Kerio Kontrol firewall телефония voip voin sip traffic rules nat map PBX пример правил трафика

Автор: | 25 марта, 2018

Имеется физическое железо с установленным бесплатным Microsoft Hyper-v server 2016 — сервер виртуализации. который поддерживает разные raid контроллеры, Kerio Kontrol OS Debain может не работать с некоторыми raid контроллерами.

01-kerio-kontrol-vm-hyper-v

Логическая схема сети logical network diagram kerio control pbx 2 sip isp internet

logical network diagram kerio control pbx 2 sip isp internet
1)Kerio Kontrol local LAN 10.10.10.1 255.255.255.0

2)PBX Panasonic KX-NCP500, NS500 kx-tde100 10.10.10.29 , 10.10.10.30 255.255.255.0 (регистарция и голос)
3)ISP1 ip:62.123.45.68 gw 62.123.45.67 mask 255.255.255.252 , sip voin :195.111.000.5 195.111.000.40 sip.isp-1.ru
4)ISP2 ip: 10.50.50.65 gw 10.50.50.64 mask 255.255.255.252, sip voin 212.222.11.33 Для корректной работы sip voin voip оператор требует что-бы трафик sip транка на 212.222.11.33 приходил/уходил с ip 10.50.50.65

Установка kerio-control-installer-9.2.5-2532.iso на ms Hyper-V

0-kerio-kontrol-install-license-agr02-kerio-kontrol-install-language03-kerio-kontrol-install-13504-kerio-kontrol-install-complete-enter05-kerio-kontrol-admin-web05-kerio-kontrol-cli-console

Включаем прохождение\нахождение за NAT на АТС Panasonic KX-NCP500, NS500 kx-tde100 ,

Конфигурация ЦАТС \ 1.Конфигурация 1. Слот \ Вирт. слот , выбрать плату V-SIP-GW16 правой кнопкой мыши \ Свойства системного блока . Для изменения параметров необходимо вывести все карты V-SIPGW из сервиса перед изменением параметра OUS.
pbx-panasonic-kx-np500-ns500-nat
Kerio Operator NAT
06-kerio operator-ethernet-NAT2

Kerio Kontrol Правила трафика — Пример

07-kerio kontrol-conf-ethernet 08-kerio-kontrol-voip-voin-sip-traffic-rules-nat-map-PBX

Имя:195.111.000.5 ISP-2 to pbx.29 auth
источник: 195.111.05 sip.isp-2.ru
назначение:10.50.50.65
служба: sip , sip TCP , sil tls .
версия ip: ipv4
действие: разрешить
трансляция: MAP 10.10.10.29:35060

Имя:195.111.000.5 ISP-2 to pbx.30 voice
источник: 195.111.05 sip.isp-2.ru 195.111.40
назначение:10.50.50.65
служба: Любой [можно указать порты RTP голос из инструкции-мануала к АТС]
версия ip: ipv4
действие: разрешить
трансляция: MAP 10.10.10.30

имя:bpx voip to ISP-1 195.111.000.5
источник:10.10.10.29 10.10.10.30
назначение: 195.111.0.5 sip.isp-2.ru
служба: любой
версия i:ipv4
действие:Разрешить
трансляция: Nat распределение нагрузки интернет

имя:pbx voin to ISP-2 212.222.111.33
источник:10.10.10.29 10.10.10.30
назначение: 212.222.111.33
служба: любой
версия ip: ipv4
действие: Разрешить
трансляция: NAT (Ethernet-wan-isp-2)

имя: 212.222.111.33 ISP-2 to pbx.29 auth
источник: 212.222.111.33
назначение: Брандмауэр
служба: sip , sip tlc , sip tls
версия ip: ipv4
действие:разрешить
трансляция: MAP:10.10.10.29:35060

имя: ip 10.50.60.65 isp-2 to pbx30. voice
источник: Ethernet 2-wan-isp-2
назначение:Брандмауэр
служба: Любой
версия ip: ipv4
действие: разрешить
трансляция: MAP 10.10.10.30

Инспекция трафика выключит, поддержку sip alg

Диазностика Capture TCPDumps Ubuntu + wireshark call flow
1.If we want to get a TCP Dump of everything on port 5060 we can use the following command. This will create a file called capture.pcap in the tmp directory of everything on port 5060. If the file is bigger than 50MB it will start another file.

tcpdump -s0 -w/tmp/capture.pcap -C50 udp and port 5060

2.If we wanted to limit it to a specific IP address, like a phone or SIP carrier, we could do:

tcpdump -s0 -w/tmp/capture.pcap -C50 udp and port 5060 and host 129.33.194.122

3.To easily view the SIP transaction, load the PCAP into wireshark and goto Telephony -> VoIP Calls. Then select the session you want to look at and click «Flow.» If you’ve captured the RTP traffic (Option: -T rtp), you may be able to play the audio of the call as well.

4.Run tcpdump in the background from a screen session so you can disconnect while it runs. This also tags the file name with the host name and timestamp.•screen -dm tcpdump -s0 -w/tmp/capture-dep`hostname -s`-`date +%Y%m%d-%H%M%Z`.pcap -C150 udp and port 5060

cisco port mirroring — SPAN Зеркалирование трафика на cisco

monitor session 1 source interface Fa0/10
monitor session 1 destination interface Fa0/11

monitor session 1
1. Стык с сетью передачи данных IP  
1.1Протокол маршрутизации на стыке с сетью IP (BGP, Статическая)статическая маршрутизация, IP-адресация из автономной системы Комстар
1.2Открытые порты UDP с/на сети Комстар>1023
1.3Разрешить протокол ICMPECHO reply
2. Параметры доступа к сети Комстар с использованием протокола SIP
2.1Метод передачи частотных сигналов DTMFRFC-2833, INFO
2.2Метод передачи факсовT38
3. Параметры доступа к сети Комстар с использованием протокола SIP
3.1Софтсвитч (сигнальный трафик)ipv4: 212.248.28.10
3.2Голосовой трафикipv4: 212.248.28.10
4. Параметры голосового тракта VoIP
4.1Поддерживаемые типы кодековG.729, G711A-Law, G.711Mu-Law
4.2Использование VADНе используется
5. План нумерации
5.1Формат номера вызываемого абонентаМосква и междугородние вызовы: 8+код города+номер абонента Мобильные: 8+код оператора+номер абонента Междугородние: 810+код страны+код города+номер абонента
5.2Формат номера вызывающего абонента (АОН)Выделенный номер или один из диапазона выделенных номеров (10 цифр)

Добавить комментарий

Ваш адрес email не будет опубликован.

*

code