Nastavení MIKROTIK pro použítí se SIP

Diskuze o telefonování a telefonních službách, rady, návody, připomínky, ...

Nastavení MIKROTIK pro použítí se SIP

Příspěvekod gyrus » úte 06. bře 2018 13:06:34

Pořídil jsem nový router. V LAN za ním jsou SIP telefony. Při vytočení čísla se nic neděje, ale na druhé straně to zvoní, ja ve sluchátku však neslyším ani vyzváněcí tón, ani potom volaného. Dle logu, to vypadá, že se hovor za 5 s sám přeruší (viz hovory např. 248693471, 248702413, 248717559).
Tipoval bych, že firewall nepustí komunikaci se zvukem. Co bych měl nastavit jinak? (Předtím jsem zde měl nějaký TPlink a fungovalo to bez problémů i bez nějakých speciálních pravidel ve firewallu).
Zajímavé je, že z CSIPsimple z též sítě neslyším vyzvánění, ale hovor se pak spojí (248716605).
gyrus
 
Příspěvky: 37
Registrován: sob 05. pro 2015 21:14:45

Re: Nastavení MIKROTIK pro použítí se SIP

Příspěvekod mobilemanic » úte 06. bře 2018 14:57:45

Jak máte nastavený základ toho firewallu? Tak jak se to nastavilo po vybalení? To by mělo obvykle fungovat bez jakýchkoliv změn.

Používám IP-Firewall-Service Ports a tam mám nastavené sip 5060 a 5061 a poradí si to samo....
mobilemanic
 
Příspěvky: 463
Registrován: čtv 10. říj 2013 10:20:15

Re: Nastavení MIKROTIK pro použítí se SIP

Příspěvekod gyrus » úte 06. bře 2018 15:22:42

Základ nastavení firewallu je jako po vybalení. Service port jsou nastaveny na 5060, 5061.
Ještě jsem si všiml, že ve výpisu Registrovaná SIP zařízení, je u toho telefonu lokální IP - unknown.
Když service ports vypnu, tak pak ve výpisu již lokální IP vidím.
gyrus
 
Příspěvky: 37
Registrován: sob 05. pro 2015 21:14:45

Re: Nastavení MIKROTIK pro použítí se SIP

Příspěvekod kovik » úte 06. bře 2018 16:59:47

gyrus píše:Pořídil jsem nový router. V LAN za ním jsou SIP telefony. Při vytočení čísla se nic neděje, ale na druhé straně to zvoní, ja ve sluchátku však neslyším ani vyzváněcí tón, ani potom volaného. Dle logu, to vypadá, že se hovor za 5 s sám přeruší (viz hovory např. 248693471, 248702413, 248717559).
Tipoval bych, že firewall nepustí komunikaci se zvukem. Co bych měl nastavit jinak? (Předtím jsem zde měl nějaký TPlink a fungovalo to bez problémů i bez nějakých speciálních pravidel ve firewallu).
Zajímavé je, že z CSIPsimple z též sítě neslyším vyzvánění, ale hovor se pak spojí (248716605).


Dobry den,
podle signalizace to vypada na sip alg viz napr. http://forum.odorik.cz/viewtopic.php?f=25&t=1274
Zmente lokalni port na zarizeni na nejaky jiny nez 5060 a na Odorik se prihlaste na port 6688 (sip.odorik.cz:6688).
Nebo zkuste sip alg vypnout. http://support.clouditsp.com/index.php?/Knowledgebase/Article/View/78/47/how-to-disable-sip-alg-on-a-mikrotik
Uživatelský avatar
kovik
 
Příspěvky: 429
Registrován: stř 16. lis 2011 12:07:52

Re: Nastavení MIKROTIK pro použítí se SIP

Příspěvekod gyrus » úte 06. bře 2018 21:49:36

Dobrý den,

bohužel zapnutí/vypnutí servisních portů na MIKROTIKu nemá vliv.
Při změně portu na odoriku na 443 nebo 6688 mě volaný již slyší, ale do sluchátka dostávám sakadovaný zvuk, který je bohužel zcela nepoužitelný. Nepomohla ani změna UDP na TCP.
Nedaří se mi změnit lokální port na něco jiného než 5060 - používám interního klienta na starých mobilních Nokií a přijde mi, že tam lokální port nelze změnit?
Je zajímavé, že Linksys, stejně jako CSIPsimple na Adroidu fungují správně.
Kde mohu ještě hledat, co mám ještě zkusit změnit? Moc se mi nechce těch Nokií vzdát, na mé použití je to nejflexibilnější.
Děkuji.
gyrus
 
Příspěvky: 37
Registrován: sob 05. pro 2015 21:14:45

Re: Nastavení MIKROTIK pro použítí se SIP

Příspěvekod xsouku04 » stř 07. bře 2018 1:27:34

Já bych jen přidal, že volba udp/tcp má vliv jen na signalizaci nikoli na zvuk samotný neboli RTP. Pro ten se vždy použije UDP a běží na jiném portu. TCP nelze pro hlas/video použít z toho důvodu, že jediný ztracený paket (relativně časté - nesmyslně malých paketů je obrovské množství) by způsobil pětivteřinový výpadek, než se přepošle znovu.
RTP port na straně serveru určuje server - napíše ip a port do signalizace - na straně klienta na tom nezáleží, port stejně změní NAT (ten to dělá podle sebe). Server prostě posílá RTP na stejnou ip adresu a port, odkud chodí RTP v druhém směru. Tedy stačí obyčejný NAT, aby pakety přeposlal i v druhém směru, a vše funguje. Neprznit a nezahazovat je jediná nutná vlastnost. Pevné forwardování portů také není třeba. Prostě nic speciálního je základ.
Ta Nokia funguje jinde dobře, ale jak je tam Mikrotik, tak je špatně slyšet?
Pak musí Mikrotik nějak prznit - nejspíše zahazovat - část RTP paketů.

Obecně mi připadá, že problém s VoIP mají jen příliš chytré routery. Obyčejný router za 300 Kč nezlobí v podstatě nikdy. Dražší modely mají různé nesmyslné funkce jako SIP ALG či nesmyslné špatně dokumentované funkce firewallu. SIP ALG je v podstatě takové neužitečné nesmyslné kurvítko, které dělá problémy. https://www.802.cz/sip-alg/

SIP ALG zasahuje do signalizačních paketů a mění jejich obsah (ip adresy SIP hlavičkách, které stejně nikdo nečte) podle pochybné zvrácené logiky, která často nefunguje, tedy z paketů zvnikají nesmysly. Tomu se lze v podstatě vždy vyhnout, když použijete ten nestandardní port na odoriku, což jste již udělal. Tedy SIP ALG jsme se zbavili. O SIP ALG mluvím proto, abych demonstroval jaké zvrácenosti jsou výrobci routerů schopni přidat, aby to vypadalo, že má jejich výrobek více funkcí a přitom takový SIP ALG je už z principu zvrácenost. U špatně dokumentované nesmyslné funkci firewallu se to, že je z principu nesmyslná dokazuje mnohem hůře.

Změna lokálního portu není tak podstatná, tedy že na Nokiích nejde změnit, lokální port nevadí.

Ještě ale nejspíš máte zapnuté nějaké další kurvítko, jako příliš inteligentní firewal?

Podle mého názoru základní firewall, který zabrání možnost adresovat lokální ip adresy z internetu (ten by měl být vždy součást routeru a defaultně zapnut), plus korektně fungující bezpečný typ NATu je pro bezpečnost naprosto dostatečné. Stačí k tomu, že z internetu jste jen těžko napadnutelní, pokud sami neotevřete spojení zevnitř s oním útočníkem. Hlavní nebezpečí spočívá v tom, že si někde stáhnete vir nebo trojského koně. Tomu ale firewall nezabrání nikdy. Leda že by blokoval uživatelovi různé webové stránky, četl emaily a podobně. Pak to už ale není firewall.

Když Mikrotik vyřadíte, tak to přestane dělat? Je možné, že za to Mikrotik nemůže, nebo ne způsobem, jaký se tady snažím nastínit.
Uživatelský avatar
xsouku04
Administrátor
 
Příspěvky: 6562
Registrován: pát 15. říj 2010 11:11:44
Bydliště: Brno

Re: Nastavení MIKROTIK pro použítí se SIP

Příspěvekod gyrus » stř 07. bře 2018 16:30:08

Nyní stav vypadá tak, že všechny Nokie za Mikrotikem mají sakadovaný příchozí zvuk (již to není typický one way audio). Ostatní zařízení Sipura nebo CSIPsimple fungují správně, ať jsou na jakémkoliv lokálním portu či na portu na serveru (včetně 5060). U Nokie neumím lokální port změnit. Problém je přítomen, i když je Nokie jediné SIP zařízení v síti.

Na MIKROTIKU je SIP helper/servisní port vypnutý. Zkoušel jsem i udělat virtuální wifi, kde bude Nokie jediný klient a v NATu budou všechny UTP směřovány na ní, ale to také nepomohlo.

Ta samá Nokie s jiným routerem a se stejným nastavením telefonu funguje správně. Vypadá to tedy, že problém je v nastavení firewallu (nebo něčeho jiného) v MIKROTIKU. Ale už nevím, co dál zkoušet, či co změnit.

MIKROTIK jakou router jsem vybíral cíleně, kvůli ssh, vpn a možnosti selektivně nastavit firewall. S jednodušším routerem nám začali vypadávat pakety a nedalo se vzdáleně pracovat.
gyrus
 
Příspěvky: 37
Registrován: sob 05. pro 2015 21:14:45


Zpět na odorik.cz

Kdo je online

Uživatelé procházející toto fórum: Google [Bot] a 2 návštevníků