Рост UDP сессий от клиентов

[Egenius]

И снова прошу помощи.
Сегодня пришёл на работу и вновь график загрузки растёт на сервере с asterisk.
Сделал дамп для wireshark.
Буду очень благодарен за помощь.

[ded]

Мне интересно: вы сами дамп смотрели? Ничего необычного не видите? Что-то пытались понять? судя по этому топику - нет.
Вам коллега april22 с самого первого ответа советовал - tcpdump.
Почему вы не последовали совету? Не анализировали?

У вас там всё очень ясно и однообразно: сплошные NOTIFY request от Астериска по поводу абонента 202 D-link (почитаете что такое SIP notify & subscriptions?), причём в дампе фигурируют действительно только внутренние ИП - 192.169.14.8 => 192.168.15.48, это Layer 3, но в самом теле пакетов поле From = 78.29.26.166, то есть наружный ИП адрес вашего Астериска, а это Layer 7.
На который и строятся сессии на ASA-5505. Которая не знает как это обрабатывать - по VPN или НАТить.

Слишком много стратегических ошибок. Как вы это будете разгребать - не знаю, я бы направил в платный суппорт.

[Zavr2008]

inspect sip

Да, оно. Откелючили, супер.
Только вторая сторона медали - после этого нужно в астере периметр обозначить, указать в [general] localnet и externip, у пиров еще directmedia=no
Пока был SIP ALG - это не требовалось, она сама это делала.

[Egenius]

NOTIFY вижу, но не понимаю почему там присутствует внешний IP и почему таких пакетов так много.
В настройках астериска прописаны и exterip и localnet, NAT отключен и сделано это было ещё при установке.
Теперь же отключен SIP ALG на AsA, но пакеты почему-то продолжают сыпаться и в них чёрт знает откуда "белый" IP

[ded]

но пакеты почему-то продолжают сыпаться и в них чёрт знает откуда "белый" IP

Так у вас настроен Asterisk & VPN.

Мне интересно: вы сами дамп смотрели?
.....
я бы направил в платный суппорт.

[Egenius]

Вы окончательно меня запутали.
У меня VPN между филиалами, в каждом из который своя сеть.
Все эти сети доступны без дополнительного NAT в любом из филиалов и каждый из филиалов видит сервер астериска напрямую по "серому IP".
Параметры настройки IP на астериске приложил в файлах.

333333.png (5.76 KIB) Просмотров: 3550

1231232132131.png (11.91 KIB) Просмотров: 3550

Я прежде чем делать запрос изучил кучу мануалов, в том числе и про NOTIFY & SUBSCRIBE & SIP & & RTP & ASA и прочие.
В результате перелопатил кучу настроек, но результат не изменился.
Прошу, ткните носом что мне изменить в настройках чтобы всё работало.
Я не думаю что моя схема такая уж не стандартная что нужно обращаться в платный суппорт.

[ded]

Это вы запутали свой Астериск, а не мы.
Прописать локальные сети 192.168.Х.Х как /24 - это здорово, но может было бы проще одной строкой?
192.168.0.0/16 ??
А какой default gateway у Астериска? интерфейс ASA-5505? Или другой?

Если вы изучили кучу мануалов, в том числе и про NOTIFY & SUBSCRIBE & SIP & & RTP & ASA и прочие, то я буду у вас консультироваться, ОК?
Вот, консультируюсь: скажите, почему у меня (у вас) пакеты Notify содержат внешний ИП адрес моего Астериска?

[Zavr2008]

После перенастройки NAT в FreePBX стоит дать fwconsole restart.
Также и ASA перезагрузить.

[Egenius]

Может и проще прописать 192.168.0.0/16 но мне так удобнее и я не думаю что пакеты с внешним IP плодятся именно из-за того что сеть указана не как /16.
Шлюз к локальным сетям через ASA, в интернет через шлюз провайдера.
Могу выслать Вам таблицу маршрутизации если нужно.

Если Вы не знаете в чём проблема и как её решить просьба не отвечать, а дать людям более сведущим в вопросе ответить.
Посылать всех читать ман-ы и переводить стрелки дело не хитрое.
Тем более что всё и было настроено по мануалам и куче статей, перечитанных много раз.
И никаких особых ухищрения я не делал дабы специально сломать работу великого астериска.

После перенастройки NAT в FreePBX стоит дать fwconsole restart.
Также и ASA перезагрузить.

fwconsole restart сделал конечно. А вот ребутать лишний раз ASA - не думаю что это хорошая идея.

[Zavr2008]

ТС, когда в дампах есть внешний адрес в заголовках - это не "великий астериск", а "ваше сиятельство" накосячило)

вот ребутать лишний раз ASA - не думаю что это хорошая идея

Тоже по манам или к Ванге обращались?
Сделать.

Если Вы не знаете в чём проблема и как её решить просьба не отвечать,

Сколько еще на этом форуме закипающих чайников ))))
проблему Вы сами должны узнать и прочувствовать - для этого этот ресурс и создан. Никто Вам ничего тут не должен. Более того - когда решите поделиться с остальными кто по гуглу придет.
А маны читать или в нашем случае книжку Будущее Телефонии - полезно. не стоит своим незнанием гордиться или упрекать других..