Я занимаюсь обновлением старого WRT54GL под управлением Tomato до Cisco ASA 5505 со следующими версиями:
Cisco Adaptive Security Appliance Software Version 9.1(5)21
Device Manager Version 7.4(1)
На Tomato я настроил простую переадресацию портов, направляя весь входящий через порт 5060 трафик на локальный IP-адрес сервера Asterisk, а также порт 5060. Я не могу добиться того же с ASA 5505.
У меня есть еще один порт для внутреннего веб-сервера, который работает нормально, так почему же этот порт для SIP-трафика не работает ?! Я настроил их одинаково ...
Хост Asterisk / NAT / Список доступа (НЕ работает)
object network Asterisk_TCP
host 192.168.89.15
nat (inside,outside) static interface service tcp 5060 5060
object network Asterisk_UDP
host 192.168.89.15
nat (inside,outside) static interface service udp 5060 5060
access-list INBOUND extended permit tcp any object Asterisk_TCP eq 5060
access-list INBOUND extended permit udp any object Asterisk_UDP eq 5060
Хост веб-сервера / NAT / Список доступа (это ДЕЙСТВИТЕЛЬНО работает!)
object network Webserver
host 192.168.89.14
nat (inside,outside) static interface service tcp 80 80
access-list INBOUND extended permit tcp any object Webserver eq 80
С помощью этот инструмент проверки услуг для тестирования порт 80 работает нормально, тогда как порт 5060 сообщает «Соединение отклонено».
Я не понимаю, как это можно увидеть, поскольку я использовал одну и ту же конфигурацию для обоих требований! Любая помощь будет принята с благодарностью!
Оказывается, регистрация SIP не удалась из-за того, что файл resolv.conf сервера все еще указывает на старый DNS-сервер (т. Е. На старый маршрутизатор).
Я предполагаю, что эти веб-службы не работали, поскольку они пытались подключиться к портам TCP, а не к UDP, поскольку Asterisk настроен для прослушивания по умолчанию.
В итоге я использовал эту размещенную версию nmap чтобы подтвердить, что UDP-порт 5060 был открыт: https://pentest-tools.com/network-vulnerability-scanning/udp-port-scanner-online-nmap