Asterisk und NAT

[olaf_TT]

Hallo Forum,
ich habe ein Problem mit NAT. Ich habe beim Kunden eine feste IP 193.x.x.x die über den Router per NAT auf die interne 192.x.x.x umgesetzt wird.
Wenn ich mich von extern mit meinem Laptop mit SJPhone versuche zu registrieren funktioniert dies nur wenn ich mit meiner ISDN Karte (direkt Arcor) in das Netz verbinde. Wenn ich mit dem Laptop versuche die Verbindung über mein LAN (Router - NAT) herzustellen funktioniert dies nicht.
Hier meine sip.conf:

1 [general]
2 context=default
3 port=5060
4 bindaddr=0.0.0.0
5 localnet=192.x.x.x/24
6 externip=193.x.x.x
7 ;tos=reliability
8 srvlookup=yes
9 nat=yes


160 [500]
161 type=friend
162 username=500
163 secret=xxx
164 host=dynamic
165 callerid="TEST"=<500>
166 nat=yes
167 disallow=all
168 allow=gsm
169 allow=ulaw
170 allow=alaw
171 qualify=no
172 dtmfmode=rfc2833
173 context=Rufnummernplan

Es kann aber nicht an meinem Router liegen da ich zu einem anderen Asterisk problemlos mit SJPhone mich verbinden kann. Und auch telefonieren!
Was mache ich hier falsch?

 

[ceicke]

Die sip.conf ist relativ uninteressant hierfür. Was sagt denn z.B. dein iptables? Siehst du auf der CLI das ein Verbindungsversuch stattfindet? Wenn du das nicht siehst, dann guck doch mal ob du mit tcpdump oder ethereal auf deinem Asterisk Rechner einen Verbindungsversch siehst. Wenn da nix ist, dann hast du ein Problem mit deinem NAT Zeugs. Schon mal versucht die Ports einfach nur weiterzuleiten?

Gruß,
Christoph

 

[kombjuder]

Hallo olaf_TT,

erstens verate uns mal, welche *-Version du einsetzt. Einzelne config-Zeilen sind unterschiedlich.

Du hast erst mal mit zwei Problemen zu kämpfen:

Die Verbindung deines Rechners ins Internet und die des Asterisk ins Internet.

Für beide müssen die entsprechenden Ports freigeschaltet sein. Wenn du sip verwndest, ist das einmal 5060 und der jeweilige Antwortport.

Für Asterisk brauchst du

4569 iax
5060 sip
und das was du in der rtp.conf eingestellt hast.

Stelle zuerst mal jeweils einen der beiden Rechner in die dmz, damit du weisst, welcher überhaupt Probleme macht.

 

[olaf_TT]

Hallo,
danke ersteinmal für die Antworten.

Siehst du auf der CLI das ein Verbindungsversuch stattfindet?

Also ich sehe auf der CLI sofort ein Connect (und es funktioniert dann ja auch) wenn ich über ISDN ins Internet gehe. Sprich ich habe nur eine Umsetzung über NAT.

Schematisch sieht es so aus wenn es geht:

Laptop -> ISDN -> Internet -> Feste IP -> NAT -> Asterisk

und so wenn es nicht geht:

Laptop -> Router -> Internet -> Feste IP -> NAT -> Asterisk

"iptables" ist alles auf dem Asterisk offen!

erstens verate uns mal, welche *-Version du einsetzt. Einzelne config-Zeilen sind unterschiedlich.

Asterisk 1.0.9-BRIstuffed-0.2.0-RC8o

Für beide müssen die entsprechenden Ports freigeschaltet sein. Wenn du sip verwndest, ist das einmal 5060 und der jeweilige Antwortport.

Für Asterisk brauchst du

4569 iax
5060 sip
und das was du in der rtp.conf eingestellt hast.

Das muss und ist auf meiner Seite def. richtig, da wie schon erwähnt es zu einem anderen Asterisk problemlos aus meinem Netz funktioniert.

Gruß
olaf_TT

 

[olaf_TT]

Also habe heute noch ein wenig geforscht.
Gibt es in Routern die Möglichkeit Traffic zu blocken der schon einmal über einen NAT Router gelaufen ist?
Wenn ich auf dem Asterisk beim Kunden tcpdump port 5060 -vvv
starte sehe nicht ein Packet wenn ich mich versuche aus meinem Netz zu verbinden.
Wenn ich aber mit meinem Laptop mich direkt über ISDN ins Internet verbinde und SJphone starte sehe ich die Packete im tcpdump und bin sofort mit dem Asterisk verbunden.
Ich kann leider nicht sagen was es für ein Router ist, da ich diesen nicht betreue. Laut Techniker sind aber alle Ports offen und nichts beschränkt!

Gruß
olaf_TT

 

[olaf_TT]

Problem ist gelöst:
Es lag an der Firewall beim Kunden!
Für den Asterisk war zwar alles scheinbar richtig, nur war NAT nicht aktiviert.