AddPac и NAT - "пробрасываем" порты.

Регулярно говорю то одному то другому что "надо пробросить порты" и почти всегда эта волшебная фраза повергает не сильно технического человека в такой стопор что вывести из него можно только рассказом как обойтись без этого, но с некоторыми потерями... А тут самому потребовалось звонить по H.323 из за NAT вот и решил задокументировать этот процесс для примера.

Сразу скажу что, к сожалению, наша система не принимает доменные имена вместо IP поэтому решить задачу подключения к нашей сети по H.323 с динамическим внешним IP предложенным ниже способом не удастся т.к. придется ежедневно менять привязку по IP в личном кабинете что не сильно приятно. Впрочем с SIP все работает безукоризненно.

Мой любимый AddPac при работе может выбрать любые порты из весьма широкого диапазона и если их все "пробросить" (Т.е. сказать, что все обращения к данному порту отправлять на конкретный IP) это может создать неудобства в работе остальных устройств в сети (А может и не создать, но все равно - зачем делать лишнюю работу :о) Поэтому мы сначала попросим AddPac сократить используемое число портов до минимума. Делается это так (все подготовительные и завершающие операции опускаю):

AP200(config)# voice service voip
AP200(config-vservice-voip)# minimize-voip-ports multiply 1

После сохранения система предложит перезагрузиться.

Теперь смотрим какие порты устройство оставило для работы:

AP200# sh gatew
Устройство сильно много чего напишет и в конце этого много чего будет (Или как то похоже):

Assigned VoIP TCP/UDP ports
minimized assign = yes
multiply = 1
Q.931 signalling port (TCP listen) = 1720
SIP signalling port (UDP listen) = 5060
H.245 control port (TCP src) = 10000 - 10000
Q.931 signalling port (TCP src) = 14000 - 14000
H.245 control port (TCP listen) = 18000 - 18000
RAS port and IRR port (UDP listen) = 22000, 22001
RTP/RTCP port (UDP listen) = 23000 - 23001

Вот мы и получили списочек "пробрасываемых" портов и теперь займемся собственно "пробросом". В качестве устройства, "принимающего раздающего Интернет", я пользую D-Link - дешево, сердито и поддержка хорошая (Но VoIP устройства у них все равно отстойные о:) поэтому и картинки с настройками привожу для него т.к. полагаю, что все остальное можно настраивать по аналогии.

1. Заходим на устройство, выбираем "Advanced"-"Port Forvarding"-"New IP" и вводим IP AddPac (Для простоты я сделал его фиксированным.)

2. В разделе "Category" выбираем "User" и жмем "Add"

3. На открывшейся страничке называем как либо наше новое правило (Я его назвал H.323_SIP) и по очереди вводим все наши порты из списка в поля "Port Start", "Port End", "Port Map" (Заполняем все три поля одним значением, жмем "Add" и т.д.) После ввода всех портов жмем "Cancel" (Для сильно умных - порты пробрасываю по одному, а не пачкой из за "глюка" в прошивке модема.)

4. Выбираем в поле "Lan IP" IP AddPac, разделе "Category" выбираем "User", выделяем созданное нами правило, жмем "Add" (Ту что между двумя квадратами) и кнопку "Apply"

Теперь все настроено и должно работать.



К о м м е н т а р и и

06427: 09.08.2012 22:23
КМ
все классно, только еше надо ответы гейткипера пробросить и не факт что они пойдут по тем же портам..
06428: 09.08.2012 23:55
KSV
все классно, только еше надо ответы гейткипера пробросить и не факт что они пойдут по тем же портам..На № 06427: Сейчас NAT "умный" - он сам все сделает. ;о)
06912: 09.12.2012 20:14
Павел
А вот все равно спасибо за инструкции, может быть поможет побороть одностороннюю слышимость смена кодеков. В одном месте все работает, а в другом только односторонняя связь. Один случай локалка, другой пиринг.
06913: 09.12.2012 23:04
Павел
Проблему решил со стороны addpac командой
AP200(config)# voice serv voip
AP200(config-vservice-voip)# rtp-nat-pat
06915: 09.12.2012 23:30
KSV
Проблему решил со стороны addpac командой
AP200(config)# voice serv voip
AP200(config-vservice-voip)# rtp-nat-pat
На № 06913:
C Вашего разрешения я перенесу эти комментарии в тему о AddPack
08208: 06.08.2013 13:09
Наблюдатель
http://news.day.az/hitech/421031.html
В роутерах Wi-Fi нашли новые уязвимости
13:13, 6 августа 2013
В роутерах Wi-Fi от Asus, D-Link, TrendNet и других ведущих производителей нашли несколько десятков новых уязвимостей. По словам Джейка Холокомба из независимого агентства Independent Security Evaluators (ISE), ситуация обстоит намного хуже, чем когда его компания впервые объявила о наличии критических "дыр" в популярных моделях маршрутизаторов.
В таких роутерах, как Asus RT-AC66U, D-Link DIR-865L и TrendNet TEW-812DRU, исследователи обнаружили 56 новых уязвимостей, которые ставят под угрозу почти каждого, кто подключается к этим маршрутизаторам в кафе, небольших офисах или домашних сетях.
Злоумышленнику, чтобы перехватить проходящий через роутер трафик, достаточно подключиться к публичному Wi-Fi и воспользоваться одним из эксплойтов. Подробнее о методах взлома Холокомб пообещал рассказать на конференции Defcon в субботу, 10 августа.
При этом эксперт подчеркнул, что ведущие производители не торопятся с устранением "дыр". Если компания TP-Link после публикации доклада в апреле исправила все ошибки, то D-Link никак не отреагировала. Linksys, более того, предпочла не выпускать патчи для старых моделей.
12021: 15.09.2016 16:53
BBAR
Извините, что поднимаю старую тему.
Мне казалось, что у обычных Wi-Fi роутеров уже давно ничего пробрасывать не надо. Сколько я не звонил из-за разных роутеров, плюс еще NAT провайдера или сотового оператора - все SIP звонки проходили нормально. Из-за чего у меня сложилось впечатление, что по умолчанию у обычных Wi-Fi роутеров уже давно все открыто - т.е. разрешено обращение с любого внутреннего IP с любого порта на любой внешний IP на любой порт и наоборот.

Я что-то недопонимаю?
12024: 16.09.2016 01:41
KSV
Извините, что поднимаю старую тему.
Мне казалось, что у обычных Wi-Fi роутеров уже давно ничего пробрасывать не надо. Сколько я не звонил из-за разных роутеров, плюс еще NAT провайдера или сотового оператора - все SIP звонки проходили нормально. Из-за чего у меня сложилось впечатление, что по умолчанию у обычных Wi-Fi роутеров уже давно все открыто - т.е. разрешено обращение с любого внутреннего IP с любого порта на любой внешний IP на любой порт и наоборот.

Я что-то недопонимаю?
На № 12021:
C начала 2000-х, когда был написан этот материал, многое изменилось и оборудование как на стороне провайдеров так и на стороне клиента стало заметно "умнее". :о)
12025: 16.09.2016 11:13
BBAR
То есть, я правильно понимаю, что в современных роутерах все порты открыты, и ничего специально пробрасывать не требуется?
Имя:
7000
e-mail: