Настройка CISCO для работы ip телефонии Asterisk в разных сетях

@Albeit · Регистрация: 18.04.2017

Author24 — интернет-сервис помощи студентам

Здравствуйте!
Помогите решить задачу.
Имеется две сети, далее СЕТЬ1 и СЕТЬ2, сети находятся в разных частях города и никак между собой не связаны, в обеих сетях на выходе в интернет стоят маршрутизаторы CISCO.
В СЕТИ1 находиться сервер Asterisk, и на базе этого сервера работает ip телефония.
Задача сделать так чтобы ip телефоны в СЕТИ2 два работали на базе сервера Asterisk который находиться в СЕТИ1 и желательно максимально безопасно.

Внешний ip адрес СЕТИ1 XXX.XXX.XXX.5
Внешний ip адрес СЕТИ2 XXX.XXX.XXX.36
Внутренний адрес сервера Asterisk 192.168.7.96
Порты необходимые для работы сервера Asterisk - 5060 UDP, 10000-20000 UDP

Подскажите как правильно настроить конфигурацию CISCO в обеих сетях, примерно понимаю что нужно использовать nat и прописать в аксесс листах определенные доступы.
Пробовал пробросить порты на CISCO в СЕТИ1, но все равно с ip телефонов из СЕТИ2 регистрация не проходит.
Конфигурация CISCO в СЕТИ1, лишнее убрал.

interface Loopback0
no ip address
ip route-cache policy
ip route-cache flow
!
interface FastEthernet0/0
description $ES_LAN$$ETH-LAN$
ip address 192.168.2.254 255.255.255.0
ip access-group int_in in
ip access-group int_out out
ip nat inside
ip virtual-reassembly
ip route-cache policy
ip route-cache flow
speed auto
full-duplex
no cdp enable
no mop enabled
!
interface FastEthernet0/1
description $ES_WAN$
ip address XXX.XXX.XXX.5 255.255.255.240
ip access-group inet_in in
ip access-group inet_out out
ip nat outside
ip virtual-reassembly
ip route-cache policy
ip route-cache flow
ip policy route-map MAP
duplex auto
speed auto
no cdp enable
!
ip forward-protocol nd
ip route 0.0.0.0 0.0.0.0 XXX.XXX.XXX.1
ip route 192.168.0.0 255.255.0.0 192.168.2.1
ip route 192.168.3.0 255.255.255.0 192.168.2.1
ip route 192.168.7.0 255.255.255.0 192.168.2.1
!
ip flow-export version 5
!
no ip http server
no ip http secure-server
ip nat pool Internet XXX.XXX.XXX.5 XXX.XXX.XXX.5 netmask 255.255.255.240
ip nat inside source list 1 pool Internet overload
ip nat inside source static udp 192.168.7.96 5060 XXX.XXX.XXX.5 5060 extendable
!
ip access-list extended inet_in
deny tcp any host XXX.XXX.XXX.3 eq telnet log
permit ip any XXX.XXX.XXX.0 0.0.0.15
deny ip any any log
ip access-list extended inet_out
permit ip XXX.XXX.XXX.0 0.0.0.15 any
deny ip any any log
ip access-list extended int_in
permit udp host 192.168.7.96 host XXX.XXX.XXX.36
permit tcp host 192.168.7.96 host XXX.XXX.XXX.36
deny ip any any log
ip access-list extended int_out
permit tcp host XXX.XXX.XXX.36 host 192.168.7.96
permit udp host XXX.XXX.XXX.36 host 192.168.7.96
deny ip any any log
!
logging trap debugging
logging facility local6
logging 192.168.XXX.XXX
access-list 1 permit 192.168.7.0 0.0.0.255
access-list 1 permit 192.168.3.0 0.0.0.255
access-list 22 permit 192.168.7.0 0.0.0.255 log
access-list 101 permit ip any 192.168.0.0 0.0.255.255
access-list 101 permit udp any any range 5004 5082
access-list 101 permit udp any any range 10000 20000
no cdp run
route-map MAP permit 10
match ip address 101
set interface Loopback0

@insect_87 · 23.04.2017, 00:57

зачем вообще светить астериск наружу (я про ip nat inside source static)?

Сообщение от Albeit

Задача сделать так чтобы ip телефоны в СЕТИ2 два работали на базе сервера Asterisk который находиться в СЕТИ1 и желательно максимально безопасно

сделай IPSEC туннель между офисами, а дальше сплошная маршрутизация внутренних подсетей

@Albeit · 24.04.2017, 08:01 **[ТС]**

Сообщение от insect_87

зачем вообще светить астериск наружу (я про ip nat inside source static)?

Потому что нет никакого опыта работы с IPSEC.
Да, светить астериск наружу не самый безопасный вариант, но пока даже и так не получается.
Предполагаю что проблема в самих телефонах Yealink T21P E2, так как подключиться с ip телефонов другой марки получилось.
Пробовал обновить прошивку, настройки менять, бесполезно.
Внутри локалки эти телефоны работают без проблем.

@insect_87 · 24.04.2017, 08:04

Сообщение от Albeit

Потому что нет никакого опыта работы с IPSEC

https://habrahabr.ru/post/170895/
http://xgu.ru/wiki/%D0%9D%D0%B... 1%85_Cisco

Новые блоги и статьи Все статьи Все блоги /
Интеграция Hangfire с RabbitMQ в проектах C#.NET stackOverflow 18.04.2025 Разработка современных . NET-приложений часто требует выполнения задач "за кулисами". Это может быть отправка email-уведомлений, генерация отчётов, обработка загруженных файлов или синхронизация. . .	Построение эффективных запросов в микросервисной архитектуре: Стратегии и практики ArchitectMsa 18.04.2025 Микросервисная архитектура принесла с собой много преимуществ — возможность независимого масштабирования сервисов, технологическую гибкость и четкое разграничение ответственности. Но как часто бывает. . .	Префабы в Unity: Использование, хранение, управление GameUnited 18.04.2025 Префабы — один из краеугольных элементов разработки игр в Unity, представляющий собой шаблоны объектов, которые можно многократно использовать в различных сценах. Они позволяют создавать составные. . .	RabbitMQ как шина данных в интеграционных решениях на C# (с MassTransit) stackOverflow 18.04.2025 Современный бизнес опирается на множество специализированных программных систем, каждая из которых заточена под решение конкретных задач. CRM управляет отношениями с клиентами, ERP контролирует. . .	Типы в TypeScript run.dev 18.04.2025 TypeScript представляет собой мощное расширение JavaScript, которое добавляет статическую типизацию в этот динамический язык. В JavaScript, где переменная может свободно менять тип в процессе. . .
Погружение в Kafka: Концепции и примеры на C# с ASP.NET Core stackOverflow 18.04.2025 Apache Kafka изменила подход к обработке данных в распределенных системах. Эта платформа потоковой передачи данных выходит далеко за рамки обычной шины сообщений, предлагая мощные возможности,. . .	Коммуникация в реальном времени с SignalR в C# на примере создания чата UnmanagedCoder 17.04.2025 Современный веб стремительно эволюционирует от статичных страниц к динамичным приложениям, где пользователи ожидают мгновенной реакции на свои действия. Представим, что вы отправляете сообщение. . .	Реализация CQRS с MediatR на C# .NET stackOverflow 17.04.2025 Современная разработка программного обеспечения постоянно ищет пути повышения эффективности организации кода. Архитектурные паттерны появляются, эволюционируют, и те, что проявляют свою. . .	Verilog и интеллектуальная собственность - "глазами" обученной LM модели. Hrethgir 17.04.2025 В сети встречаются участники, заявляющие что код на Verilog ни о чём не говорит. Но вот патентная практика на самом деле показывает обратное ими утверждаемому. То-есть код на Verilog включают в. . .	Свап-файл дополнительно к разделу (если вдруг не хватает или не создан) jigi33 17.04.2025 ПОДКЛЮЧЕНИЕ ДОПОЛНИТЕЛЬНОГО SWAP ПРОСТРАНСТВА, Т. О. , РАСШИРЕНИЕ ЕГО РАЗМЕРА В Linux можно использовать как раздел подкачки (swap), так и файл подкачки (swap-файл). Чтобы создать swap-файл вместо. . .

@Albeit 1 / 1 / 0 Регистрация: 18.04.2017 Сообщений: 26

	Настройка CISCO для работы ip телефонии Asterisk в разных сетях 18.04.2017, 12:06. Показов 3210. Ответов 3 Метки нет (Все метки) Здравствуйте! Помогите решить задачу. Имеется две сети, далее СЕТЬ1 и СЕТЬ2, сети находятся в разных частях города и никак между собой не связаны, в обеих сетях на выходе в интернет стоят маршрутизаторы CISCO. В СЕТИ1 находиться сервер Asterisk, и на базе этого сервера работает ip телефония. Задача сделать так чтобы ip телефоны в СЕТИ2 два работали на базе сервера Asterisk который находиться в СЕТИ1 и желательно максимально безопасно. Внешний ip адрес СЕТИ1 XXX.XXX.XXX.5 Внешний ip адрес СЕТИ2 XXX.XXX.XXX.36 Внутренний адрес сервера Asterisk 192.168.7.96 Порты необходимые для работы сервера Asterisk - 5060 UDP, 10000-20000 UDP Подскажите как правильно настроить конфигурацию CISCO в обеих сетях, примерно понимаю что нужно использовать nat и прописать в аксесс листах определенные доступы. Пробовал пробросить порты на CISCO в СЕТИ1, но все равно с ip телефонов из СЕТИ2 регистрация не проходит. Конфигурация CISCO в СЕТИ1, лишнее убрал. interface Loopback0 no ip address ip route-cache policy ip route-cache flow ! interface FastEthernet0/0 description $ES_LAN$$ETH-LAN$ ip address 192.168.2.254 255.255.255.0 ip access-group int_in in ip access-group int_out out ip nat inside ip virtual-reassembly ip route-cache policy ip route-cache flow speed auto full-duplex no cdp enable no mop enabled ! interface FastEthernet0/1 description $ES_WAN$ ip address XXX.XXX.XXX.5 255.255.255.240 ip access-group inet_in in ip access-group inet_out out ip nat outside ip virtual-reassembly ip route-cache policy ip route-cache flow ip policy route-map MAP duplex auto speed auto no cdp enable ! ip forward-protocol nd ip route 0.0.0.0 0.0.0.0 XXX.XXX.XXX.1 ip route 192.168.0.0 255.255.0.0 192.168.2.1 ip route 192.168.3.0 255.255.255.0 192.168.2.1 ip route 192.168.7.0 255.255.255.0 192.168.2.1 ! ip flow-export version 5 ! no ip http server no ip http secure-server ip nat pool Internet XXX.XXX.XXX.5 XXX.XXX.XXX.5 netmask 255.255.255.240 ip nat inside source list 1 pool Internet overload ip nat inside source static udp 192.168.7.96 5060 XXX.XXX.XXX.5 5060 extendable ! ip access-list extended inet_in deny tcp any host XXX.XXX.XXX.3 eq telnet log permit ip any XXX.XXX.XXX.0 0.0.0.15 deny ip any any log ip access-list extended inet_out permit ip XXX.XXX.XXX.0 0.0.0.15 any deny ip any any log ip access-list extended int_in permit udp host 192.168.7.96 host XXX.XXX.XXX.36 permit tcp host 192.168.7.96 host XXX.XXX.XXX.36 deny ip any any log ip access-list extended int_out permit tcp host XXX.XXX.XXX.36 host 192.168.7.96 permit udp host XXX.XXX.XXX.36 host 192.168.7.96 deny ip any any log ! logging trap debugging logging facility local6 logging 192.168.XXX.XXX access-list 1 permit 192.168.7.0 0.0.0.255 access-list 1 permit 192.168.3.0 0.0.0.255 access-list 22 permit 192.168.7.0 0.0.0.255 log access-list 101 permit ip any 192.168.0.0 0.0.255.255 access-list 101 permit udp any any range 5004 5082 access-list 101 permit udp any any range 10000 20000 no cdp run route-map MAP permit 10 match ip address 101 set interface Loopback0 0

@insect_87 11436 / 7005 / 1903 Регистрация: 25.12.2012 Сообщений: 29,398
	23.04.2017, 00:57
	зачем вообще светить астериск наружу (я про ip nat inside source static)? Сообщение от Albeit Задача сделать так чтобы ip телефоны в СЕТИ2 два работали на базе сервера Asterisk который находиться в СЕТИ1 и желательно максимально безопасно сделай IPSEC туннель между офисами, а дальше сплошная маршрутизация внутренних подсетей 0

@Albeit 1 / 1 / 0 Регистрация: 18.04.2017 Сообщений: 26
	24.04.2017, 08:01 [ТС]
	Сообщение от insect_87 зачем вообще светить астериск наружу (я про ip nat inside source static)? Потому что нет никакого опыта работы с IPSEC. Да, светить астериск наружу не самый безопасный вариант, но пока даже и так не получается. Предполагаю что проблема в самих телефонах Yealink T21P E2, так как подключиться с ip телефонов другой марки получилось. Пробовал обновить прошивку, настройки менять, бесполезно. Внутри локалки эти телефоны работают без проблем. 0

@insect_87 11436 / 7005 / 1903 Регистрация: 25.12.2012 Сообщений: 29,398
	24.04.2017, 08:04
	Сообщение от Albeit Потому что нет никакого опыта работы с IPSEC https://habrahabr.ru/post/170895/ http://xgu.ru/wiki/%D0%9D%D0%B... 1%85_Cisco 0

Опции темы