У меня есть шлюз Linux с ядром 2.6.39, подключенный к Cisco ASA 5500 с помощью vpnc. Я использую iptables с маскировкой и переадресацией, чтобы предоставить LAN доступ к устройству tun0, подключенному к VPN.

Мой IP-телефон Cisco 7941 может подключаться к диспетчеру вызовов, но я слышу только один способ, когда вызов установлен. tcpdump -i any на моем шлюзе LAN показывает трафик rtp, исходящий от IP-адреса моего телефона, затем с NAT-адресом на адрес tun0 и, наконец, через мой интерфейс ext, инкапсулированный в esp. tcpdump на интерфейсе tun0 показывает только трафик, идущий в пункт назначения rtp с IP-адреса tun0 src. С точки зрения моей локальной сети исходящий трафик rtp транслируется правильно.

Однако системный журнал asa показывает, что мой IP-адрес локальной сети, а не мой адрес tun0, был удален на удаленном сервере VPN. Любые предложения, как приступить к устранению неполадок?

1 ответ1

0

От http://docwiki.cisco.com/wiki/Cisco_Unified_Communications_--_One-Way_Audio:

«Одной из распространенных причин одностороннего или непроходного аудио является ситуация, когда между двумя конечными точками существуют трансляция сетевых адресов (NAT), трансляция адресов портов (PAT) или межсетевые экраны. Протокол SCCP внедряет IP-адреса в полезную нагрузку IP-пакета, чтобы указать, на какой IP-адрес отправлять RTP-пакеты. Если устройство, выполняющее NAT или PAT, не знает об этом факте, встроенные IP-адреса не транслируются. Таким образом, получаются односторонние или непрямые аудиосигналы. "

Используйте http://oisec.net/download/skinny/1.48/skinny-proxy.pl на своем шлюзе. Он будет прослушивать порт 2000 и перенаправлять вызовы с вашего IP-телефона в диспетчер вызовов. Использование:

iptables -t nat -A PREROUTING -i $LAN_IFACE -p tcp --dport 2000 -j REDIRECT --to-ports 2000

перенаправить сетевой трафик на скины-прокси. Оно работает.

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .