Já bych jen přidal, že volba udp/tcp má vliv jen na signalizaci nikoli na zvuk samotný neboli RTP. Pro ten se vždy použije UDP a běží na jiném portu. TCP nelze pro hlas/video použít z toho důvodu, že jediný ztracený paket (relativně časté - nesmyslně malých paketů je obrovské množství) by způsobil pětivteřinový výpadek, než se přepošle znovu.
RTP port na straně serveru určuje server - napíše ip a port do signalizace - na straně klienta na tom nezáleží, port stejně změní NAT (ten to dělá podle sebe). Server prostě posílá RTP na stejnou ip adresu a port, odkud chodí RTP v druhém směru. Tedy stačí obyčejný NAT, aby pakety přeposlal i v druhém směru, a vše funguje. Neprznit a nezahazovat je jediná nutná vlastnost. Pevné forwardování portů také není třeba. Prostě nic speciálního je základ.
Ta Nokia funguje jinde dobře, ale jak je tam Mikrotik, tak je špatně slyšet?
Pak musí Mikrotik nějak prznit - nejspíše zahazovat - část RTP paketů.
Obecně mi připadá, že problém s VoIP mají jen příliš chytré routery. Obyčejný router za 300 Kč nezlobí v podstatě nikdy. Dražší modely mají různé nesmyslné funkce jako SIP ALG či nesmyslné špatně dokumentované funkce firewallu. SIP ALG je v podstatě takové neužitečné nesmyslné kurvítko, které dělá problémy.
https://www.802.cz/sip-alg/
SIP ALG zasahuje do signalizačních paketů a mění jejich obsah (ip adresy SIP hlavičkách, které stejně nikdo nečte) podle pochybné zvrácené logiky, která často nefunguje, tedy z paketů zvnikají nesmysly. Tomu se lze v podstatě vždy vyhnout, když použijete ten nestandardní port na odoriku, což jste již udělal. Tedy SIP ALG jsme se zbavili. O SIP ALG mluvím proto, abych demonstroval jaké zvrácenosti jsou výrobci routerů schopni přidat, aby to vypadalo, že má jejich výrobek více funkcí a přitom takový SIP ALG je už z principu zvrácenost. U špatně dokumentované nesmyslné funkci firewallu se to, že je z principu nesmyslná dokazuje mnohem hůře.
Změna lokálního portu není tak podstatná, tedy že na Nokiích nejde změnit, lokální port nevadí.
Ještě ale nejspíš máte zapnuté nějaké další kurvítko, jako příliš inteligentní firewal?
Podle mého názoru základní firewall, který zabrání možnost adresovat lokální ip adresy z internetu (ten by měl být vždy součást routeru a defaultně zapnut), plus korektně fungující bezpečný typ NATu je pro bezpečnost naprosto dostatečné. Stačí k tomu, že z internetu jste jen těžko napadnutelní, pokud sami neotevřete spojení zevnitř s oním útočníkem. Hlavní nebezpečí spočívá v tom, že si někde stáhnete vir nebo trojského koně. Tomu ale firewall nezabrání nikdy. Leda že by blokoval uživatelovi různé webové stránky, četl emaily a podobně. Pak to už ale není firewall.
Když Mikrotik vyřadíte, tak to přestane dělat? Je možné, že za to Mikrotik nemůže, nebo ne způsobem, jaký se tady snažím nastínit.