Keenetic + ВАТС от МТС. Помогите разобраться.

[fmike]

Здравствуйте,

KN-1011 + телефоны Yealink T33P + виртуальная АТС в МТС. Проблемы: то невозможно дозвониться, то при входящем или исходящем нет голоса, еще что-то. Обратился в тех.под. МТС с описанием проблемы, указал время, источник и получатель звонка. Получил ответ:"От вашего IP , с которого выполнена регистрация абонента B - 207 (sip_E54719G1A8I) приходят странные UDP пакеты с разных портов на порт SBC 5060. SBC распознает их как спам и помещает IP в черный список на несколько минут. Поэтому SBC не видит ответов от 207. Соответственно в трубке тишина." и приложили файл pcap, где это наглядно продемонстрировано. Я включил на Кинетике захват пакетов с фильтром udp dst port 5060 для домашней сети. Здесь все оказалось ровно - пакеты уходят на адрес ВАТС с порта 5060 и приходят с порта 5050. Затем этот же фильтр я использовал для интернет-подключения. И вот здесь уже, наряду с пакетами 5060-5060, я и увидел пакеты в адрес ВАТС с рандомных портов на 5060. Что это и как с этим бороться?

 

Изменено 9 февраля пользователем fmike

[Илья Картавенко]

1 час назад, fmike сказал:

Здравствуйте,

KN-1011 + телефоны Yealink T33P + виртуальная АТС в МТС. Проблемы: то невозможно дозвониться, то при входящем или исходящем нет голоса, еще что-то. Обратился в тех.под. МТС с описанием проблемы, указал время, источник и получатель звонка. Получил ответ:"От вашего IP , с которого выполнена регистрация абонента B - 207 (sip_E54719G1A8I) приходят странные UDP пакеты с разных портов на порт SBC 5060. SBC распознает их как спам и помещает IP в черный список на несколько минут. Поэтому SBC не видит ответов от 207. Соответственно в трубке тишина." и приложили файл pcap, где это наглядно продемонстрировано. Я включил на Кинетике захват пакетов с фильтром udp dst port 5060 для домашней сети. Здесь все оказалось ровно - пакеты уходят на адрес ВАТС с порта 5060 и приходят с порта 5050. Затем этот же фильтр я использовал для интернет-подключения. И вот здесь уже, наряду с пакетами 5060-5060, я и увидел пакеты в адрес ВАТС с рандомных портов на 5060. Что это и как с этим бороться?

 

Шлюз прикладного уровня (ALG) для SIP Установлен в прошивке роутера?

[Migel]

41 минуту назад, Илья Картавенко сказал:

Шлюз прикладного уровня (ALG) для SIP Установлен в прошивке роутера?

Если установлен - удалите.

[fmike]

47 минут назад, Migel сказал:

Если установлен - удалите.

Нет, я его отключил.

Изменено 9 февраля пользователем fmike

[Илья Картавенко]

2 часа назад, fmike сказал:

Нет, я его отключил.

А с установленным компонентом тоже самое происходит?

[fmike]

7 минут назад, Илья Картавенко сказал:

А с установленным компонентом тоже самое происходит?

Да, включение/отключение никак не влияет.

[sips]

On 2/9/2025 at 9:59 AM, fmike said:

И вот здесь уже, наряду с пакетами 5060-5060, я и увидел пакеты в адрес ВАТС с рандомных портов на 5060. Что это и как с этим бороться?

Пришлите, пожалуйста, файл *.pcapng с упомянутыми пакетами в адрес ВАТС с рандомных портов на 5060 и файл self-test с вашего роутера KN-1011 (см. веб-конфигуратор>Управление>Параметры системы>Системные файлы>self-test). Попробуем выяснить причину и найти решение проблемы.

[MDP]

В 09.02.2025 в 12:39, Migel сказал:

Если установлен - удалите.

а helper то как мешает? ...он как бы наоборот призван помогать через NAT трафик пропускать

[HEcaxap]

Добрый день, @fmike

Ваше сообщение с селф-тестом скрыто и доступно теперь только модерaторам. Публикация селф-теста в открытом доступе может быть небезопасна, поэтому обязательно скрывайте такие сообщения (три точки в верхнем правом углу - скрыть).

[Migel]

5 часов назад, MDP сказал:

а helper то как мешает? ...он как бы наоборот призван помогать через NAT трафик пропускать

SIP ALG (SIP Application Level Gateway) – это шлюз прикладного уровня, который позволяет голосовому VOIP-трафику (RTP) беспрепятственно проходить через устройство с функцией NAT (Network Address Translation). Если в маршрутизаторе присутствует и активирован SIP ALG, то не нужно дополнительно настраивать проброс портов для этого типа трафика.

Но это только одна точка зрения создателей и производителей встраивающих это в свои устройства.

На деле SIP ALG может создавать серьезные проблемы для прохождения RTP трафика, при использовании IP АТС. Это касается всех устройств с SIP ALG.

https://proftelecom.by/SIP_ALG.htm

 

Для преодоления NAT в современных IP телефонах есть свои механизмы.

Изменено 10 февраля пользователем Migel

[sips]

On 2/9/2025 at 9:59 AM, fmike said:

я и увидел пакеты в адрес ВАТС с рандомных портов на 5060

Из дампа трафика, который вы прислали видно, что в локальной подсети за Кинетиком находятся 11 телефонов Yealink,каждый из них использует порт UDP 5060 для обмена сообщениями SIP с сервером. Каждый регистрируется с отдельным SIP-аккаунтом, длительность регистрации 180 или 3600 секунд.

Ниже приведены данные из поля Contact запросов REGISTER отправляемых этими телефонами, часть SIP URI скрыта звездочками.

<sip:sip_***20I@192.168.1.33:5060>

<sip:sip_***6I@192.168.1.20:5060>

<sip:sip_***14I@192.168.1.13:5060>

<sip:sip_***15I@192.168.1.34:5060>

<sip:sip_***9I@192.168.1.26:5060>

<sip:sip_***8I@192.168.1.15:5060>

<sip:sip_***10I@192.168.1.14:5060>

<sip:sip_***13I@192.168.1.25:5060>

<sip:sip_***25I@192.168.1.27:5060>

<sip:sip_***2I@192.168.1.32:5060>

<sip:sip_***16I@192.168.1.11:5060>
 

При SIP-регистрации локальный порт UDP 5060 каждого из телефонов отображается на отдельный пятизначный порт UDP на внешнем интерфейсе роутера. Через этот порт осуществляется связь между телефоном и сервером. Поэтому вы видите то, что видите. Это нормально, так работает NAT.

В данном случае для стабильной работы сервиса телефонии важно, чтобы отображаемый порт NAT не закрылся и не сменился до следующей SIP-регистрации телефона. Для поддержания сессии NAT открытой нужно использовать функцию NAT Keep Alive. Проверьте настройки этой функции на ваших телефонах. Функция должна быть включена, период отправки пакетов keep alive не должен превышать 30 секунд.
Шлюз прикладного уровня (ALG)  нужно удалить на Кинетике.
 

 

[Илья Картавенко]

8 минут назад, sips сказал:

Шлюз прикладного уровня (ALG)  нужно удалить на Кинетике.

Мне тоже просто интересно, а какую роль тогда выполняет этот компонент, для чего он?

[fmike]

14 часов назад, sips сказал:

так работает NAT.

Я об этом думал, меня смущал ответ поддержки, которая, вроде бы, должна об этом знать. Отправлю это в поддержку, поскольку настройки телефонов, которые я посмотрел, вроде бы корректные. Позже проверю все аппараты.