У меня есть проблемы с iax-трафиком маршрутизации pfsense-поля (порт UDP 4569). Наша компания имеет центральную станцию и восемь филиалов. В филиалах мы используем pfsense в качестве брандмауэра и конечных точек VPN (openVPN). В семи офисах это хорошо работает, но в одном у меня есть проблема.
Ответвление:
центральная станция:
Мой pfsense в филиале:
Сеть похожа
Asterisk-server branch
192.168.74.4
|
|
192.168.74.1
pfsense branch - - - Internet
192.168.251.70 ovpnc1
|
|
192.168.251.71
router at central
192.168.24.1
|
|
192.168.24.4
Asterisk-server central
Мне нужно iax-соединение между этими двумя серверами Звездочки. Iax использует порт UDP 4569. ICMP - соединения между работой серверов. Я могу получить время от сервера 192.168.24.4, с помощью NTP (порт UDP 123). Я могу traceroute от одного сервера до другого использования traceroute -U -p 4569 192.168....
Но я не получаю iax-соединение.
Каждый 20-е серверы пытаются соединиться. Я вижу пакеты от центральной станции в Интерфейсе VPN при ответвлении, но они не становятся направленными. Пакеты с сервера ответвления достигают интерфейса em1, но не направляются к ovpnc1, но к em4 (подмененный для обращения 93.83.xxx.yyy)!
**My routing table:**
Destination Gateway Flags Refs Use Netif Expire
default 93.83.252.93 UGS 0 2273458 em4
10.10.3.0/24 192.168.251.71 UGS 0 0 ovpnc1
93.83.252.92/30 link#5 U 0 85179 em4
93.83.252.94 link#5 UHS 0 0 lo0
127.0.0.1 link#7 UH 0 552 lo0
192.168.0.0/16 192.168.251.71 UGS 1 166089 ovpnc1
192.168.24.0/24 192.168.251.71 UGS 0 2556 ovpnc1
192.168.70.0/24 link#6 U 0 154097906 em5
192.168.70.1 link#6 UHS 0 0 lo0
192.168.71.0/24 link#1 U 0 512824632 em0
192.168.71.1 link#1 UHS 0 0 lo0
192.168.72.0/24 link#3 U 0 0 em2
192.168.72.1 link#3 UHS 0 0 lo0
192.168.74.0/24 link#2 U 0 20264 em1
192.168.74.1 link#2 UHS 0 0 lo0
192.168.251.70 link#11 UHS 0 4 lo0
192.168.251.71 link#11 UH 0 3 ovpnc1
Мои правила брандмауэра
Мне не разрешают разместить фотографии, таким образом, я должен сказать Вам, что у меня есть правило позволить TCP и трафик UDP от любого порта любой к серверу Звездочки в центральной станции с dport 4569 в телефонном интерфейсе em1.
В Интерфейсе VPN ovpnc1 у меня есть правило весь трафик UDP от Звездочки в центральном к Звездочке при ответвлении по любому порту.
Весь другой трафик через туннель хорошо работает.
Так, pfsense-поле при ответвлении не направляет iax-трафик правильно :-((
Я понятия не имею и был бы очень рад получить некоторую справку.
Перезагрузка pfsense решила проблему, но это плохое чувство, если вы не знаете, будет ли ваш телефон работать: - ((
Меня все еще интересуют идеи и предложения по причина моей проблемы!
С уважением, Карл
Я обнаружил, что с IAX2 и PFsense происходят очень странные вещи. У меня есть последняя версия PFsense (2.2.1, 13 марта 2015 г.), и это также согласуется со всем моим предыдущим опытом:
PFsense, похоже, НЕ применяет правила NAT к пакетам IAX2. Если я настроил дамп пакетов на pppoe0 (идущий к моему поставщику услуг DSL), я вижу пакеты, приходящие с порта 192.168.1.168 4569, который является внутренним IP-адресом за моим NAT. Никакие другие хосты не отправляют пакеты, которые не получают NAT, и у меня нет особых правил или исключений для трафика IAX2 (я установил по умолчанию, чтобы убедиться, и выполнил «tcpdump -n -i pppoe0 net 192.168.0. 1.0 / 24 "для проверки.)
Исправление: в PFsense, если я захожу в« Диагностика -> Состояния », а затем ищу« 4569 »в таблице состояний, я нахожу несколько записей. Я их удаляю. Престо! IAX2 начинает работать. Это очень сбивает с толку. Я должен делать это каждый раз при перезагрузке PFsense.