Fibra

❓

Mikrotik con configuración VoIP de Movistar no alcanza servidor SIP

jjo 26 mayo 2023 11:12 ✎

⋮

Tengo problemas para configurar la interfaz VoIP en un router Mikrotik:

RouterOS 7.9.1
model = RB5009UPr+S+

La configuración relevante es la siguiente:

/interface vlan
add comment=VOIP interface=ether1 name=ether1-voip vlan-id=3
/ip dhcp-client
add add-default-route=no interface=ether1-voip use-peer-dns=no use-peer-ntp=no
/routing rip instance
add afi=ipv4 disabled=no name=rip redistribute=connected,static,rip,ospf,bgp,vpn,dhcp,fantasy,modem,bgp-mpls-vpn
/routing rip interface-template
add disabled=no instance=rip interfaces=ether1-voip mode=passive
/ip firewall filter
add action=accept chain=input comment="VoIP: Accept RIP multicast traffic VOIP" dst-address=224.0.0.9 dst-port=520 in-interface=ether1-voip protocol=udp

Parece que se está configurando todo bien, pero no consigo alcanzar la IP del servidor SIP:

[router] > /routing/rip/neighbor/print
Flags: D - dynamic
 0 D instance=rip address=10.29.128.1%ether1-voip routes=1 packets-total=104 last-update=30s
 
[router] > /ping 10.31.255.134
  SEQ HOST                                     SIZE TTL TIME       STATUS
    0 10.31.255.134                                                timeout
    1 10.31.255.134                                                timeout
    2 10.31.255.134                                                timeout
    sent=3 received=0 packet-loss=100%
 
[router] > /tool/traceroute  10.31.255.134
Columns: ADDRESS, LOSS, SENT, LAST, AVG, BEST, WORST, STD-DEV
#  ADDRESS        LOSS  SENT  LAST     AVG  BEST  WORST  STD-DEV
1  10.29.128.1    0%       1  2.1ms    2.1  2.1   2.1          0
2  10.31.184.225  0%       1  4.7ms    4.7  4.7   4.7          0
3                 100%     1  timeout
4                 100%     1  timeout
5                 100%     1  timeout
6                 0%       1  0ms

El traceroute me indica que llego a la red 10.31.x.x, con lo que me parece raro que no llegue a la IP destino.

¿Alguna sugerencia?

¿Alguien al que le funcione puede publicar que ve en /routing/rip/neighbor/?

/routing/rip/neighbor/print

x4b1 26 mayo 2023 14:12 ✎

⋮

Hola @jjo!

Yo tengo el mismo router que tu desde hace unos días y me funciona correctamente:

Te paso lo que veo con el Print

[admin@Mikrotik] > /routing/rip/neighbor/print
Flags: D - dynamic
0 D instance=rip address=10.27.192.1%vlan3-telefono routes=1 packets-total=5591 last-update=15s
[admin@Mikrotik] >

Por si te sirve de ayuda intento mandarte la configuración por privado de donde yo la pille.

Un saludo,

skgsergio 26 mayo 2023 17:09

⋮

No tengo Mikrotik pero creo que tienes todo bien, al menos obtienes los mismos resultados que yo que lo tengo funcional:

root@OpenWrt:~# ping -c4 10.31.255.134
PING 10.31.255.134 (10.31.255.134): 56 data bytes

--- 10.31.255.134 ping statistics ---
4 packets transmitted, 0 packets received, 100% packet loss

root@OpenWrt:~# traceroute 10.31.255.134
traceroute to 10.31.255.134 (10.31.255.134), 30 hops max, 46 byte packets
 1  192.168.0.1 (192.168.0.1)  0.729 ms  0.657 ms  0.561 ms
 2  10.23.64.1 (10.23.64.1)  3.922 ms  4.008 ms  4.096 ms
 3  10.31.126.225 (10.31.126.225)  3.981 ms  3.893 ms  3.789 ms
 4  *  *  *
 5  *  *  *
 6  *  *  *
 7^C

Que no llegues por ping o traceroute no significa que no llegues, tienen el ICMP filtrado:

root@OpenWrt:~# nmap 10.31.255.134 -p5070 -sU -sV -Pn
Host discovery disabled (-Pn). All addresses will be marked 'up' and scan times will be slower.
Starting Nmap 7.91 ( https://nmap.org ) at 2023-05-26 17:11 CEST
Nmap scan report for 10.31.255.134
Host is up.

PORT     STATE SERVICE VERSION
5070/udp open  sip     (SIP end point; Status: 403 Forbidden)

Service detection performed. Please report any incorrect results at https://nmap.org/submit/ .
Nmap done: 1 IP address (1 host up) scanned in 40.61 seconds

✖

jjo 26 mayo 2023 22:07

⋮

Revisaré a ver, eso de blockear icmp es nuevo, no? me suena que el ping si que lo devolvía.

Nmap scan report for 10.31.255.134
Host is up.
 
PORT     STATE         SERVICE VERSION
5070/udp open|filtered vtsas

Luego me mosquea que mando test udp, y acepta todo:

❯ nc -z -v -u 10.31.255.134 5070
Connection to 10.31.255.134 port 5070 [udp/vtsas] succeeded!
❯ nc -z -v -u 10.31.255.134 5060
Connection to 10.31.255.134 port 5060 [udp/sip] succeeded!
❯ nc -z -v -u 10.31.255.134 1234
Connection to 10.31.255.134 port 1234 [udp/search-agent] succeeded!

✖

skgsergio 26 mayo 2023 23:04

⋮

Haz el nmap con los flags que puse, ya que con el -sV conecta y hace peticiones para tratar de determinar la versión del servicio y por eso me sale el (SIP end point; Status: 403 Forbidden) demostrando que conecta correctamente.

No me suena que nuca me respondiese a ping la verdad.

filamento 26 mayo 2023 17:27 ✎

⋮

Te faltan estas tres líneas:

/IP firewall filter add action=accept chain=input in-interface=ether1-VoIP
/IP firewall NAT add action=masquerade chain=srcnat out-interface=ether1-VoIP
/IP firewall mangle add action=set-priority chain=postrouting new-priority=4 out-interface=ether1-VoIP

Una vez que las pongas, mueve con el ratón la regla del firewall (la primera de las tres líneas) para ponerla muy arriba del todo (en primer o segundo lugar)

✖

jjo 26 mayo 2023 22:03

⋮

no lo puse pera ya tenia el masquerade, mangle y de fw he probado de todo, de hecho ahora mismo lo tengo para que acepte todo de ese interface. Aún así sigue sin funcionar.

✖

filamento 27 mayo 2023 11:11

⋮

Recuerda que la línea del masquerade la tienes que poner varias veces (una vez para la interfaz PPPoE, y otra vez para la interfaz ether1-VoIP)

Y sobre esta línea que tienes:

/routing rip instance add afi=IPv4 disabled=no name=rip redistribute=connected,static,rip,ospf,bgp,VPN,DHCP,fantasy,modem,bgp-mpls-VPN

¿Por qué añades lo de "redistribute" ? Yo eso no lo tengo puesto en ninguno de los Mikrotik que monto, ¿en qué influye?

✖

jjo 27 mayo 2023 11:21

⋮

Bueno, realmente el masquerade lo tengo todo en una línea, ya que uso la lista de WAN donde meto PPPoE & VoIP.

Lo del Redistribute son pruebas, he probado con y sin eso.

Cuando pueda miro a ver si asterisk se conecta con el servidor SIP, a pesar de que los pings no lleguen , y que netcat de cómo bueno cualquier puerto UDP.

✖

filamento 27 mayo 2023 11:36

⋮

✖

jjo 27 mayo 2023 15:54

⋮

✖

jjo 27 mayo 2023 15:56

⋮

✖

filamento 27 mayo 2023 17:32

⋮

jjo 27 mayo 2023 12:17

⋮

Resulta que es todo tema de Firewall, supongo que es porque tengo una configuración del router muy pensada para seguridad y tema de zero-trust.

Dejo la config temporal que me funciona, permitiendo casi todo del interface de VoIP, iré definiendo las reglas para hacerlas lo más restrictivas que pueda.

/interface vlan
add comment=VOIP interface=ether1 name=ether1-voip vlan-id=3
/interface list
add name=WAN
/interface list member
add comment=VoIP interface=ether1-voip list=WAN
/ip firewall nat
add action=masquerade chain=srcnat comment="masquerade all WAN List" ipsec-policy=out,none out-interface-list=WAN
/ip dhcp-client
add add-default-route=no interface=ether1-voip use-peer-dns=no use-peer-ntp=no
/routing rip instance
add afi=ipv4 disabled=no name=rip
/routing rip interface-template
add disabled=no instance=rip interfaces=ether1-voip mode=passive
/ip firewall filter
add action=accept chain=input comment="VoIP: Accept RIP multicast traffic VLAN-VoIP" dst-address=224.0.0.9 dst-port=520 in-interface=ether1-voip protocol=udp
add action=accept chain=forward comment="VoIP: tmp allow all IN voip" in-interface=ether1-voip
add action=accept chain=input comment="VoIP: tmp allow all input" in-interface=ether1-voip
add action=accept chain=forward comment="VoIP: tmp allow all OUT voip" out-interface=ether1-voip
add action=accept chain=output out-interface=ether1-voip

Ahora el nmap ya me detecta el servicio SIP

❯ sudo nmap 10.31.255.134 -p5070 -sU -sV -Pn
Starting Nmap 7.93 ( https://nmap.org ) at 2023-05-27 12:03 CEST
Stats: 0:00:22 elapsed; 0 hosts completed (1 up), 1 undergoing Service Scan
Service scan Timing: About 0.00% done
Stats: 0:00:39 elapsed; 0 hosts completed (1 up), 1 undergoing Service Scan
Service scan Timing: About 100.00% done; ETC: 12:03 (0:00:00 remaining)
Nmap scan report for 10.31.255.134
Host is up.
 
PORT     STATE SERVICE VERSION
5070/udp open  sip     (SIP end point; Status: 403 Forbidden)
1 service unrecognized despite returning data. If you know the service/version, please submit the following fingerprint at https://nmap.org/cgi-bin/submit.cgi?new-service :
SF-Port5070-UDP:V=7.93%I=7%D=5/27%Time=6471D57B%P=arm-apple-darwin22.1.0%r
SF:(SIPOptions,DC,"SIP/2\.0\x20403\x20Forbidden\r\nVia:\x20SIP/2\.0/UDP\x2
SF:0nm;received=10\.29\.143\.152;branch=foo;rport=55715\r\nFrom:\x20<sip:n
SF:m@nm>;tag=root\r\nTo:\x20<sip:nm2@nm2>;tag=aprqngfrt-c8fdbh00000k2\r\nC
SF:all-ID:\x2050000\r\nCSeq:\x2042\x20OPTIONS\r\nContent-Length:\x200\r\n\
SF:r\n");
 
Service detection performed. Please report any incorrect results at https://nmap.org/submit/ .
Nmap done: 1 IP address (1 host up) scanned in 39.85 seconds

Gracias a todos por la ayuda.