У меня проблемы с маршрутизацией iax-трафика pfsense-box (порт UDP 4569). Наша компания имеет центральный офис и восемь филиалов. В филиалах мы используем pfsense в качестве конечных точек межсетевого экрана и VPN (openVPN). В семи офисах это работает нормально, но в одном у меня проблема.
Филиал:
Центральный офис:
Мой pfsense в филиале:
Сеть выглядит как
Asterisk-server branch
192.168.74.4
|
|
192.168.74.1
pfsense branch - - - Internet
192.168.251.70 ovpnc1
|
|
192.168.251.71
router at central
192.168.24.1
|
|
192.168.24.4
Asterisk-server central
Мне нужно iax-соединение между двумя серверами Asterisk. Iax использует UDP-порт 4569. ICMP-соединения между серверами работают. Я могу получить время с сервера 192.168.24.4, используя NTP (порт 123 UDP). Я могу проследить маршрут от одного сервера к другому, используя traceroute -U -p 4569 192.168....
Но iax-связи у меня нет.
Каждые 20 секунд серверы пытаются подключиться. Я вижу пакеты из центрального офиса на VPN-интерфейсе в филиале, но они не маршрутизируются. Пакеты от сервера-филиала достигают интерфейса em1, но направляются не на ovpnc1, а на em4 (замаскированные на адрес 93.83.xxx.yyy)!
**My routing table:**
Destination Gateway Flags Refs Use Netif Expire
default 93.83.252.93 UGS 0 2273458 em4
10.10.3.0/24 192.168.251.71 UGS 0 0 ovpnc1
93.83.252.92/30 link#5 U 0 85179 em4
93.83.252.94 link#5 UHS 0 0 lo0
127.0.0.1 link#7 UH 0 552 lo0
192.168.0.0/16 192.168.251.71 UGS 1 166089 ovpnc1
192.168.24.0/24 192.168.251.71 UGS 0 2556 ovpnc1
192.168.70.0/24 link#6 U 0 154097906 em5
192.168.70.1 link#6 UHS 0 0 lo0
192.168.71.0/24 link#1 U 0 512824632 em0
192.168.71.1 link#1 UHS 0 0 lo0
192.168.72.0/24 link#3 U 0 0 em2
192.168.72.1 link#3 UHS 0 0 lo0
192.168.74.0/24 link#2 U 0 20264 em1
192.168.74.1 link#2 UHS 0 0 lo0
192.168.251.70 link#11 UHS 0 4 lo0
192.168.251.71 link#11 UH 0 3 ovpnc1
Мои правила брандмауэра
Мне не разрешено публиковать изображения, поэтому я должен сказать вам, что у меня есть правило, разрешающее TCP и UDP-трафик с любого порта на любой порт на Asterisk-сервер в центральном офисе с dport 4569 на телефонном интерфейсе em1.
На VPN-интерфейсе ovpnc1 у меня есть правило: весь udp-трафик от Asterisk в центральном к Asterisk в филиале на любом порту.
Весь остальной трафик через туннель работает нормально.
Итак, pfsense-box в филиале неправильно маршрутизирует iax-трафик: - ((
Я понятия не имею, и был бы очень рад получить помощь.
Я обнаружил, что с IAX2 и PFsense происходят очень странные вещи. У меня есть последняя версия PFsense (2.2.1, 13 марта 2015 г.), и это также согласуется со всем моим предыдущим опытом:
PFsense, похоже, НЕ применяет правила NAT к пакетам IAX2. Если я настроил дамп пакетов на pppoe0 (идущий к моему поставщику услуг DSL), я вижу пакеты, поступающие с порта 192.168.1.168 4569, который является внутренним IP-адресом за моим NAT. Никакие другие хосты не отправляют пакеты, которые не получают NAT, и у меня нет специальных правил или исключений для трафика IAX2 (я установил по умолчанию, чтобы убедиться, и выполнил «tcpdump -n -i pppoe0 net 192.168.0. 1,0 / 24 дюйма для проверки.)
Исправление: в PFsense, если я захожу в «Диагностика -> Состояния», а затем ищу «4569» в таблице состояний, я нахожу несколько записей. Я их удаляю. Престо! IAX2 начинает работать. Это очень сбивает с толку. Я должен делать это каждый раз при перезагрузке PFsense.
Перезагрузка pfsense решила проблему, но это плохое чувство, если вы не знаете, будет ли ваш телефон работать: - ((
Меня до сих пор интересуют идеи и предложения причины моей проблемы!
С уважением, Карл