iptables + vpnc + IP-телефон Cisco 7941

1171
asdfgg

У меня есть шлюз Linux с ядром 2.6.39, подключенный к Cisco ASA 5500 с помощью vpnc. Я использую iptables с маскировкой и переадресацией, чтобы предоставить LAN доступ к устройству tun0, подключенному к VPN.

Мой IP-телефон Cisco 7941 может подключаться к диспетчеру вызовов, но я получаю только одностороннюю аудиосвязь, когда вызов установлен. tcpdump -i any на моем шлюзе LAN показывает трафик rtp, исходящий от IP-адреса моего телефона, затем с NAT-адресом на адрес tun0 и, наконец, через мой интерфейс ext, инкапсулированный в esp. tcpdump на интерфейсе tun0 показывает только трафик, идущий в пункт назначения rtp с IP-адреса tun0 src. С точки зрения моей локальной сети исходящий трафик rtp транслируется правильно.

Однако системный журнал asa показывает, что мой IP-адрес локальной сети, а не мой адрес tun0, был удален на удаленном сервере VPN. Любые предложения, как приступить к устранению неполадок?

0
Так что исходящий поток rtp беспрепятственный? Где останавливается входящий поток rtp? Скорее всего, там есть брандмауэр, который имеет какие-то alg, spi или другую форму настройки обнаружения вторжений. Другая распространенная проблема с односторонней передачей звука - это проблема с запуском портов или плохим прохождением NAT, в основном убедитесь, что все ваши порты на всем пути открыты. MaQleod 12 лет назад 0
Исходящий rtp в порядке. Похоже, RTP на телефонный сервер имеет IP-адрес src, который не маршрутизируется в сети корпорации, к которой я подключаюсь. см журнал ниже. Похоже, что IP-телефон не работает правильно, но tcpdump на моем домашнем маршрутизаторе показывает, что происходит. % ASA-4-402116: декапсулированный внутренний пакет не соответствует согласованной политике в SA. Пакет указывает свое назначение как xxx.xxx, его источник как MYHOMELANIP и его протокол как 6. SA определяет свой локальный прокси-сервер как 0.0.0.0/0.0.0.0/0/0 и его remote_proxy как MYVPN_PPPADDR / 255.255.255.255 / 0 / 0. asdfgg 12 лет назад 0

1 ответ на вопрос

0
BurbertBlokenberg

От http://docwiki.cisco.com/wiki/Cisco_Unified_Communications_--_One-Way_Audio :

«Одной из распространенных причин одностороннего или непроходного аудио является ситуация, когда между двумя конечными точками существуют трансляция сетевых адресов (NAT), трансляция адресов портов (PAT) или межсетевые экраны. Протокол SCCP внедряет IP-адреса в полезную нагрузку IP-пакета, чтобы сигнализировать IP-адрес для отправки пакетов RTP. Если устройство, выполняющее NAT или PAT, не знает об этом факте, встроенные IP-адреса не транслируются. Следовательно, получаются односторонние или непрямые аудиосигналы. "

Используйте http://oisec.net/download/skinny/1.48/skinny-proxy.pl на своем шлюзе. Он будет прослушивать порт 2000 и перенаправлять вызовы с вашего IP-телефона в диспетчер вызовов. Использование:

iptables -t nat -A PREROUTING -i $LAN_IFACE -p tcp --dport 2000 -j REDIRECT --to-ports 2000

перенаправить сетевой трафик на скины-прокси. Оно работает.

Похожие вопросы