Navigacija
Lista poslednjih: 16, 32, 64, 128 poruka.

ASA 5506-X Firewall problemi sa forwardovanjem SIP (VoIP) portova

[es] :: Enterprise Networking :: ASA 5506-X Firewall problemi sa forwardovanjem SIP (VoIP) portova

[ Pregleda: 2561 | Odgovora: 17 ] > FB > Twit

Postavi temu Odgovori

Autor

Pretraga teme: Traži
Markiranje Štampanje RSS

ksrele
Informatičar - Analitičar poslovnih
procesa u prodaji
Jedini Pravi D.O.O.
Subotica

Član broj: 14253
Poruke: 1582
79.101.107.*

ICQ: 66444502


+44 Profil

icon ASA 5506-X Firewall problemi sa forwardovanjem SIP (VoIP) portova01.02.2016. u 14:37 - pre 48 meseci
Pozdrav,

Nedavno smo u firmi zamenili stari router (Cisco RV320) sa ovim chudom (Cisco ASA 5506-X). Hteli smo nesto jace i robusnije jer imamo jako veliki protok informacija kroz njega te su nam preporucili ovaj ali nismo ni slutili da ce biti toliko komplikovan za konfiguraciju. :)

Naime, imamo nekoliko lokalnih IP adresa cije portove smo trebali forwardovati na jednu javnu staticku IP. Sve te portove smo uspesno forward-ovali. Da stvar bude jos komplikovanija imamo i tri VPN konekcije (dve site2site i jedna client2site) ali smo cak i to uspeli da podesimo.
Problem je nastao kada je Asterisk centrala dosla na red. Lokalni telefoni rade bez problema. Kroz jedan VPN kanal telefoni takodje rade ali kroz drugi VPN kanal rade samo u jednom smeru.
Moze li mi neko pomoci oko ovog problema?
Postavicu sva podesavanja koja su potrebna za pomoc cim mi objasnite kako to da uradim. :)
 
Odgovor na temu

ksrele
Informatičar - Analitičar poslovnih
procesa u prodaji
Jedini Pravi D.O.O.
Subotica

Član broj: 14253
Poruke: 1582
79.101.107.*

ICQ: 66444502


+44 Profil

icon Re: ASA 5506-X Firewall problemi sa forwardovanjem SIP (VoIP) portova01.02.2016. u 15:02 - pre 48 meseci
Na udaljenoj lokaciji sa druge strane VPN tunela, nista nije forward-ovano i u FW-u je sve dozvoljeno.
 
Odgovor na temu

dragancili

Član broj: 255391
Poruke: 73
*.dynamic.isp.telekom.rs.

Jabber: dragancili@gmail.com


+2 Profil

icon Re: ASA 5506-X Firewall problemi sa forwardovanjem SIP (VoIP) portova01.02.2016. u 16:03 - pre 48 meseci
Zamenio si ruter firewall-om...ne ocekuj ista pravila igre kao pre...Cisco pravi razliku izmedju tih platformi iako na prvi pogled deluje da obe rade slicno. Ponekad to i jeste tako ali...ruter rutira - ASA prvobitno nikad nije bila tome namenjena...
U svakom slucaju potrebno je da se pregleda citav setup koji imas i ovako na prvu nije ti moguce pomoci samo na osnovu informacija koje si dao.
Lici mi kad da ste to podesavali sistemom APP (ako prodje prodje) a mozda i gresim :)

Pozdrav,
Dragan
Dragan
 
Odgovor na temu

ksrele
Informatičar - Analitičar poslovnih
procesa u prodaji
Jedini Pravi D.O.O.
Subotica

Član broj: 14253
Poruke: 1582
*.dynamic.isp.telekom.rs.

ICQ: 66444502


+44 Profil

icon Re: ASA 5506-X Firewall problemi sa forwardovanjem SIP (VoIP) portova01.02.2016. u 18:37 - pre 48 meseci
Pa ja cu postovati sva podesavanja koja su relevantna da bi mi pomogli ali ne znam kako se to radi... Da uradim PrintScreen ADSM softvera ili da uradim backup pa vam postujem taj file ili nesto iz command line-a??? :)

Nismo radili metodom APP vec smo ucili usput dok smo podesavali. Doduse, znali smo vecinu stvari teoretski i prakticno sa drugih uredjaja ali na ovom je sve mnoooogo komplikovanije.

Ajd za pocetak da pitam sledece stvari:
1. Koje portove koristi SIP centrala i SIP telefoni? Ja sam gledao na netu i koliko sam shvatio kontrolni port je 5060 a onda nakon uspostave veze telefon odredi neki nasumicni port i prenosi podatke preko njega. Kako ja da znam koji port je telefon zatrazio? Da li FW zna sam da otvori taj port ili ja moram sve portove da otvorim?
2. Sta je to SIP inspect? To smo pokusali da podesimo i nesto smo uradili ali bez promene ponasanja telefona...
3. Sta je to "group policy"? Kaka grupna pravila treba da napravim da bi mi SIP radio? Pokretao sam neke komande u CLI sto sam nasao na netu ali se na ovom konkretnom uredjaju nista ne promeni tim komandama...

Detaljni opis infrastrukture i problema:
-3 lokacije su u pitanju
-sve 3 lokacije imaju izlaz na net preko optike brzine 20/20
-na glavnoj lokaciji je ASA 5506-X i svi serveri (da, ovde je i VoIP Asterisk server)
-na blizoj lokaciji (ista drzava, drugi grad) je Cisco RV042 (VPN kanal podesen pre 100 godina od strane drugog kolege koji vise ne radi u firmi, to nismo cackali)
-na toj blizoj lokaciji imamo SIP telefone na kojima je podeseno da im je SIP proxy u IP opsegu centralne lokacije, znaci router kroz VPN tunel routuje komunikaciju, nemamo nikakvih problema sa telefonima
-VPN tunel na ASA FW-u ka blizoj lokaciji sam napravo "peske" kroz CLI uz pomoc tutorijala sa neta, proradio je iz prve bez problema
-na daljoj lokaciji (druga drzava) se nalazi Cisco RV320 ciji je VPN tunel podesio kolega ali je izabrao standardne enkripcije, nista specijalno, mozda cak i iste parametre kao sto su na RV042 routeru na blizoj lokaciji
-VPN tunel na ASA FW-u ka daljoj lokaciji sam napravio preko VPN Wizarda jer sam video da to svi na netu tako rade i da im radi bez problema. Ovo cu kasnije pokusati isto da podesim peske ali osecam da nije u tome problem
-na ASA FW-u sam na identican nacin podesio NAT-ovanje za remote network range kao sto sam uradio i za blizu lokaciju
-NAT-ovao sam port 5060 (UDP i TCP) na ASA FW-u, propustio te portove u FW delu ASA FW-a...
-telefon na daljoj lokaciji podesen je IDENTICNO kao onaj na blizoj lokaciji a radi tako sto sa njega mozemo da dobijemo telefon u centraloj lokaciji, telefon zvoni ali kada se javimo ne cuje se zvuk pozivaoca, a kada se pokusa zvanje sa telefona iz centralne lokacije ka telefonu na udaljenoj lokaciji dobije se zvuk kao da telefon nije spojen na mrezu...
-instalirali smo aplikaciju na mobilni telefon koji simulira SIP telefon ali i sa tom postavkom imamo slicnih problema, na mobilnom se cuje glas sa "fiksnog" a na "fiksnom" se ne cuje glas sa mobilnog, ali oba telefona mogu da zovu jedan drugog...

Jako cudni problemi koje prosto ne znamo da resimo...

Ako neko moze da pomogne bio bih mu stvarno zahvalan. Znam da bi najbolje bilo da kupimo knjigu (knjige) ili upisemo neki Cisco kurs pa to sve lepo naucimo ali sada nemamo vremena za to. Imamo samo par dana da ovo resimo ili cemo morati nekog da platimo da to resi... Nije nama do para vec do toga da nesto i sami naucimo a ako nam to neko uradi vrlo verovatno necemo skontati zasto je to uradio a mozda ni sta je uradio...
 
Odgovor na temu

valjan
Janko Valencik
Inženjer/programer
Alfanum d.o.o.
Novi Sad

Član broj: 158605
Poruke: 3430
*.dynamic.sbb.rs.

Sajt: www.alfanum.co.rs


+534 Profil

icon Re: ASA 5506-X Firewall problemi sa forwardovanjem SIP (VoIP) portova01.02.2016. u 21:03 - pre 48 meseci
Mogu ti pomoći oko dela sa SIP-om jer se inače bavim Asteriskom na poslu, ali se nikad nisam previše uplitao u Cisco rutiranje, više sam se družio sa Mikrotikom, pa ćeš taj deo morati sam da odradiš. Dakle, dobro si pretpostavio da SIP signalizacija ide po TCP ili UDP portu 5060, dok se medija šalje preko RTP paketa putem UDP portova koji su određeni na Asterisku u rtp.conf fajlu, po defaultu je to opseg od 5000-31000. Može to i preko TCP, ali je bezveze mediju puštati preko TCP-a, tako da sve što je potrebno da uradiš je da proveriš u pomenutom conf.fajlu koji je opseg UDP portova u pitanju i propustiš njih. To što možeš da pozivaš ali se ne čuje glas znači da je signalizacija prošla, ali nema RTP paketa, a pošto si opisao i smerove u kojima se to dešava, samo ti se kaže šta gde treba da propustiš.
 
Odgovor na temu

ksrele
Informatičar - Analitičar poslovnih
procesa u prodaji
Jedini Pravi D.O.O.
Subotica

Član broj: 14253
Poruke: 1582
*.dynamic.isp.telekom.rs.

ICQ: 66444502


+44 Profil

icon Re: ASA 5506-X Firewall problemi sa forwardovanjem SIP (VoIP) portova01.02.2016. u 21:24 - pre 48 meseci
Opa, hvala druze, probacu ovo odmah sutra ujutro pa se javljam da li cu uspeti.
 
Odgovor na temu

dragancili

Član broj: 255391
Poruke: 73
*.dynamic.isp.telekom.rs.

Jabber: dragancili@gmail.com


+2 Profil

icon Re: ASA 5506-X Firewall problemi sa forwardovanjem SIP (VoIP) portova02.02.2016. u 07:47 - pre 48 meseci
Ne razumem samo da li ti je potreban uopste NAT ako imas site-2-site VPN tunele?
Izbegao bih NAT u radu sa SIP-om jer tu mozes da imas problema...znaci ako pravis site-2-site VPN nije ti potreban NAT da bi se mreze videle vec ce sve ici kroz tunel i bice kriptovano.
I naravno sve se lagano uradi kroz ASDM na ASI i opet - nije komplikovano ako si dobro isplanirao mreze na te 3 lokacije...

Pozdrav,
Dragan
Dragan
 
Odgovor na temu

ksrele
Informatičar - Analitičar poslovnih
procesa u prodaji
Jedini Pravi D.O.O.
Subotica

Član broj: 14253
Poruke: 1582
79.101.107.*

ICQ: 66444502


+44 Profil

icon Re: ASA 5506-X Firewall problemi sa forwardovanjem SIP (VoIP) portova02.02.2016. u 08:30 - pre 48 meseci
@dragancili
Ne moze bez NAT-ovanja. Upravo sam probao da iskljucim NAT pravilo za adrese sa udaljene lokacije i ping vise nije prolazio. Kada je NAT pravilo ukljuceno ping i sva komunikacija lepo prolazi osim sto telefoni ne rade.

@valjan
Nasao sam koji su portovi u pitanju (10001 - 20000) i dozvolio sam ih prvo samo u FW-u ali nista opet. Onda sam probao da ih dodam u NAT ali tu imam problema jer ne mogu da stavim port range u NAT ili ja to barem ne znam da uradim.

Ono sto je interesantno jeste da sam promenio parametre VPN tunela tako da u sada oba VPN tunela podesena IDENTICNO, ali problem sa telefonima i dalje postoji.
Ono sto me najvise zbunjuje jeste to da ka jednoj lokaciji (kroz VPN) telefoni rade a ka drugoj ne rade. A ne rade ni preko interneta preko javne IP preko mobilnog. Ovo je inace pre sa starim routerom radilo.
 
Odgovor na temu

valjan
Janko Valencik
Inženjer/programer
Alfanum d.o.o.
Novi Sad

Član broj: 158605
Poruke: 3430
*.static.sbb.rs.

Sajt: www.alfanum.co.rs


+534 Profil

icon Re: ASA 5506-X Firewall problemi sa forwardovanjem SIP (VoIP) portova02.02.2016. u 09:00 - pre 48 meseci
NAT-ovanje se u Asterisku rešava preko podešavanja u sip.conf, tako da ne možeš samo da pališ/gasiš NAT na firewall-u, moraš i Asterisk da prekonfigurišeš da "zna" da li je iza NAT-a ili ne...
 
Odgovor na temu

ksrele
Informatičar - Analitičar poslovnih
procesa u prodaji
Jedini Pravi D.O.O.
Subotica

Član broj: 14253
Poruke: 1582
79.101.107.*

ICQ: 66444502


+44 Profil

icon Re: ASA 5506-X Firewall problemi sa forwardovanjem SIP (VoIP) portova02.02.2016. u 09:02 - pre 48 meseci
Na Asterisku sam nasao file "sip_nat.conf" i u njega sam dodao red "localnet=" sa IP adresom iz udaljenog opsega gde je telefon spojen. Ali ni to nije pomoglo.
 
Odgovor na temu

dragancili

Član broj: 255391
Poruke: 73
*.dynamic.isp.telekom.rs.

Jabber: dragancili@gmail.com


+2 Profil

icon Re: ASA 5506-X Firewall problemi sa forwardovanjem SIP (VoIP) portova02.02.2016. u 09:03 - pre 48 meseci
Ne treba ti NAT u site2site VPN-u...nije dobar ostatak konfiguracije ili slicno...
I kazem ti ponovo - izbacivanjem NAT-a ces sve resiti...vrlo verovatno...

Dragan
Dragan
 
Odgovor na temu

ksrele
Informatičar - Analitičar poslovnih
procesa u prodaji
Jedini Pravi D.O.O.
Subotica

Član broj: 14253
Poruke: 1582
79.101.107.*

ICQ: 66444502


+44 Profil

icon Re: ASA 5506-X Firewall problemi sa forwardovanjem SIP (VoIP) portova02.02.2016. u 10:34 - pre 48 meseci
NAT pravilo je:
Code:

nat (inside,outside) 3 source static net-local net-local destination static net-Uniprint net-Uniprint


Zasto onda ne radi nikakva komunikacija sa tom lokacijom kada ga iskljucim? Ja bih najvise voleo da mogu bez natovanja ali nece da radi... Ne znam zasto...
Zao mi je sto niko ne moze da mi pomogne...

Ali za drugu udaljenu lokaciju (za drugi IP opseg) postoji isto ovo pravilo samo naravno sa drugim mrezama i radi sve bez problema i telefoni i sva ostala komunikacija.
Mozda je problem na udaljenom routeru-u (Cisco RV320) ali tamo postoji samo jedno FW pravilo (da je sva komunikacija u svim pravcima i ka svim mrezama dozvoljena) i nema nikakvog forwardovanja... Routing tablica izgleda sasvim OK.

@valjan
Da nema slucajno negde u Asterisk config fajlovima opcija da se neki opsezi "zabrane" odnosno da su neki dozvoljeni a svi ostali nisu?
 
Odgovor na temu

ksrele
Informatičar - Analitičar poslovnih
procesa u prodaji
Jedini Pravi D.O.O.
Subotica

Član broj: 14253
Poruke: 1582
79.101.107.*

ICQ: 66444502


+44 Profil

icon Re: ASA 5506-X Firewall problemi sa forwardovanjem SIP (VoIP) portova02.02.2016. u 10:42 - pre 48 meseci
Hmmm... uspeo sam nekako da iskljucim neku opciju (NAT-T) na VPN kanalu i sada mogu da iskljucim NAT pravilo i ping prolazi ali telefoniranje i dalje ne radi...

EDIT: prerano sam se obradovao, ping je radio samo do routera ali dalje nije hteo... tako da sam morao da ukljucim nat nazad...
 
Odgovor na temu

valjan
Janko Valencik
Inženjer/programer
Alfanum d.o.o.
Novi Sad

Član broj: 158605
Poruke: 3430
*.static.sbb.rs.

Sajt: www.alfanum.co.rs


+534 Profil

icon Re: ASA 5506-X Firewall problemi sa forwardovanjem SIP (VoIP) portova02.02.2016. u 11:48 - pre 48 meseci
Citat:
ksrele:
@valjan
Da nema slucajno negde u Asterisk config fajlovima opcija da se neki opsezi "zabrane" odnosno da su neki dozvoljeni a svi ostali nisu?


Ne da ima slučajno nego se namerno tako konfiguriše Asterisk. U sip.conf se za svaki od kanala može podesiti sa kojih IP adresa ili opsega su dozvoljene konekcije, i to u formatu:

Code:

deny=0.0.0.0/0.0.0.0
permit=192.168.1.0/255.255.255.0


Znači, najpre se explicitno sve zabrani, pa se nakon toga dozvoli ono što se želi, a format je IP/Subnet_maska.

Onaj sip_nat.conf pomenut ranije nemam pojma šta je, verovatno je neki custom fajl koji je include-ovan u sip.conf, inače postoji nekoliko režima za NAT zavisno od scenarija i ako je podešeno natovanje u Asterisku onda ćeš u sip.conf naći nešto poput nat=yes, a dozvoljene vrednosti su yes, no, force_rport, i comedia, ili ako koristiš neku prastaru verziju Asteriska onda su to yes, no, never i route, pa probaj da ih pronađeš i pogasiš pa da vidiš da li onda prolazi saobraćaj kad isključiš NAT na firewallu.
 
Odgovor na temu

ksrele
Informatičar - Analitičar poslovnih
procesa u prodaji
Jedini Pravi D.O.O.
Subotica

Član broj: 14253
Poruke: 1582
79.101.107.*

ICQ: 66444502


+44 Profil

icon Re: ASA 5506-X Firewall problemi sa forwardovanjem SIP (VoIP) portova02.02.2016. u 12:21 - pre 48 meseci
Resio sam problem.
Na jos jednom mestu u jos jednom .conf fajlu na Asterisk serveru se nalazila lista dozvoljenih IP adresa i kada sam tamo dodao IP adresu proradili su telefoni.

Hvala svima koji su pokusali pomoci, ipak nije problem u FW vec u Asterisk serveru. ;)
 
Odgovor na temu

ksrele
Informatičar - Analitičar poslovnih
procesa u prodaji
Jedini Pravi D.O.O.
Subotica

Član broj: 14253
Poruke: 1582
79.101.107.*

ICQ: 66444502


+44 Profil

icon Re: ASA 5506-X Firewall problemi sa forwardovanjem SIP (VoIP) portova02.02.2016. u 12:39 - pre 48 meseci
Ustvari, sa telefoniranjem kroz VPN tunele nemamo problem ali sa telefoniranjem preko neta jos uvek imamo problem... Ovo sad vec nije do Asteriska vec do Cisco-a.
Nemam pojma kako ovo da resim, ali to mi je manji problem. Onaj problem sa telefoniranjem kroz VPN kanal me je mnogo vise mucio jer sam to morao hitno da resim.

Ako neko ima volje da pomogne ono NAT-ovanja SIP-a ja sam voljan da odradim sve sto mi se predlozi (osim da iskljucim FW ili da ga fabricki resetujem) i postavicu sva podesavanja koja su vam potrebna da bi mi pomogli.
 
Odgovor na temu

nkrgovic
Nikola Krgović
Beograd

Član broj: 3534
Poruke: 2473

ICQ: 49345867
Sajt: https://www.twinstarsyste..


+497 Profil

icon Re: ASA 5506-X Firewall problemi sa forwardovanjem SIP (VoIP) portova02.02.2016. u 13:49 - pre 48 meseci
Jesi probao packet tracer unutar ASA interface-a? Ima i CLI i GUI...
Please do not feed the Trolls!

Profesionalni sport je oksimoron. Profesionalni sportista je, najcesce, samo moron.
 
Odgovor na temu

ksrele
Informatičar - Analitičar poslovnih
procesa u prodaji
Jedini Pravi D.O.O.
Subotica

Član broj: 14253
Poruke: 1582
79.101.107.*

ICQ: 66444502


+44 Profil

icon Re: ASA 5506-X Firewall problemi sa forwardovanjem SIP (VoIP) portova02.02.2016. u 14:21 - pre 48 meseci
Igrao sam se sa tim ali ne znam kako to chudo radi.
Kaze mi da je paket odbijen od strane nekog FW pravila ali mi ne kaze od kog a ja koliko vidim sva FW pravila su dobro podesena... ne znam u cemu je stos.
Mozda ja ne radim dobru simulaciju. Ja kazem da paket ide od neke javne IP adrese (obicno izaberem IP adresu od default gateway-a ISP-a koji nam je izlaz "ka svetu") i kao destinaciju upisem nasu javnu IP i port koji sam "forwardovao".

[Ovu poruku je menjao ksrele dana 02.02.2016. u 15:39 GMT+1]
 
Odgovor na temu

[es] :: Enterprise Networking :: ASA 5506-X Firewall problemi sa forwardovanjem SIP (VoIP) portova

[ Pregleda: 2561 | Odgovora: 17 ] > FB > Twit

Postavi temu Odgovori

Navigacija
Lista poslednjih: 16, 32, 64, 128 poruka.