Комментарии 17
У меня стойкое ощущение того, что я прочитал первый вменяемо оформленный вопрос на тостере…
По сабжу… на микротике лучше пишите скрипт.
А почему лучше на микроте?
Проблемы микротика логичнее решать на микротике.
Вообще перирегистрация идет каждые 120 секунд. В норме так же показывает — 59минут?
Вообще перирегистрация идет каждые 120 секунд. В норме так же показывает — 59минут?
Учитывая, что в скрипте вы всё равно коннектитесь к микротику, то лучше на микротике. А учитывая, что за сеть и телефонию могут отвечать разные люди, то могут такое решение не пропустить по безопасности.
Соединения залипают и при разрыве VPN сессий.
Так получается потому что, если нужный маршрут unreachable, маршрут идет через таблицу main
Помогает создать второй маршрут с бОльшей метрикой в сторону филиала и type=blackhole.
Либо netwatch и по поднятию сессии дропать sip
Так получается потому что, если нужный маршрут unreachable, маршрут идет через таблицу main
Помогает создать второй маршрут с бОльшей метрикой в сторону филиала и type=blackhole.
Либо netwatch и по поднятию сессии дропать sip
Так вот в том-то и цимес, что при разрыве и последующем восстановлении VPN-соединений с филиалами SIP-сессии моментально восстанавливаются (ну, как моментально — в соответствии с таймером REFRESH) и работают без дополнительного возложения рук, а те, что проходят через NAT залипают.
Была похожая ситуация.
Когда подключены к провайдеру через впн, то обычно маскарад настроен на двух интерфейсах, впн и физическом в сторону провайдера.
Если падает впн с провайдером, то остаётся маскарад на интерфейсе в сторону провайдера, и нат сессии зависают на этом втором интерфейсе, даже после повторного подключения впн.
Аналогичная ситуация возникает, когда подключены два провайдера с резервированием. Один провайдер упал, потом вернулся, а нат сессии остались висеть на резервном. Причём такое бывало и на cisco.
Когда подключены к провайдеру через впн, то обычно маскарад настроен на двух интерфейсах, впн и физическом в сторону провайдера.
Если падает впн с провайдером, то остаётся маскарад на интерфейсе в сторону провайдера, и нат сессии зависают на этом втором интерфейсе, даже после повторного подключения впн.
Аналогичная ситуация возникает, когда подключены два провайдера с резервированием. Один провайдер упал, потом вернулся, а нат сессии остались висеть на резервном. Причём такое бывало и на cisco.
В случае резервирования должен быть скрипт, который заставляет Asterisk перерегистрировать транки через новый IP-адрес (другого провайдера). Я экспериментировал с этим, но пока устойчивого результата добиться не удалось.
Когда подключены к провайдеру через впн, то обычно маскарад настроен на двух интерфейсах, впн и физическом в сторону провайдера.
А зачем так? Маскарад нужен исключительно для хостов локальной сети, чтобы выходить в интернет. VPN-же соединение до провайдера поднимает роутер — не хост внутри локалки, а роутер со своего пусть серого адреса, который ему выдал провайдер, но который находится внутри сети провайдера и с которого достижим, по крайней мере, адрес VPN-шлюза.
Иногда нужен доступ к локальной сети провайдера, например, вход в личный кабинет.
Да и вообще это же настройка по умолчанию.
А если вдруг роутер с филиалом переедет еще куда-то (как всегда без информирования ИТ), то с высокой вероятностью он может сразу начать раздавать интернет на новом месте, или человек по телефону сможет изменить статический адрес без ковыряния в дебрях фаервола.
Да и вообще это же настройка по умолчанию.
А если вдруг роутер с филиалом переедет еще куда-то (как всегда без информирования ИТ), то с высокой вероятностью он может сразу начать раздавать интернет на новом месте, или человек по телефону сможет изменить статический адрес без ковыряния в дебрях фаервола.
net.ipv4.ip_dynaddr = 1 на микротике выставить представляется возможным?
Вот прямо так указать возможности нет. В Микроте в разделе /ip firewall nat создается правило маскарадинга через WAN интерфейс, и оно срабатывает моментально при изменении его IP-адреса после реконнекта PPPoE сессии, например.
В моем же примере на PPPoE интерфейсе адрес автостатический, т.е. его всё же выдает провайдер при поднятии сессии, но при этом всегда один и тот же.
В моем же примере на PPPoE интерфейсе адрес автостатический, т.е. его всё же выдает провайдер при поднятии сессии, но при этом всегда один и тот же.
Тоже была похожая ситуация с залипанием udp в sip трафике, но вроде только проблема с голосом была. Мне помогло /ip firewall service-port disable sip,
Это тоже метод, но помогает далеко не всегда.
И менять эту опцию надо совместно с настройкой NAT в Chan SIP/PJSIP.
И менять эту опцию надо совместно с настройкой NAT в Chan SIP/PJSIP.
Это тот же sip alg, его надо в 100% случаев вырубать если между клиентами и сервером нат. Присутствует в любом роутере. Создан для поправки косяков циско-решений, которые не смогли сами в sip. Астеру сильно мешает.
Остальные роутера тупо работают годами и ничего не требуют.
Одни некротики мозг парят, задолбали… за статью спасибо. Буду на нее ссылку давать когда очередной сисадмин очередного клиента будет с пафосом "у нас МИКРОТИК!!1!" говорить на просьбу перегрузить роутер, и не верить что он причина проблем.
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Asterisk: внешние транки в состоянии Request Sent