Sip direct media mikrotik что это
Manual:IP/Services
Applies to RouterOS: v3, v4
Contents
Summary
Sub-menu: /ip service
This document lists protocols and ports used by various MikroTik RouterOS services. It helps you to determine why your MikroTik router listens to certain ports, and what you need to block/allow in case you want to prevent or grant access to the certain services. Please see the relevant sections of the Manual for more explanations.
The default services are:
| Property | Description |
|---|---|
| telnet | Telnet service |
| ftp | FTP service |
| www | Webfig http service |
| ssh | SSH service |
| www-ssl | Webfig https service |
| api | API service |
| winbox | Responsible for Winbox tool access, as well as Tik-App smartphone app and Dude probe |
| api-ssl | API over SSL service |
Properties
Note that it is not possible to add new services, only existing service modifications are allowed.
| Property | Description |
|---|---|
| address (IP address/netmask | IPv6/0..128; Default: ) | List of IP/IPv6 prefixes from which the service is accessible. |
| certificate (name; Default: none) | The name of the certificate used by particular service. Applicable only for services that depends on certificates (www-ssl, api-ssl) |
| name (name; Default: none) | Service name |
| port (integer: 1..65535; Default: ) | The port particular service listens on |
Example
For example allow telnet only from specific IPv6 address range
Service Ports
Sub-menu: /ip firewall service-port
Hosts behind a NAT-enabled router do not have true end-to-end connectivity. Therefore some Internet protocols might not work in scenarios with NAT.
To overcome these limitations RouterOS includes a number of NAT helpers, that enable NAT traversal for various protocols.
Note: If connection tracking is not enabled then firewall service ports will be shown as inactive
Protocols and ports
Table below shows the list of protocols and ports used by RouterOS.
Sip direct media mikrotik что это
Часто пользователи IP телефонии сталкиваются с проблемой односторонней слышимости. Проблема в том, что в SIP протоколе, в части где описываются возможности голосового соединения (кодеки, IP адреса и порты обмена) – в протоколе SDP (Session Description Protocol), имеется запись о IP адресе на котором клиент ожидает соединения, и этот IP адрес, естественно является «серым», то есть из сети, которая находится за NAT-ом. А прямое соединение на этот немаршрутизируемый IP естественно невозможно. Однако, все современные IP шлюзы, понимают, что такая ситуация может возникнуть и разруливают её соответствующим образом – то есть они не обращают внимание на этот адрес, а пакеты шлют на тот адрес с которого приходят к нему пакеты, то есть на наш реальный IP, находящийся на выходе из NAT.
SIP телефоны (софтфоны) вполне корректно работают из под NAT, и порты никакие пробрасывать не надо.
В процессе изучения Mikrotik и анализа проходящего VoIP трафика, выяснилось, что роутер по умолчанию лезет в SIP/SDP протокол и подменяет установленный там IP на свой внешний (так называемый SIP ALG). Таким образом, со стороны это выглядит так, как будто и нет никакого NAT-а. И всё в порядке, и всё в общем то работает. Однако если у вас проблема с односторонней слышимостью, то вам необходимо отключить SIP ALG на роутере. Делается это следующей командой в консоли RouterOS
/ip firewall service-port disable sip
Еще одна часто возникающая проблема с роутерами Mikrotik – это зависшие UDP соединения. По наблюдениям это происходит в результате цепочки событий
1. Происходит отключение Интернет соединения
2. Устройство, находящееся за NAT, отправляет запрос в сторону SIP сервера
3. Создается ошибочная запись в таблице conntrack
4. Интернет соединение восстанавливается
5. Таблица NAT netfilter не может получить корректную информацию для новых запросов
TCPDUMP в данной ситуации показывает, что UAC отправляет в сторону сервера REGISTER, сервер отвечает запросом авторизации (SIP/2.0 401 Unauthorized), а в ответ ничего не приходит. Лечится это либо перезагрузкой роутера или удалением UDP соединений из консоли Mikrotik
/ip firewall connection remove [find where protocol=udp and dst-address
/ip firewall connection remove [find where connection-type=sip and assured=no]
Если нет возможности перезагрузить роутер или удалить UDP сессии, то можно попробовать выключить SIP устройство на 15-20 минут и потом включить снова.
Если проблема не постоянная, а то появляется, то исчезает, то возможно поможет отключение технологии fastpath (необходимо перезагрузить роутер после выполнения этих команд)
/ip settings set allow-fast-path=no
/ip firewall filter disable [/ip firewall filter find where action=fasttrack-connection]
В новых версиях RouterOS появился параметр sip-timeout, который теоретически может помочь в решении данной проблемы. Попробуйте выполнить следующую команду
/ip firewall service-port set sip disabled=no ports=5060,5061 sip-direct-media=yes sip-timeout=5m
среда, 6 июня 2018 г.
MikroTik SIP Helper и зависшие регистрации
Как это обычно бывает, ты тратишь время на поиск истины в RFC, зарывшись в дампах трафика и исходников протокола, а кто-то за тебя это уже сделал. Ну что же, будет мне уроком. Все тоже самое, что тут, но на видео и с дополнительными картинками – https://www.youtube.com/watch?v=Anu6ZYg25yM
————————————————————————————————————————–
Пришло время расставить точки над И, и пояснить почему sip helper – это хорошо, и надо знать, когда его нужно отключать, а когда нет. А так же разобрать причины, по которым на MikroTik зависают сессии регистрации, в некоторых случаях падения канала связи.
Прежде всего давайте разберем основы SIP протокола и установки связи на примере Asterisk.
SIP – это транспортный протокол для SDP, и вот уже SDP определяет куда надо отвечать второму абоненту.
Давайте посмотрим на схему ниже:
На Asterisk NAT выключен, SIP Helper на микротике выключен. На микротике включен SRC-NAT masquerade, и DST-NAT TCP 5060, UDP 10000-20000 в сторону телефона.
SIP телефон успешно зарегистрировался на сервере, микротик создал трансляции ната, и держит соединения в connection tracking.
С номера 100 (192.168.1.100) совершают звонок на номер 200.
В SIP пакете, в поле Via будет стоять адрес 192.168.1.100 и порт 5060, а вот в IP – UDP/TCP заголовках благодаря SRC-NAT у нас будет стоять внешний IP адрес – 1.1.1.1, и порт к примеру 5066
Согласно спецификации SIP протокола, он должен послать ответ на адрес и порт, указанные в поле Via. Получается, что телефон с номером 200 пошлет ответ на 192.168.1.100 5060, и естественно звонок не состоится.
Варианты решения данной проблемы:
1. Включаем на телефоне с номером 100 rport (RFC 3581), теперь в поле Via будет стоять метка rport, это сообщает серверу, что следует отвечать на порт из UDP/TCP заголовков, а не на значение порта поля Via. Если на телефоне включить rport нельзя, то следует на сервере Asterisk установить значение nat=force_rport. Хорошо с портом разобрались, а как быть с адресом, он ведь по прежнему будет его брать из поля Via. Для этого на Asterisk включается nat=comedia, или nat=force_rport,comedia (если на телефоне rport включить нельзя) таким образом сервер будет брать адрес из заголовков UDP/TCP. Ну и разумеется нам надо настроить DST-NAT на микротике на порты 5060 для SIP и 10000-20000 для голоса.
2. Включаем SIP Helper на микротике. Теперь когда телефон с номером 100 решит позвонить на 200, sip helper изменит ip и порт в поле Via на значения из IP – UDP/TCP заголовков. Так же он изменит значения полей SDP протокола, а именно owner, connection information на значения из IP – UDP/TCP заголовков. И по необходимости порт для принятия медиа потока, если таковой занят в таблице nat трансляций. И все! Не надо DST-NAT, не надо трогать настройки nat в Asterisk.
Важный момент: SIP Helper работает только с SIP на порту 5060, он разумеется не сможет работать с SIP TLS, так как шифруется на оконечных устройствах. И он НИКАК не влияет на RTP!
SIP Helper + SIP Direct Media
Данная настройка позволит гонять напрямую медиа поток в следующей схеме:
При такой схеме и работающем SIP Helper мы получаем картину, при которой наш микротик получит пакеты, где адрес назначения будет одинаковый. Если включен SIP Direct Media – то он даст возможность телефонам напрямую общаться. Если выключен, то подобные пакеты будут просто дропаться.
Рассмотрим теперь проблему зависающих сессий.
Рассмотрим схему ниже:
Теперь у нас есть туннель между нашими роутерами. Классическая схема основной офис – филиал.
Телефон 200 регистрируется на сервере 192.168.1.10
Никакого NAT, SIP-HELPER.
И тут падает интернет канал.. Первым делом естественно падает туннель. И если оно проваляется минут 5, то TCP сессия оборвется по таймауту. Телефон начнет слать пакеты на регистрацию, и они улетают по маршруту по умолчанию, который смотрит в с интерфейс провайдера. Создается запись в connection-tracking. И как только туннель поднимается обратно у вас ничего не работает, потому что соединение уже есть. Да нерабочее, но есть.
И тут несколько вариантов решения:
1. (Плохой вариант) Чистим все соединения с портом 5060 при падении туннеля.
2. (Хороший вариант) Делаем blackhole маршрут до 192.168.1.0/24 с метрикой больше, чем у оригинального маршрута до 192.168.1.0/24. Таким образом, если туннель упадет, blackhole маршрут станет приоритетным для данной подсети, соединение не поднимется, так как роутер будет дропать пакеты по этому маршруту до того, как для них создастся запись NAT трансляции в connection tracking!
Настройка Mikrotik для SIP телефонии
Последние несколько лет ip –телефония стала очень популярна, благодаря ряду своих преимуществ. Для ее бесперебойной работы некоторое оборудование, поэтому в центре внимания mikrotik ip телефония настройка.
Microtik: достоинства и недостатки
Что же такое Microtik? Говоря общими словами, это сетевое оборудование, включающее в себя маршрутизаторы (проводные и беспроводные), и соответствующее им оборудование и операционные системы. Для удобства понимания, условно можно разделить ОС RouterOS и «железо» Router Board.
В чем же достоинства microtik?
При таком привлекательном наборе преимуществ есть ли минусы?
Для бесперебойной работы роутера этой марки в реально большой компании, для правильной и постоянной работы нужно либо несколько мощных серверов, либо приглядеться к его конкурентам.
Если есть желание настроить Microtik, нужно обладать определенными знаниями в области сетей.
Сотрудники занимающиеся установкой сетевого оборудования, отмечают, что не всегда выгодно: работа настолько налажена, что повторных вызовов они не получают.
При требовании шифрования по ГОСТу могут возникнуть проблемы.
Подводя итог его оценки, можно сказать, что microtil – отличное бюджетное решение для роутера. В компании средней величины.
Как связаны ip телефония и microtik
При работе с ip телефонией ее пользователи иногда сталкиваются с нарушениеми корректной работы связи. Причиной может быть небрежная настройка mikrotik для sip телефонии.
Одной из самых распространенных проблем является частичная потеря связи с абонентом. То есть абонент говорит и слышит собеседника, а вот последний его просто не слышит. Такие проблемы возникали раньше из-за протокола SDP, но все современные шлюзы работают корректно, устраивая обмен пакетами именно между абонентами связи. SiP телефоны работают с NAT безошибочно, но при использовании microtik в качестве маршрутизатора (роутера) приводит к этой проблеме.
Как выяснилось при изучении оборудования этой марки, дело в «излишней» деятельности роутера: при передаче данных через трафик VOip он подменяет адрес получателя на свой внешний, делая двустороннее соединение невозможным. Создается впечатление, что NAT не принимает участие в передаче данных. Но эту проблему решить, к счастью, довольно просто: Нужно отключить его SIP ALG — внешний IP роутера, с помощью команды:
/ip firewall service-port disable sip
Следующая распространенная проблема, нередко встречающаяся при работе с роутерами Microtik – зависающие UDP соединения. Такое нарушение состоит из нескольких этапов, но начинается все с отключения интернета. Это создает фальшивую запись в таблице NAT. При возобновлении подключения к сети Интернет, таблица не может быть использована – в ней нет нужной информации, необходимой для новых запросов.
Для решения этой проблемы либо нужно перезагрузить роутер и удалить все сессии UDP, либо выключить его на 10-20 минут, затем включить.
Удалить из консоли UDP соединения можно такой командой:
/ip firewall connection remove [find where protocol=udp and dst-address
/ip firewall connection remove [find where connection-type=sip and assured=no]
В самых новейших версиях OC Microtik ввели параметр sip-timeout, способный разрешить эту проблему. Для этого нужно попробовать ввести такую команду:
/ip firewall service-port set sip disabled=no ports=5060,5061 sip-direct-media=yes sip-timeout=5m.
Подводя итог, можно сказать, что если для работы нужна ip телефония, mycrotic обеспечить ее надежную работу. Ошибки иногда могут возникать, но их решения достаточно простые, а высокую функциональность и удобство настройки таких роутеров гораздо важнее.
Настройка Mikrotik RouterOS (SIP через NAT)
SIP телефоны (софтфоны) вполне корректно работают из под NAT, и порты никакие пробрасывать не надо.
В процессе изучения Mikrotik и анализа проходящего VoIP трафика, выяснилось, что роутер по умолчанию лезет в SIP/SDP протокол и подменяет установленный там IP на свой внешний (так называемый SIP ALG). Таким образом, со стороны это выглядит так, как будто и нет никакого NAT-а. И всё в порядке, и всё в общем то работает. Однако если у вас проблема с односторонней слышимостью, то вам необходимо отключить SIP ALG на роутере. Делается это следующей командой в консоли RouterOS
/ip firewall service-port disable sip
1. Происходит отключение Интернет соединения
2. Устройство, находящееся за NAT, отправляет запрос в сторону SIP сервера
3. Создается ошибочная запись в таблице conntrack
4. Интернет соединение восстанавливается
5. Таблица NAT netfilter не может получить корректную информацию для новых запросов
TCPDUMP в данной ситуации показывает, что UAC отправляет в сторону сервера REGISTER, сервер отвечает запросом авторизации (SIP/2.0 401 Unauthorized), а в ответ ничего не приходит. Лечится это либо перезагрузкой роутера или удалением UDP соединений из консоли Mikrotik
/ip firewall connection remove [find where protocol=udp and dst-address
/ip firewall connection remove [find where connection-type=sip and assured=no]
Если нет возможности перезагрузить роутер или удалить UDP сессии, то можно попробовать выключить SIP устройство на 15-20 минут и потом включить снова.
Если проблема не постоянная, а то появляется, то исчезает, то возможно поможет отключение технологии fastpath (необходимо перезагрузить роутер после выполнения этих команд)
/ip settings set allow-fast-path=no
/ip firewall filter disable [/ip firewall filter find where action=fasttrack-connection]
В новых версиях RouterOS появился параметр sip-timeout, который теоретически может помочь в решении данной проблемы. Попробуйте выполнить следующую команду
/ip firewall service-port set sip disabled=no ports=5060,5061 sip-direct-media=yes sip-timeout=5m
Путь к дзен
среда, 6 июня 2018 г.
MikroTik SIP Helper и зависшие регистрации
Давайте посмотрим на схему ниже:
На Asterisk NAT выключен, SIP Helper на микротике выключен. На микротике включен SRC-NAT masquerade, и DST-NAT TCP 5060, UDP 10000-20000 в сторону телефона.
SIP телефон успешно зарегистрировался на сервере, микротик создал трансляции ната, и держит соединения в connection tracking.
С номера 100 (192.168.1.100) совершают звонок на номер 200.
Варианты решения данной проблемы:
1. Включаем на телефоне с номером 100 rport (RFC 3581), теперь в поле Via будет стоять метка rport, это сообщает серверу, что следует отвечать на порт из UDP/TCP заголовков, а не на значение порта поля Via. Если на телефоне включить rport нельзя, то следует на сервере Asterisk установить значение nat=force_rport. Хорошо с портом разобрались, а как быть с адресом, он ведь по прежнему будет его брать из поля Via. Для этого на Asterisk включается nat=comedia, или nat=force_rport,comedia (если на телефоне rport включить нельзя) таким образом сервер будет брать адрес из заголовков UDP/TCP. Ну и разумеется нам надо настроить DST-NAT на микротике на порты 5060 для SIP и 10000-20000 для голоса.
Важный момент: SIP Helper работает только с SIP на порту 5060, он разумеется не сможет работать с SIP TLS, так как шифруется на оконечных устройствах. И он НИКАК не влияет на RTP!
SIP Helper + SIP Direct Media
Данная настройка позволит гонять напрямую медиа поток в следующей схеме:
Рассмотрим теперь проблему зависающих сессий.
Рассмотрим схему ниже:
И тут несколько вариантов решения:
1. (Плохой вариант) Чистим все соединения с портом 5060 при падении туннеля.
2. (Хороший вариант) Делаем blackhole маршрут до 192.168.1.0/24 с метрикой больше, чем у оригинального маршрута до 192.168.1.0/24. Таким образом, если туннель упадет, blackhole маршрут станет приоритетным для данной подсети, соединение не поднимется, так как роутер будет дропать пакеты по этому маршруту до того, как для них создастся запись NAT трансляции в connection tracking!
Mikrotik настройка sip телефонии
Настройка sip на mikrotik. Пример на манго телеком
Для корректной работы телефонии необходимо открыть доступ на фаерволе/роутере/брандмауэре и т.д., осуществив следующие действия: разрешить входящие соединения и исходящий трафик для прохождения голоса по протоколу UDP и TCP для подсети:
81.88.86.0/24, порты с 1024 по 65535.
на всякий случай отключаем ip—firewall—service port — sip ставим disable
Открываем порты для sip:
В ip—firewall—filter rules создаем правило
chain=forward action=accept protocol=udp src-address=192.168.88.18 dst-address=81.88.86.0/24 in-interface=br
где для ip-телефона с ip 192.168.88.18 разрешаем открывать порты (1024-65535) для серверов манго-телеком 81.88.86.0/24
Часто пользователи IP телефонии сталкиваются с проблемой односторонней слышимости. Проблема в том, что в SIP протоколе, в части где описываются возможности голосового соединения (кодеки, IP адреса и порты обмена) — в протоколе SDP (Session Description Protocol), имеется запись о IP адресе на котором клиент ожидает соединения, и этот IP адрес, естественно является «серым», то есть из сети, которая находится за NAT-ом. А прямое соединение на этот немаршрутизируемый IP естественно невозможно. Однако, все современные IP шлюзы, понимают, что такая ситуация может возникнуть и разруливают её соответствующим образом — то есть они не обращают внимание на этот адрес, а пакеты шлют на тот адрес с которого приходят к нему пакеты, то есть на наш реальный IP, находящийся на выходе из NAT.
SIP телефоны (софтфоны) вполне корректно работают из под NAT, и порты никакие пробрасывать не надо.
В процессе изучения Mikrotik и анализа проходящего VoIP трафика, выяснилось, что роутер по умолчанию лезет в SIP/SDP протокол и подменяет установленный там IP на свой внешний (так называемый SIP ALG). Таким образом, со стороны это выглядит так, как будто и нет никакого NAT-а. И всё в порядке, и всё в общем то работает. Однако если у вас проблема с односторонней слышимостью, то вам необходимо отключить SIP ALG на роутере. Делается это следующей командой в консоли RouterOS
/ip firewall service-port disable sip
Еще одна часто возникающая проблема с роутерами Mikrotik — это зависшие UDP соединения. По наблюдениям это происходит в результате цепочки событий
1. Происходит отключение Интернет соединения
2. Устройство, находящееся за NAT, отправляет запрос в сторону SIP сервера
3. Создается ошибочная запись в таблице conntrack
4. Интернет соединение восстанавливается
5. Таблица NAT netfilter не может получить корректную информацию для новых запросов
TCPDUMP в данной ситуации показывает, что UAC отправляет в сторону сервера REGISTER, сервер отвечает запросом авторизации (SIP/2.0 401 Unauthorized), а в ответ ничего не приходит. Лечится это либо перезагрузкой роутера или удалением UDP соединений из консоли Mikrotik
/ip firewall connection remove [find where protocol=udp and dst-address
/ip firewall connection remove [find where connection-type=sip and assured=no]
Если нет возможности перезагрузить роутер или удалить UDP сессии, то можно попробовать выключить SIP устройство на 15-20 минут и потом включить снова.
Если проблема не постоянная, а то появляется, то исчезает, то возможно поможет отключение технологии fastpath (необходимо перезагрузить роутер после выполнения этих команд)
/ip settings set allow-fast-path=no
/ip firewall filter disable [/ip firewall filter find where action=fasttrack-connection]
В новых версиях RouterOS появился параметр sip-timeout, который теоретически может помочь в решении данной проблемы. Попробуйте выполнить следующую команду
/ip firewall service-port set sip disabled=no ports=5060,5061 sip-direct-media=yes sip-timeout=5m
Настройка Mikrotik для SIP телефонии
Последние несколько лет ip –телефония стала очень популярна, благодаря ряду своих преимуществ. Для ее бесперебойной работы некоторое оборудование, поэтому в центре внимания mikrotik ip телефония настройка.
Microtik: достоинства и недостатки
Что же такое Microtik? Говоря общими словами, это сетевое оборудование, включающее в себя маршрутизаторы (проводные и беспроводные), и соответствующее им оборудование и операционные системы. Для удобства понимания, условно можно разделить ОС RouterOS и «железо» Router Board.
В чем же достоинства microtik?
При таком привлекательном наборе преимуществ есть ли минусы?
Для бесперебойной работы роутера этой марки в реально большой компании, для правильной и постоянной работы нужно либо несколько мощных серверов, либо приглядеться к его конкурентам.
Если есть желание настроить Microtik, нужно обладать определенными знаниями в области сетей.
Сотрудники занимающиеся установкой сетевого оборудования, отмечают, что не всегда выгодно: работа настолько налажена, что повторных вызовов они не получают.
При требовании шифрования по ГОСТу могут возникнуть проблемы.
Подводя итог его оценки, можно сказать, что microtil – отличное бюджетное решение для роутера. В компании средней величины.
Как связаны ip телефония и microtik
При работе с ip телефонией ее пользователи иногда сталкиваются с нарушениеми корректной работы связи. Причиной может быть небрежная настройка mikrotik для sip телефонии.
Одной из самых распространенных проблем является частичная потеря связи с абонентом. То есть абонент говорит и слышит собеседника, а вот последний его просто не слышит. Такие проблемы возникали раньше из-за протокола SDP, но все современные шлюзы работают корректно, устраивая обмен пакетами именно между абонентами связи. SiP телефоны работают с NAT безошибочно, но при использовании microtik в качестве маршрутизатора (роутера) приводит к этой проблеме.
Как выяснилось при изучении оборудования этой марки, дело в «излишней» деятельности роутера: при передаче данных через трафик VOip он подменяет адрес получателя на свой внешний, делая двустороннее соединение невозможным. Создается впечатление, что NAT не принимает участие в передаче данных. Но эту проблему решить, к счастью, довольно просто: Нужно отключить его SIP ALG — внешний IP роутера, с помощью команды:
/ip firewall service-port disable sip
Следующая распространенная проблема, нередко встречающаяся при работе с роутерами Microtik – зависающие UDP соединения. Такое нарушение состоит из нескольких этапов, но начинается все с отключения интернета. Это создает фальшивую запись в таблице NAT. При возобновлении подключения к сети Интернет, таблица не может быть использована – в ней нет нужной информации, необходимой для новых запросов.
Для решения этой проблемы либо нужно перезагрузить роутер и удалить все сессии UDP, либо выключить его на 10-20 минут, затем включить.
Удалить из консоли UDP соединения можно такой командой:
/ip firewall connection remove [find where protocol=udp and dst-address
/ip firewall connection remove [find where connection-type=sip and assured=no]
В самых новейших версиях OC Microtik ввели параметр sip-timeout, способный разрешить эту проблему. Для этого нужно попробовать ввести такую команду:
/ip firewall service-port set sip disabled=no ports=5060,5061 sip-direct-media=yes sip-timeout=5m.
Подводя итог, можно сказать, что если для работы нужна ip телефония, mycrotic обеспечить ее надежную работу. Ошибки иногда могут возникать, но их решения достаточно простые, а высокую функциональность и удобство настройки таких роутеров гораздо важнее.