Каталог Поиск 0 Сравнить 0 Закладки 0 Корзина Войти
+7 (495) 108-0-888 info@ubiquiti.ru
Каталог
+7 (499) 350-36-46 info@ubiquiti.ru
105082, Москва, ул. Фридриха Энгельса, 75с21, БЦ Бауманский ИТКОЛ
Пн - Пт: с 09-00 до 18-00 Сб: с 10-00 до 18-00 Вс: выходной
Форумы: UniFi Protect, UniFi Network, UniFi Access, UniFi Talk, UniFi Drive, UniFi Mobility, UniFi Connect, UniFi Play, Wifiman, Feature-request, Site-manager, Edgemax, airfiber-ltu, unifi-led, unifi-voip, solar, security, link, aircontrol, unifi-video, new-to-unifi, ufiber, unms, Airfiber, Innerspace, ISP-design-center, Airmax, UISP-app, UID, 60GHz, General
Поиск  Пользователи  Правила  Войти
Страницы: 1
RSS
5.2.7 Помощь с Firewall для системы Avaya, UniFi Network
 
#1
03.10.2016 19:50:00
Моя конфигурация Cisco работала, но на USG-PRO-4 с версией 5.2.7, похоже, не удаётся настроить зеркалирование.

object network Avayahost 192.168.X.X  
object network Avayanat (inside,outside) static Y.Y.Y.Y  
object-group service DM_INLINE_SERVICE_0  
service-object icmp  
service-object tcp-udp destination range 1719 1720  
service-object tcp-udp destination range 49152 53246  
service-object tcp-udp destination eq 5005  
service-object tcp-udp destination eq sip  
access-list outside_access_in extended permit object-group DM_INLINE_SERVICE_0 any object Avaya  

Я пробовал делать переадресацию tcp-udp на 192.168.X.X, но безрезультатно, похоже, что для sip нет разрешения... к тому же, когда я перенаправляю этот порт и проверяю, открыт ли он, в ответ не получает подтверждения открытия. Когда я сделал переадресацию порта на свой сервер, он показывал, что порт открыт.  

Есть идеи? Можно ли это легко сделать через GUI? Если нет, как выполнить через SSH?
 
 
 
#2
08.11.2016 16:09:00
Итак, подтвердилось — это была проблема с 1:1 NAT. При том, что все порты были проброшены, а множественные IP-адреса настроены через CLI, мне также пришлось сделать 1:1 NAT для системы Avaya:

set service nat rule 1050 type destination  
set service nat rule 1050 inbound-interface eth2  
set service nat rule 1050 destination address x.x.x.137  
set service nat rule 1050 inside-address address 172.16.1.38  

set service nat rule 5050 type source  
set service nat rule 5050 outbound-interface eth2  
set service nat rule 5050 source address 172.16.1.38  
set service nat rule 5050 outside-address address x.x.x.137  

set firewall name WAN_IN rule 3050 action accept  
set firewall name WAN_IN rule 3050 destination address 172.16.1.38  

Взял этот пример из другого поста, надеюсь, теперь всё готово.
 
 
 
#3
08.11.2016 15:38:00
@jsrobinson, так и есть, мне нужно сделать 1-1 NAT через GUI или CLI, можешь подсказать, как это сделать? Думаю, теперь это проблема с моим удалённым IP-телефоном. Все порты я пробросил, но когда изначально настраивали телефоны, это делалось на CISCO ASA firewall, и там должен был быть 1-1 NAT, потому что у системы Avaya был свой внешний IP-адрес, к которому IP-телефоны пытаются подключиться: X.X.X.253. Сейчас у меня этот IP доступен на USG-PRO-4 через команды CLI и файл custom.gateway.json; однако система Avaya видит внешний IP как X.X.X.249, как и все остальные устройства. Раньше думал, что проблема в фаерволе, но теперь уже не уверен...
 
 
 
#4
04.11.2016 20:04:00
Оглядываясь на вашу конфигурацию, у вас несколько WAN IP-адресов, и вы пытаетесь сделать 1 к 1 NAT? Не уверен, что это можно настроить через графический интерфейс.
 
 
 
#5
04.11.2016 19:54:00
Нет, исходящий IP-адрес будет IP-адресом провайдера SIP-транка. Также нужно настроить публичный IP-адрес в системе Avaya в разделе настроек LAN, в поле STUN. Кроме того, можно указать STUN-сервер и использовать STUN.
 
 
 
#6
04.11.2016 19:49:00
Ты настроил это так, что используешь несколько IP-адресов? Единственное, что приходит в голову — я не настроил переадресацию порта 3478 на Avaya, у меня он шел на Unifi Cloud Key. Но даже так это не работает.
 
 
 
#7
04.11.2016 19:37:00
Должен ли исходящий IP-адрес быть внешним WAN-адресом 10.X.X.253, который используется Avaya?
 
 
 
#8
04.11.2016 19:23:00
Итак, назначение SIP на маршрутизаторе Cisco будет перенаправлено на порт 5060 на USG. Я настраивал это на нескольких системах с Avaya IPO за ним, и USG работает без проблем. В интерфейсе Unifi контроллера нужно выбрать USG-Pro, затем перейти в настройки и настроить переадресацию портов. Это должно выглядеть примерно как на приложенном изображении, но, скорее всего, в поле "From" вам нужно указать исходный IP. Дайте знать, если это поможет. Я не совсем уверен, в чем именно у вас проблема.
 
 
 
#9
04.11.2016 18:23:00
Я не могу получить внешний IP .253 для входящего трафика. Мне пришлось добавить этот IP-адрес на eth2 через CLI, и теперь я могу его пропинговать. Похоже, моя проблема в том, что я не принимаю SIP-трафик? Есть ли команда в CLI, чтобы разрешить SIP-трафик?

IPv4 Firewall "WAN_IN": активно на (eth2, IN) (eth3, IN)  
rule action proto packets bytes  
---- ------ ----- ------- -----  
2000 accept all 0 0  
condition - match-SRC-ADDR-GROUP Avaya_Outside match-set Avaya_Inside dst  
3001 accept all 3 088 125 615 056 557  
condition - state RELATED,ESTABLISHED  
3002 drop all 0 0  
condition - state INVALID  
3003 accept tcp 25 1 264  
condition - daddr 192.X.X.4 tcp dpt:1723 LOG enabled  
3004 accept tcp_udp 267 66 934  
condition - daddr 192.X.X.50 dports 1719:1720,5005,49152:53246 LOG enabled  
3005 accept tcp_udp 37 955 2 278 117  
condition - daddr 192.X.X.60 dports 3478,http-alt,tproxy,8443,8843,8880 LOG enabled  
10000 drop all 13 896
 
 
 
Страницы: 1
Читают тему (гостей: 1)