(erledigt) Asterisk und Firewall (iptables)

[eulenspiegel59]

Hallo Leute,
ich habe folgendes Problem:

ich will eine Telefon (Nr. 4000) von außen (Internet)
an meinem Asterisk-Server anschliessen.
Das Telefon (ATA Welltech IAD 161) registriert sich sauber am Server.

Problem: Im LAN befindliche Telefone bekommen kein gesprochnes Wort mit, ich höre alles (vom LAN).
Das Telefon (ATA) funkioniert im LAN einwandfrei.

Die Voicemail-Box reagiert auf keine Taste. Auch das funktioniert im LAN einwandfrei.


Sip.conf

[general]
Port=5060
bindaddr=0.0.0.0
language=de
nat=yes
allow=alaw
allow=ulaw
allow=g729
allow=gsm
allow=slinear
srvlookup=yes
dtmfmode=rfc2833
canreinvite=no
registerattempts=0
registertimeout=1

[4000]
type=friend
secret=Spasswort
host=dynamic
mailbox=4000

extensions.conf

[general]
static=yes
writeprotect=no
;---------------
[default]
include => lokal

rtp.conf

[general]
rtpstart=10000 
rtpend=20000

firewall

   #VOIP via Asterisk
    $IPTABLES -A INPUT -i eth0 -p udp --dport 5060 -j ERLAUBTE_DIENSTE
    #RTP
    $IPTABLES -A INPUT -i eth0 -p udp --dport 10000:20000 -j ERLAUBTE_DIENSTE
    $IPTABLES -A INPUT -i eth0 -p udp --dport 5004 -j ERLAUBTE_DIENSTE

hat jemand einen Rat fuer mich ?

 

[sodom1234]

Ähh, wo ist denn Dein Internet angeschlossen ?

Ich vermute mal, das Du den Asterisk Server und die Telefone paralel zu einem DSL Router einsetzt.
Das würde heißen, das die RTP Daten nach dem Verbindungsaufbau am Asterisk Server vorbei gehen, vermutlich blockt Dein DSL-Router den Rückfluß des Internet-Phones weil er nicht weiß wohin er die RTP Daten routen soll.

Schau mal im Telefon, ob da im SIP stack NAT aktiviert ist.

One-Way Audio ist fast immer das der Rückkanal nicht richtig geroutet wird. Typisches NAT problem halt.

Sollte der Asterisk Server auch Router sein fehlen da die MASQURADE einträge etc.

 

[eulenspiegel59]

Ich habe alle Überflüssigen Einträge weggelassen das Internet hängt an eth0 an einer offiziellen IP.

Zu deiner Frage, ob am Telefon NAT aktiviert ist .... nein.
Dieses Telefon arbeitet im LAN (eth1) am selben Asterisk-Server einwandfrei.

 

[schufti]

Hi,

1) localnet und externhost hast du gesetzt?

2) in den fw-rules für rdp 10000:20000 sollte es wohl --dport heißen!

3) falls das Telefon "4000" ev. hintern NAT hängt, sollte darauf STUN aktiv sein

4) rtpstart und rtpend sind in 2 Zeilen ?! (* ist da oft pingelig)

5) auf "4000" passt die rtp Einstellung auch zu 10000:20000 ?

schufti

 

[eulenspiegel59]

1) localnet und externhost hast du gesetzt?
localnet ist klar (eth1) ...
gemacht ! keine Aenderung
Was ist externhost ?

2) in den fw-rules für rdp 10000:20000 sollte es wohl --dport heißen!
richtig !


3) falls das Telefon "4000" ev. hintern NAT hängt, sollte darauf STUN aktiv sein

kein NAT


4) rtpstart und rtpend sind in 2 Zeilen ?! (* ist da oft pingelig)

geaendert .... keine Aenderung

5) auf "4000" passt die rtp Einstellung auch zu 10000:20000 ?
Telefon hat im LAN einwandfrei funktioniert

 

[eulenspiegel59]

Hallo Schutti,

frag mich nicht warum es jetzt funktioniert, aber .... es klappt !!!!

Danke

 

[schufti]

Hi,

freut mich.

generell ist aber zu sagen, dass man mit * hinter NAT
externhost = my.private.net oder externip = my.extern.ip
konfigurieren sollte.

Intelligente Clients erkennen, dass die IP im SIP-Paket eine private ist und schauen auf die im IP-Header, andere .....

ich tippe auf die falsche FW Regel. AFAIK müssen die rtp-pakete vom Telefon ja nicht 10000-20000 als sourceport haben...

gerade weil da ein NAT & FW dazwischen ist, sagt der Umstand, dass das Telefon im LAN funktioniert gar nichts über eine korrekte Konfiguration aus; die Einstellungen (Phone, FW, *) müssen nämlich zusammenpassen! Im LAN fällt dann eine Komponente weg, und zwei passen schon mal eher zusammen als drei

schufti