip voin sip traffic rules nat map PBX пример правил трафика

Имеется физическое железо с установленным бесплатным Microsoft Hyper-v server 2016 — сервер виртуализации. который поддерживает разные raid контроллеры, Kerio Kontrol OS Debain может не работать с некоторыми raid контроллерами.

Логическая схема сети logical network diagram kerio control pbx 2 sip isp internet


1)Kerio Kontrol local LAN 10.10.10.1 255.255.255.0

2)PBX Panasonic KX-NCP500, NS500 kx-tde100 10.10.10.29 , 10.10.10.30 255.255.255.0
3)ISP1 ip:62.123.45.68 gw 62.123.45.67 mask 255.255.255.252 , sip voin :195.111.000.5 sip.isp-1.ru
4)ISP2 ip: 10.50.50.65 gw 10.50.50.64 mask 255.255.255.252, sip voin 212.222.11.33 Для корректной работы sip voin voip оператор требует что-бы трафик sip транка на 212.222.11.33 приходил/уходил с ip 10.50.50.65

Установка kerio-control-installer-9.2.5-2532.iso на ms Hyper-V

Включаем прохождение\нахождение за NAT на АТС Panasonic KX-NCP500, NS500 kx-tde100 ,

Конфигурация ЦАТС \ 1.Конфигурация 1. Слот \ Вирт. слот , выбрать плату V-SIP-GW16 правой кнопкой мыши \ Свойства системного блока . Для изменения параметров необходимо вывести все карты V-SIPGW из сервиса перед изменением параметра OUS.

Kerio Operator NAT

Kerio Kontrol Правила трафика — Пример

Имя:195.111.000.5 ISP-2 to pbx.29 auth
источник: 195.111.05 sip.isp-2.ru
назначение:10.50.50.65
служба: sip , sip TCP , sil tls .
версия ip: ipv4
действие: разрешить
трансляция: MAP 10.10.10.29:35060

Имя:195.111.000.5 ISP-2 to pbx.30 voice
источник: 195.111.05 sip.isp-2.ru
назначение:10.50.50.65
служба: Любой [можно указать порты RTP голос из инструкции-мануала к АТС]
версия ip: ipv4
действие: разрешить
трансляция: MAP 10.10.10.30

имя:bpx voip to ISP-1 195.111.000.5
источник:10.10.10.29 10.10.10.30
назначение: 195.111.0.5 sip.isp-2.ru
служба: любой
версия i:ipv4
действие:Разрешить
трансляция: Nat распределение нагрузки интернет

имя:pbx voin to ISP-2 212.222.111.33
источник:10.10.10.29 10.10.10.30
назначение: 212.222.111.33
служба: любой
версия ip: ipv4
действие: Разрешить
трансляция: NAT (Ethernet-wan-isp-2)

имя: 212.222.111.33 ISP-2 to pbx.29 auth
источник: 212.222.111.33
назначение: Брандмауэр
служба: sip , sip tlc , sip tls
версия ip: ipv4
действие:разрешить
трансляция: MAP:10.10.10.29:35060

имя: ip 10.50.60.65 isp-2 to pbx30. voice
источник: Ethernet 2-wan-isp-2
назначение:Брандмауэр
служба: Любой
версия ip: ipv4
действие: разрешить
трансляция: MAP 10.10.10.30

Диазностика Capture TCPDumps Ubuntu + wireshark call flow
1.If we want to get a TCP Dump of everything on port 5060 we can use the following command. This will create a file called capture.pcap in the tmp directory of everything on port 5060. If the file is bigger than 50MB it will start another file.

Читайте также:  Настройка моноблока для сабвуфера длс сс 500

2.If we wanted to limit it to a specific IP address, like a phone or SIP carrier, we could do:

3.To easily view the SIP transaction, load the PCAP into wireshark and goto Telephony -> VoIP Calls. Then select the session you want to look at and click «Flow.» If you’ve captured the RTP traffic (Option: -T rtp), you may be able to play the audio of the call as well.

4.Run tcpdump in the background from a screen session so you can disconnect while it runs. This also tags the file name with the host name and timestamp.•screen -dm tcpdump -s0 -w/tmp/capture-dep`hostname -s`-`date +%Y%m%d-%H%M%Z`.pcap -C150 udp and port 5060

Источник

Настройка kerio для ip телефонии

Кто-нибудь сталкивался с такой проблемой ?
Компы во внутренней сети через NAT работают без проблем.
Телефон-же (QTECH QVI-P2) не проходит авторизацию
Хотя по документации он работает через NAT. Настройки SIP-протокола забиты по рекомендациям c сайта sipnet.ru.
Правило для него создано отдельное (Any Any). Пакеты вроде идут (в KWF в Connections видно).

При подключении этого телефона во внешнюю сеть напрямую все работает нормально.

Может есть еще какая-нить фишка о которой я не знаю ?

Хорошо, надо только мысли в кучку сгрести
Напишу как я эту шнягу уговорил :umnikДобавление)
Сам долго мучился пока не «дошло» как это сделать
И все оказалось не так уж сложно :super:
В общем, настройки Kerio.

Настройки Traffic Policy:

ПРАВИЛО ДЛЯ ВХОДЯЩЕГО ТРАФФИКА

Name — IP-Phones IN
Source — Internet_Optical
Destination — Firewall
Service — SIP
Action — Permit
Log
Translation — MAP 192.168.101.50

ПРАВИЛО ДЛЯ ИСХОДЯЩЕГО ТРАФФИКА

Name — IP-Phones OUT
Source — 192.168.101.50
Destination — Internet_Optical
Service — All UDP Ports
Action — Permit
Log
Translation — NAT (Internet_Optical)

192.168.101.50 — IP адрес IP-телефона во внутренней сети

В разделе Services УБРАТЬ Protocol Inspector у SIP .

All UDP Ports — создать в разделе Services (Protocol — UDP, Source — Any, Destination — 1024-65535)

Internet_Optical — моя сетевая карта которая подключена на внешнюю сеть.

Ах, да. Чуть не забыл. У вас должен быть РЕАЛЬНЫЙ постоянный внешний IP адрес и провайдер не должен ничего там у себя фильтровать. Это выясняйте у своего прова. Некоторые дают реальный IP за отдельную абон плату.

Читайте также:  Onkyo hf player настройка

Настройки телефона делал по стандартным рекомендациям с сайта www.sipnet.ru
Ох и ламеры там в техподдержке :down:, можно даже не звонить — проку не будет ! 😡 Просто читайте мат часть.

H.323 не пробовал ибо не было нужды в этом.
Если не получится и будут вопросы — пишите 305448813.
Постараюсь ответить.

SAV
А у меня так не получается

Проверка с помощью Ethereal показала, что при SIP запросе winroute переписывает source port 5060 на свой (например 51653), немного меняя его время от времени. Есть предположение, что в этом и причина, т.к. напрямую телефон работает нормально.

Можно ли заставить winroute не менять source port?

В настройках Services у протокола SIP по умолчанию в Source Port стоит Any.
Я предполагаю, что поставив конкретное значение можно зафиксировать Source порт.

P.S. Кстати, в настройках самого телефона все в порядке ?(Добавление)
И, кстати, какой телефон ?

Делал, не помогает.
Подробнее проблему описал тут
http://forum.ixbt.com/topic.cgi?id=7:12821-60#5311

Телефон Sipura SPA3000. Дело точно не в нем. Во-первых, напрямую он работает без проблем. Во-вторых, проверял на софтовом телефоне eyeBeam, ответ тот же — на машине с winroute работает нормально, из локалки регистрация не проходит, пакеты уходят с другим source port, ответа нет.
Может посмотрите с Ethereal, как оно у Вас? Дело простое и быстрое.

Я все здесь дважды прочитал по поводу СИП протокола и как запустить воип телефонию через керио, но так и не получилось
Скайп работает без проблем, а вот EyeBeam 1.1 не хочет и немогу понять в чем причина Я пробовал все варианты описанные выше — не получилось.

Ситуация такова: Есть програмка EyeBeam 1.1 используется для общения через СИП протокол, вообщем я думаю вы наверное знаете, стоит на машине в лок сети 192.168.0.12 и 192.168.0.13. Фаервол с 2-мя сетевухами 1. смотрит в сеть с айпи 192.168.0.100 и другая 172.XX.XX.XXX и айпи АДСЛ-Модема 172.XX.XX.XXX Подключение через РРРОЕ. Все компьютера выходят в инет через фаервол Керио. На сайте сервиса voip.billing. регистрация проходит и все нормально. Установил на 2-х машинах в локальной сети две эти програмки, зарегил 2 номера и звоню с одного номера на другой происходит такая ситуация — когда я звоню оппоненту этой же сети, набирается набор номера и все звонит, но когда человек подымает трубку на другом конце провода и начинает разговаривать, то у меня при этом продолжает идти зумер дозвона дальше.
Когда же я звоню оппоненту в другой город то когда там подымают трубку, у меня тоже начинается начало разговора, но при этом мы друг друга не слышим.
Почему считаю что проблема у меня с фаерволом — у всех остальных без фаервола работает нормально. Только когда связываются со мной то неслышно голоса. Медиа все нормально настроено.
Помогите пожалуйста, долблюсь уже недели 2

Читайте также:  Настройка crash bandicoot trilogy

______________________________________________________________________ _
Блять, скрывайте реальные ИП номера. Давно модем не конфигурил?? Так тебе быстро помогут.

Зарегистрируйся на sipnet.ru, настрой соответсвующе для абонента сипнета устройство, а на Firewall сделай правило:
source: inet, destination: Firewal,l servise: sip и проверь:

source:Firewall , destination: inet, servise: Any (для FireWall трафика)

в этом случае все работает

Всем доброго дня!
Есть к вам вопрос по поводу подключения 2-х коробочек linksys ip( 191,100,100,114 и 191,100,100,115)!
используется протокол сип
настроил керио
Настройки Traffic Policy поставил как выше указал SAV

Настройки Traffic Policy:

ПРАВИЛО ДЛЯ ВХОДЯЩЕГО ТРАФФИКА

Name — IP-Phones IN
Source — Internet_Optical
Destination — Firewall
Service — SIP
Action — Permit
Log
Translation — MAP 191.100.100.114

ПРАВИЛО ДЛЯ ИСХОДЯЩЕГО ТРАФФИКА

Name — IP-Phones OUT
Source — 191.100.100.114
Destination — Internet_Optical
Service — All UDP Ports
Action — Permit
Log
Translation — NAT (Internet_Optical)

ПРАВИЛО ДЛЯ ВХОДЯЩЕГО ТРАФФИКА

Name — IP-Phones IN
Source — Internet_Optical
Destination — Firewall
Service — SIP
Action — Permit
Log
Translation — MAP 191.100.100.115

ПРАВИЛО ДЛЯ ИСХОДЯЩЕГО ТРАФФИКА

Name — IP-Phones OUT
Source — 191.100.100.115
Destination — Internet_Optical
Service — All UDP Ports
Action — Permit
Log
Translation — NAT (Internet_Optical)

191.100.100.114-191.100.100.115 — IP адрес IP-телефонов во внутренней сети

В разделе Services УБРАТЬ Protocol Inspector у SIP .

All UDP Ports — создать в разделе Services (Protocol — UDP, Source — Any, Destination — 1024-65535)

Но получается что работает только одна из них.
Правила создавал для каждой из них по примеру.

Источник

Adblock
detector