ВидеоКонф(ВКС)  ::   FAQ  ::   Поиск  ::   Регистрация  ::   Вход

SipVicious и NAT

Вопросы по использованию и настройке IP телефонов, шлюзов и всего прочего

Модераторы: april22, Zavr2008

SipVicious и NAT

Сообщение Samael28 » 06 окт 2016, 16:28

Думаю, ни для кого не секрет, что по инету ходят китайские и не только сканеры на базе того же sipvicious.
Но буквально недавно, на одном из объектов, встретился с таким фактом, что как-то эти сканеры ухитряются проходить NAT. Т.е. телефон за NAT, IP-to-IP вызовы разрешены, а вызовы от классических 1000@10.1.1.1 приходят. Причем появляться стали после замены простеньких TP-Link на вроде как модные Cisco 881 (15.2). Админы, которые крутят циску клянутся и божатся, что никаких SIP-ALG, пробросов и прочего там нет, просто за ней стоят телефоны, которые подключаются к внешнему Астеру (на Астере следов этих звонков нет, вплоть до дампа трафика, на циске дампать трафик нет возможности)
Вопрос - это я что-то пропустил очевидное или реализация NAT в Cisco по UDP - какой-то full cone?
PS: Также есть сообщения, что на Netgear происходит то же самое.
Мой профайл на Upwork
Samael28
 
Сообщений: 1057
Зарегистрирован: 08 янв 2011, 19:32
Откуда: Киев

Re: SipVicious и NAT

Сообщение april22 » 06 окт 2016, 16:53

я могу ошибаться , но где то была инфа , даже кажется на этом форуме, что если сессия NAT на циске не успевает отмерать по завершению звонка, то в эту дырку можно просочится.
и случай , как раз ваш ... астер в инете - телефоны за циской.
Своими вопросами , вы загоняете меня в ГУГЛЬ.
april22
 
Сообщений: 2187
Зарегистрирован: 09 июл 2012, 09:47

Re: SipVicious и NAT

Сообщение Samael28 » 06 окт 2016, 17:48

Да, даже тему нашел
https://forum.asterisk.ru/viewtopic.php?f=5&t=4665
Судя по всему, таки оно.
Мой профайл на Upwork
Samael28
 
Сообщений: 1057
Зарегистрирован: 08 янв 2011, 19:32
Откуда: Киев

Re: SipVicious и NAT

Сообщение awsswa » 06 окт 2016, 18:38

печаль ...
а циска по заголовкам может блокировать как iptables ?
платный суппорт по мере возможностей
awsswa
 
Сообщений: 2390
Зарегистрирован: 09 июн 2012, 10:52
Откуда: Россия, Пермь skype: yarick_perm

Re: SipVicious и NAT

Сообщение Ferrum » 07 окт 2016, 00:14

Странно в Циске эта так сказать особенность с подменой IP так и осталась, а что поддержка производителя пишет по этому поводу ?
В той теме несколько лет назад я проводил тесты с Микротик, с ним данный фокус не удался.

Нормальный NAT создает сессию только для IP на который был отправлен трафик, у меня вообще подозрение что Циска тупо создает сессию без внешнего IP, или по сути создает временный проброс UDP порта для всех.
Аватар пользователя
Ferrum
 
Сообщений: 333
Зарегистрирован: 25 ноя 2011, 15:16

Re: SipVicious и NAT

Сообщение whoim » 07 окт 2016, 17:40

было такое дважды (на постоянной основе), в обоих случаях были циски арендодателя и админ с высоким ЧСВ.
Разом начинают звонить телефоны, и приходит это не со своего сип-сервера.
Установка "своего" роутера (гига3) с получением "отдельного канала" от прова решила проблему в обоих случаях.
облачные и локальные сервера asterisk/freepbx/a2billing/crm с полной техподдержкой. skype: whoim2, sipuri: whoim@asterisk.ru
whoim
 
Сообщений: 766
Зарегистрирован: 26 ноя 2013, 23:25
Откуда: Краснодар

Re: SipVicious и NAT

Сообщение awsswa » 07 окт 2016, 18:05

б\у tp-link из 7хх серии за 400 рублей с прошивкой OPENWRT тоже решает проблему
платный суппорт по мере возможностей
awsswa
 
Сообщений: 2390
Зарегистрирован: 09 июн 2012, 10:52
Откуда: Россия, Пермь skype: yarick_perm

Re: SipVicious и NAT

Сообщение Ferrum » 07 окт 2016, 18:11

Это все конечно хорошо, но может все таки проблемы в кривых настройках ?
Ну не должны они такую дыру оставить.
Просто нет сейчас Циски протестировать под рукой.
Вот поставила себе фирма маршрутизатор за $2000, а тут какой ни буть Микротик за $200 лучше, такое мало кто поймет.
Помучаю сейчас техподдержку Циски этим вопросом действительно интересно.
Последний раз редактировалось Ferrum 07 окт 2016, 18:34, всего редактировалось 1 раз.
Аватар пользователя
Ferrum
 
Сообщений: 333
Зарегистрирован: 25 ноя 2011, 15:16

Re: SipVicious и NAT

Сообщение Vlad1983 » 07 окт 2016, 18:34

если свой сервак внутри сети, то такое пробитие сквозь кошку (и вообще любой несимметричный NAT) возможно в случае если клиенты ходят к STUN
если сервак наруже, то будет постоянно
ЛС: @rostel
Vlad1983
 
Сообщений: 4251
Зарегистрирован: 09 авг 2011, 11:51

Re: SipVicious и NAT

Сообщение Ferrum » 07 окт 2016, 22:48

В общем если мы хотим в CISCO https://ru.wikipedia.org/wiki/Stateful_Packet_Inspection, нужно копать в сторону http://xgu.ru/wiki/Zone-Based_Policy_Firewall
Вопрос к пострадавшим как у вас реализованы данные настройки ?
Аватар пользователя
Ferrum
 
Сообщений: 333
Зарегистрирован: 25 ноя 2011, 15:16

След.

Вернуться в VoIP оборудование

Кто сейчас на форуме

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 14

© 2008 — 2024 Asterisk.ru
Digium, Asterisk and AsteriskNOW are registered trademarks of Digium, Inc.
Design and development by PostMet-Netzwerk GmbH