Давненько не писал в уютненький, а тут прям зазудело.
Далее пытаемся со своей машины открыть сессию:
http://kb.juniper.net/InfoCenter/index?page=content&id=KB17160
Где Тёмно-Серым по Светло-Серому написано:
Благодарю за внимание.
Возникла прохождении SIP траффика из локальной сети во внеш.
Если конкретнее - не устанавливались сессии на порт 5060 по TCP.
Роутер который меня nat'ом выпускал - Juniper SRX 100h - в конфиге каких либо ограничений для прохождения подобного траффика не нашел. Вот тут и началось веселье:
Включаем трассировку на SRX:
root@router01# show security flow traceoptionsгде xx.xx.xx.xx - IP адрес SIP сервера с открытым 5060 tcp портом.
file tcp5060 size 500k files 2 world-readable;
flag basic-datapath;
packet-filter tcp5060 {
protocol tcp;
destination-prefix xx.xx.xx.xx/32;
}
Далее пытаемся со своей машины открыть сессию:
telnet xx.xx.xx.xx 5060далее на SRX смотрим трейс:
root@router01> start shellНаходим секцию:
root@router01% view /cf/var/log/tcp5060
Doing DESTINATION addr route-lookupМоё внимание привлекло "app 63". После активного гуглинга было найдено следущее:
routed (x_dst_ip 212.248.66.109) from trust (vlan.400 in 0) to vlan.4001, Next-hop: 91.239.89.1
policy search from zone trust-> zone untrust (0x0,0x367113c4,0x13c4)
app 63, timeout 1800s, curr ageout 20s
http://kb.juniper.net/InfoCenter/index?page=content&id=KB17160
Где Тёмно-Серым по Светло-Серому написано:
/*Вот тут то все и стало совсем понятно:
service that needs ALG
*/
SC_SERVICE_H245 = 59,
SC_SERVICE_Q931 = 60,
SC_SERVICE_RAS = 61,
SC_SERVICE_REAL = 62,
SC_SERVICE_SIP = 63,
SC_SERVICE_SQLNETV2 = 64,
.......
root@router01# set security alg sip disableПосле коммита всё ожидаемо заработало.
Благодарю за внимание.
Комментариев нет:
Отправить комментарий