У нас была такая же проблема на Juniper SRX на junos 12.1R2.9.
У провайдера SIP есть 4 IP-адреса, которые меняются циклическим перебором DNS, и, очевидно, сотни (максимум 512 IP-адресов), которые отправляли пакеты RTP.
Предыдущий межсетевой экран был Snapgear, старым, но с легкостью в использовании. Juniper имеет симметричный NAT и кажется более строгим.
Нам удалось получить звук изнутри наружу, используя постоянный источник nat.
Для звука снаружи внутрь нам пришлось добавить правило nat источника:
Постоянный NAT гарантирует, что трафик разрешен. Очевидно, это работает. источник { pool sip-zipt-nl-no-round-robin { адрес { 131.131.160.2/32; } } постоянный адрес; interface { порт-перегрузка отключена; } rule-set trust-to-untrust { из зоны доверия; зонировать недоверие; rule source-nat-rule { соответствие { адрес источника 0.0.0.0/0; } тогда { source-nat { interface { persistent-nat { разрешить любой удаленный хост; } } } } } }
набор правил sip-incoming { из зоны недоверия; зонировать доверие; rule sip-zipt-nl-no-round-robin { соответствие { исходный адрес 131.131.160.0/23; адрес назначения 0.0.0.0/0; } тогда { source-nat { бассейн { sip-zipt-nl-no-round-robin; } } } } } }