[AsteriskBrasil] RES: Asterisk NAT acesso externo

Noel R. Morais noelrocha em gmail.com
Quinta Abril 6 11:43:12 BRT 2006


Felipe, o asterisk usa as portas 8000:8009, 50000:50100?

Não entendi o pq vc colocou isso no IPTABLES:

$IPTABLES -A FORWARD -p udp -s $LAN_IP --sport 8000:8009      -j ACCEPT
$IPTABLES -A FORWARD -p udp -s $LAN_IP --sport 8000:8009      -j ACCEPT
$IPTABLES -A FORWARD -p udp -d $LAN_IP --dport 50000:50100 -j ACCEPT
$IPTABLES -A FORWARD -p udp -d $LAN_IP --dport 8000:8009     -j ACCEPT

On 3/3/06, Erivan Pereira <voip em icmp.com.br> wrote:
> Felipe, vou colocar aqui minhas configurações pra ver se server para você.
>
> sip.conf
>
> [general]
> context=default
> port=5060
> externip= coloque aqui seu IP valido / ou dominio
> localnet=172.16.0.0/255.255.0.0   / sua LAN
> nat=yes
> bindaddr = 0.0.0.0
> trustrpid=yes
> canreinvite=no
> disallow=all
> allow=g723
> allow=ilbc
> allow=gsm
> axexpirey=120
> defaultexpirey=80
> dtmfmode=rfc2833
> language=en
>
>
> IPTABLES
>
> $IPTABLES -A FORWARD -p udp  --dport 5060:5062 -j ACCEPT
> $IPTABLES -A FORWARD -p udp -s $LAN_IP --sport 8000:8009      -j ACCEPT
> $IPTABLES -A FORWARD -p udp -s $LAN_IP --sport 8000:8009      -j ACCEPT
> $IPTABLES -A FORWARD -p udp -d $LAN_IP --dport 50000:50100 -j ACCEPT
> $IPTABLES -A FORWARD -p udp -d $LAN_IP --dport 8000:8009     -j ACCEPT
> $IPTABLES -A FORWARD -p udp  --dport 10000:20000                   -j ACCEPT
>
>
> Redirecionamento
> $IPTABLES -t nat -A PREROUTING -p udp --dport 5060:5080 -i eth0  -j DNAT
> --to-destination 172.16.0.71
> $IPTABLES -t nat -A PREROUTING -p udp --dport 10000:20000 -i eth0 -j
> DNAT --to-destination 172.16.0.71
>
>
> Todo mundo acesso com x-lite ou ATA sem problema.
>
>
>
> Jefferson B. Limeira wrote:
>
> >Saudações Lista,
> >
> >  Peguei o bonde andando... mas opinião pessoal: só fazendo o nat da porta
> >udp/5060, você já consegue logar. Isso é fácil, uma regra no iptables e pronto.
> >O problema é comunicação de dados pro tráfego de voz, além do RTP, são feitos
> >por portas aleátorias, acima de 1024. Por mais que você fique
> >logando/analisando as retrições do firewall e liberando... sempre vai mudar de
> >porta e causar novos problemas.
> >Pra que garanta o funcionamento sempre maiores problemas, o ideal é que você
> >libere (no firewall que faz teu nat) conexões externa UDP acima de 1024 pra tua
> >máquina com asterisk. Mesmo que você não tivesse atrás de um NAT, mas usando um
> >firewall, você teria que liberar tais portas para que seus peers consigam
> >conversar.
> >Lembre-se que se teu cliente estiver atrás de outro NAT, exceto com a
> >configuração de quem faz o NAT pra ele, o tráfego de dados de voz SEMPRE vai
> >passar pelo teu asterisk. Mesmo estando um gateway aqui, outro na sala do lado,
> >e teu asterisk a 1500km de distância. o canreinvite não funciona com nat.
> >
> >Abraços, Jefferson.
> >
> >Citando "André Felipe R. dos Santos" <andre em windstar.com.br>:
> >
> >
> >
> >>Como que vc fez pra funcionar o * Erivan?
> >>
> >>pois estou com o mesmo problema
> >>eu tenho um firewall linux com slackware.....e atras dele esta o meu *
> >>dentro da rede interna funciona tudo que eh uma blz......
> >>
> >>mas de fora eu ate consigo me logar no *, fazer ou receber ligacoes....
> >>porem nao escuto e a pessoa tb nao escuta nda na ligacao.......
> >>
> >>se poder me ajudar ou me dar uma dica eu agradeco.... inte........
> >>
> >>Erivan Pereira wrote:
> >>
> >>
> >>
> >>>Felipe, muito obrigado pela dica. Mas como você disse vou  disponibiizar
> >>>o voip para terceiros.
> >>>
> >>>Mas já tá tudo funcionado perfeitamente.
> >>>Precisando de algo estou a disposição.
> >>>
> >>>Erivan Pereira
> >>>
> >>>Filipe Mordhorst wrote:
> >>>
> >>>
> >>>
> >>>>Erivan,
> >>>>
> >>>>Se for possível, estabeleça uma VPN entre o agente que estiver na Internet
> >>>>
> >>>>
> >>e
> >>
> >>
> >>>>a LAN com o servidor do Asterisk. Não é exatamente o que você perguntou,
> >>>>
> >>>>
> >>mas
> >>
> >>
> >>>>acaba com o problema de NAT para SIP e ainda lhe oferece uma grande melhora
> >>>>na questão de segurança. Funciona muito bem.
> >>>>Caso a sua idéia seja oferecer a VoIP para terceiros, daí realmente fica
> >>>>complicado fugir de uma NAT.
> >>>>O site www.voip-info.org traz muita informação sobre isso.
> >>>>
> >>>>Abraços,
> >>>>----
> >>>>Filipe Mordhorst
> >>>>
> >>>>Oi, pessoal
> >>>>
> >>>>Roteador                                 Linux
> >>>>Router                          Asterisk
> >>>>|------------------------------| <------>
> >>>>|----------------------------|  <------------->  |-----------------------|
> >>>>                                            eth0
> >>>>eth1                     eth0
> >>>>200.x.x.1                               200.x.x.2
> >>>>172.16.0.1           172.16.0.71
> >>>>                                                 |                   |
> >>>>                                                 |     NAT       |
> >>>>Tentei fazer um gráfico para tentar explicar melhor meu problema. Como
> >>>>podem ver, meu Asterisk está rodando atrás de um Linux Box que faz Nat
> >>>>para Internet.  No Asterisk, tenho dois peers SIP registrados que uso
> >>>>para fazer ligações para PSTN. Para essa função tá tudo funcionando
> >>>>perfeitamente, mas gostaria de acessar meu Asterisk pela Internet. Já
> >>>>tentei fazer redirecioamento de porta com iptables mas não tem dado
> >>>>certo. Caso alguém saiba com resolver isso fico grato.
> >>>>Abaixo um link que consegui que promete justamente isso, mas não funfou
> >>>>
> >>>>
> >>não.
> >>
> >>
> >>>>http://www.it46.se/wsis/show_entry.php?id=12&lang=en
> >>>>
> >>>>Atenciosamente,
> >>>>Erivan Pereira
> >>>>
> >>>>
> >
> >
> >
> >
>
> _______________________________________________
> LIsta de discussões AsteriskBrasil.org
> AsteriskBrasil em listas.asteriskbrasil.org
> http://listas.asteriskbrasil.org/mailman/listinfo/asteriskbrasil
>
> _______________________________________________
> Acesse o  wiki AsteriskBrasil.org:
> http://www.asteriskbrasil.org
>


--
_________
Noel R. Morais


Mais detalhes sobre a lista de discussão AsteriskBrasil