Крайний вариант правил
# Generated by iptables-save v1.4.10 on Tue Jul 19 16:45:16 2011
*nat
:PREROUTING ACCEPT [287:19213]
:INPUT ACCEPT [44:3261]
:OUTPUT ACCEPT [74:7366]
:POSTROUTING ACCEPT [66:5626]
-A PREROUTING ! -d 192.168.1.0/24 -i eth1 -p tcp -m multiport --dports 80,8080 -j REDIRECT --to-port 3128
-A PREROUTING -d 192.168.0.1/32 -p tcp -m tcp --dport 1717:65535 -j DNAT --to-destination 192.168.1.2
-A PREROUTING -d 192.168.0.1/32 -p udp -m udp --dport 1717:65535 -j DNAT --to-destination 192.168.1.2
-A POSTROUTING ! -d 192.168.1.0/24 -s 192.168.1.0/24 -j MASQUERADE
COMMIT
# Completed on Tue Jul 19 16:45:16 2011
# Generated by iptables-save v1.4.10 on Tue Jul 19 16:45:16 2011
*mangle
:PREROUTING ACCEPT [6136:575788]
:INPUT ACCEPT [2479:208492]
:FORWARD ACCEPT [3657:367296]
:OUTPUT ACCEPT [1922:221919]
:POSTROUTING ACCEPT [5591:592197]
COMMIT
# Completed on Tue Jul 19 16:45:16 2011
# Generated by iptables-save v1.4.10 on Tue Jul 19 16:45:16 2011
*filter
:INPUT ACCEPT [1743:153793]
:FORWARD ACCEPT [38:1592]
:OUTPUT ACCEPT [1436:160809]
-A INPUT -i 192.168.0.1 -p udp -m udp --sport 1717:65535 --dport 500:65535 -j ACCEPT
-A INPUT -i 192.168.0.1 -p tcp -m tcp --sport 1717:65535 --dport 500:65535 -j ACCEPT
-A INPUT -p icmp -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -s 10.77.1.33/32 -p tcp -m tcp --dport 22 -j ACCEPT
-A FORWARD -i eth1 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -i eth0 -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -d 192.168.1.2/32 -p tcp -m tcp --dport 1717:65535 -j ACCEPT
-A FORWARD -d 192.168.1.2/32 -p udp -m udp --dport 1717:65535 -j ACCEPT
COMMIT
# Completed on Tue Jul 19 16:45:16 2011
Сеть ЦО 192.168.0.0/24 шлюз и впн на ISA сервере 192.168.0.254, на нем же правило
Persistent Routes:
Network Address Netmask Gateway Address Metric
192.168.1.0 255.255.255.0 192.168.0.1 10
Серваку из офиса, через настройки dial-in в ad, выдается фиксированный адрес 192.168.0.1
Это правила маршрутизации с сервера, после поднятия впн канала
Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref Use Iface
vpn.xxxxx.ru 10.0.0.1 255.255.255.255 UGH 0 0 0 eth0
192.168.0.254 * 255.255.255.255 UH 0 0 0 ppp0
vext009.socket. 10.0.0.1 255.255.255.255 UGH 0 0 0 eth0
192.168.1.0 * 255.255.255.0 U 0 0 0 eth1
10.0.0.0 * 255.255.255.0 U 0 0 0 eth0
192.168.0.0 192.168.0.1 255.255.255.0 UG 10 0 0 ppp0
default 10.0.0.1 0.0.0.0 UG 100 0 0 eth0
У ЦОшной АТС адрес 192.168.0.250
Про sip я сам понимаю мало, не телефонист, но знаю на 99% что как станцию не настраивай голос будет прередается потоком udp пакетов, порты зависят от моделей станции обычно начинаются после 10 000 и дальше.
В моем случае пока станцию настраивали в ЦО и ей выдали адрес 192.168.0.1, все пахало, а после переезда на адрес 192.168.1.2, за нат и впн перестало
По поводу
Долго и упорно вкуривал за какми лядом пакеты в ЦО маскарадятся, но так и не вкурил, по причине отсутствия условий настройки сети в ЦО.
Это правило осталось от того момента, когда не было впн в ЦО. Может я ошибаюсть но оно должно работать и сейчас, на выпуск всего что, не в впн ЦО, а просто в инет.
Тема: Проблема с передачей голоса через шлюз + впн (Прочитано 1946 раз)
