Что могло бы заставить SIP-трафик поступать в коммутатор, но не выходить?
Задний план
Я изо всех сил пытался заставить свои SIP-телефоны регистрироваться за новым маршрутизатором и переключаться в нашем новом офисе. Наша АТС размещена вне офиса. Я работал с нашим поставщиком, чтобы попробовать несколько различных подходов. Мы пробовали использовать обычный NAT для подключения к их пограничному контроллеру сеанса с поддержкой NAT. Мы пробовали использовать siproxd (пакет pfSense) для перехвата запросов на регистрацию SIP и регистрации от имени телефона. Наконец, мы попытались настроить телефоны вручную для регистрации с помощью демона siproxd в моей локальной сети.
В ходе тестирования мы убедились, что телефоны успешно справляются со всем следующим:
- Свяжитесь с размещенным FTP-сервером по IP-адресу
- Загрузите конфигурацию с указанного сервера
- Выполните DNS-запросы для разрешения IP-адреса NTP-сервера.
- Запросить NTP-сервер, чтобы установить время
- Выполните DNS-запросы для разрешения IP-адреса SIP-серверов.
Симптомы
После того, как телефоны успешно выполнили все задачи предварительной регистрации, мы никогда не увидим, что попытка регистрации попала в поле pfSense или УАТС провайдера. Я включил самый высокий уровень отладки в siproxd на своей стороне и не видел ни одного TCP-соединения или UDP-пакета. Однако простой Telnet на порт 5060 с рабочей станции будет генерировать ожидаемые сообщения журнала. Выполнение перехвата пакета на блоке pfSense не показало абсолютно никаких попыток трафика SIP.
Какого черта?
Мой последний шаг по устранению неполадок, который полностью поставил меня в тупик и заставил задать этот вопрос, заключался в следующем. Сначала я отразил порт коммутатора, к которому был подключен телефон, к порту коммутатора моей рабочей станции. Я выполнил пакетный захват всего трафика на интерфейсе. К своему удивлению я увидел, что с телефона приходили пакеты регистрации SIP. Вот пример:
Очевидно, что телефон пытается зарегистрироваться на УАТС (это также правильные IP-адреса).
Следующим моим шагом было зеркальное отображение порта коммутатора, который подключен к локальной сети маршрутизатора pfSense. Я видел весь трафик FTP, NTP и DNS с телефона 172.200.22.102, выходящий из коммутатора, но не следил за SIP-пакетами. Для меня это совершенно сбивает с толку! Что вызывает только пропадать SIP-трафик внутри коммутатора?
Окружающая среда
- Оборудование
- Маршрутизатор / Брандмауэр: Netgate m1n1wall 2D2
- Переключатель: HP 1810G-24
- Телефоны: Polycom SoundPoint IP 501
- Программное обеспечение: pfSense 2.0-RC3
Конфигурация переключателя
Телефон с IP-адресом 172.22.200.102 находится в порту 4 этого коммутатора, канал LAN маршрутизатора - в порту 22.
Я могу поделиться любыми другими настройками, которые могут понадобиться.
Я нашел решение, потратив на эту проблему около 40 часов.
В переключателе есть настройка, которая включает защиту «Auto DoS». По-видимому, он считает трафик TCP или UDP, имеющий совпадающие порты источника или назначения, как блат атака и отбрасывает пакет. Это до смешного недальновидно, поскольку трафик SIP часто (всегда?) Зависит от портов источника и назначения, равных 5060.
Если текстового описания было недостаточно:
