Sip криво ходит через ipsec?

[blackvalex]

Дано :
В ЦО - астериск, в филиалах - где Planet VIP 400/480, где SPA8000.

Часть филиалов подключена через VPN (Ipsec).Переодически отваливается VOip в этих филиалах. В лог валится chan_sip.c: Peer is now UNREACHABLE! Last qualify: 62 При этом шлюзы доступны по пингу/веб/телнету.

В филиалах, которые подключены не через vpn такой проблемы не наблюдается.

VPN -концентратор в ЦО меняли - сначала грешили на него. Не помогло.

При смене номера порта на шлюзах связь на какое-то время восстанавливается. Потом - по новой.

Буду благодарен любому совету либо платной помощи по решению данной проблемы

[Vlad1983]

через какое железо поднимаются туннели?

[blackvalex]

В ЦО Zywall USG 300 (поменяли временно на Zywall 70), в филиалах Zywall usg 50. Всего 20 филиалов.

[blackvalex]

Кусок лога

[Aug 20 16:49:58] NOTICE[2894] chan_sip.c: Peer '0665' is now UNREACHABLE! Last qualify: 18
[Aug 20 16:50:18] NOTICE[2894] chan_sip.c: Peer '0660' is now UNREACHABLE! Last qualify: 17
[Aug 20 16:51:41] VERBOSE[2894] chan_sip.c: -- Registered SIP '0660' at 192.168.27.200 port 5070
[Aug 20 16:51:41] NOTICE[2894] chan_sip.c: Peer '0660' is now Reachable. (9ms / 2000ms)
[Aug 20 16:51:47] NOTICE[2894] chan_sip.c: Peer '0694' is now UNREACHABLE! Last qualify: 19
[Aug 20 16:51:47] NOTICE[2894] chan_sip.c: Peer '0695' is now UNREACHABLE! Last qualify: 20
[Aug 20 16:51:48] NOTICE[2894] chan_sip.c: Peer '0692' is now UNREACHABLE! Last qualify: 18
[Aug 20 16:51:48] NOTICE[2894] chan_sip.c: Peer '0693' is now UNREACHABLE! Last qualify: 18
[Aug 20 16:51:53] VERBOSE[2894] chan_sip.c: -- Registered SIP '0662' at 192.168.27.200 port 5170
[Aug 20 16:51:53] VERBOSE[2894] chan_sip.c: -- Registered SIP '0663' at 192.168.27.200 port 5171
[Aug 20 16:51:53] NOTICE[2894] chan_sip.c: Peer '0662' is now Reachable. (10ms / 2000ms)
[Aug 20 16:51:53] NOTICE[2894] chan_sip.c: Peer '0663' is now Reachable. (16ms / 2000ms)
[Aug 20 16:51:57] VERBOSE[2894] chan_sip.c: -- Registered SIP '0664' at 192.168.27.200 port 5270
[Aug 20 16:51:57] NOTICE[2894] chan_sip.c: Peer '0664' is now Reachable. (9ms / 2000ms)
[Aug 20 16:52:40] VERBOSE[2894] chan_sip.c: -- Registered SIP '0665' at 192.168.27.200 port 5271
[Aug 20 16:52:40] NOTICE[2894] chan_sip.c: Peer '0665' is now Reachable. (16ms / 2000ms)

[ded]

Проблема, возможно, совсем не в IPsec, у нас опыт VoIP-over-IPsec восемь лет.
Если обычным образом хосты пингуются, а вдруг вылетает Peer is now UNREACHABLE!, то неверная обработка пакетов OPTIONS на конечном SIPоборудовании, либо это работа Firewall, который может посчитать бомбардировку непонятными ему пакетами порта 5060 за DdoS. Если в ваших тунелях нет NAT, то можно убрать эти пакеты: qualify=no, и всё будет нормально.

[Vlad1983]

скорей всего фаервол
за SPA8000 я уверен он точно нормально отвечает на OPTIONS
можно попробовать увеличить интервал опроса
в general sip.conf

Код: Выделить всё

qualifyfreq=60

[blackvalex]

В туннелях NAT отсутствует. Site-to-Site

Что негативного может произойти при qualify=no ?

[ded]

Ничего.
Изучите для чего вообще пакеты OPTIONS. Это аналог nat_keepalive, который бывает обычно на конечных устройствах как опция, поддерживает динамически созданные NAT трансляции в NAT устройствах, чтобы не закрывалась однажды созданная трансляция при SIP запросе в мир.
qualify=yes делает то же самое, но со стороны Астериск, посылая периодически пакеты OPTIONS.

[blackvalex]

Отловил пакетов . Planet каждые 4 секунды шлет REGISTER на *. Ответа не получает. Пинги ходят

[ded]

Planet каждые 4 секунды шлет REGISTER - что-то плохо, После правильного запроса REGISTER должен получить ОК и успокоитсья.
Вообще то Planet - это шлак.