BandaAncha.eu

  • 🔍 en 📰 artículos ⏎
  • 🔍 en 💬 foros ⏎
  • 🔍 en 👇 este 💬 foro ⏎
  • 🔍 en 👇 este 💬 tema ⏎
Regístrate Regístrate Identifícate Identifícate
Fibra

Mikrotik con configuración VoIP de Movistar no alcanza servidor SIP

jjo
1

Tengo problemas para configurar la interfaz VoIP en un router Mikrotik:

RouterOS 7.9.1
model = RB5009UPr+S+

La configuración relevante es la siguiente:

/interface vlan
add comment=VOIP interface=ether1 name=ether1-voip vlan-id=3
/ip dhcp-client
add add-default-route=no interface=ether1-voip use-peer-dns=no use-peer-ntp=no
/routing rip instance
add afi=ipv4 disabled=no name=rip redistribute=connected,static,rip,ospf,bgp,vpn,dhcp,fantasy,modem,bgp-mpls-vpn
/routing rip interface-template
add disabled=no instance=rip interfaces=ether1-voip mode=passive
/ip firewall filter
add action=accept chain=input comment="VoIP: Accept RIP multicast traffic VOIP" dst-address=224.0.0.9 dst-port=520 in-interface=ether1-voip protocol=udp

Parece que se está configurando todo bien, pero no consigo alcanzar la IP del servidor SIP:

[router] > /routing/rip/neighbor/print
Flags: D - dynamic
 0 D instance=rip address=10.29.128.1%ether1-voip routes=1 packets-total=104 last-update=30s
 
[router] > /ping 10.31.255.134
  SEQ HOST                                     SIZE TTL TIME       STATUS
    0 10.31.255.134                                                timeout
    1 10.31.255.134                                                timeout
    2 10.31.255.134                                                timeout
    sent=3 received=0 packet-loss=100%
 
[router] > /tool/traceroute  10.31.255.134
Columns: ADDRESS, LOSS, SENT, LAST, AVG, BEST, WORST, STD-DEV
#  ADDRESS        LOSS  SENT  LAST     AVG  BEST  WORST  STD-DEV
1  10.29.128.1    0%       1  2.1ms    2.1  2.1   2.1          0
2  10.31.184.225  0%       1  4.7ms    4.7  4.7   4.7          0
3                 100%     1  timeout
4                 100%     1  timeout
5                 100%     1  timeout
6                 0%       1  0ms

El traceroute me indica que llego a la red 10.31.x.x, con lo que me parece raro que no llegue a la IP destino.

¿Alguna sugerencia?

¿Alguien al que le funcione puede publicar que ve en /routing/rip/neighbor/?

/routing/rip/neighbor/print

x4b1

Hola @jjo!

Yo tengo el mismo router que tu desde hace unos días y me funciona correctamente:

Te paso lo que veo con el Print

[admin@Mikrotik] > /routing/rip/neighbor/print
Flags: D - dynamic
0 D instance=rip address=10.27.192.1%vlan3-telefono routes=1 packets-total=5591 last-update=15s
[admin@Mikrotik] >

Por si te sirve de ayuda intento mandarte la configuración por privado de donde yo la pille.

Un saludo,

skgsergio

No tengo Mikrotik pero creo que tienes todo bien, al menos obtienes los mismos resultados que yo que lo tengo funcional:

root@OpenWrt:~# ping -c4 10.31.255.134
PING 10.31.255.134 (10.31.255.134): 56 data bytes

--- 10.31.255.134 ping statistics ---
4 packets transmitted, 0 packets received, 100% packet loss

root@OpenWrt:~# traceroute 10.31.255.134
traceroute to 10.31.255.134 (10.31.255.134), 30 hops max, 46 byte packets
 1  192.168.0.1 (192.168.0.1)  0.729 ms  0.657 ms  0.561 ms
 2  10.23.64.1 (10.23.64.1)  3.922 ms  4.008 ms  4.096 ms
 3  10.31.126.225 (10.31.126.225)  3.981 ms  3.893 ms  3.789 ms
 4  *  *  *
 5  *  *  *
 6  *  *  *
 7^C

Que no llegues por ping o traceroute no significa que no llegues, tienen el ICMP filtrado:

root@OpenWrt:~# nmap 10.31.255.134 -p5070 -sU -sV -Pn
Host discovery disabled (-Pn). All addresses will be marked 'up' and scan times will be slower.
Starting Nmap 7.91 ( https://nmap.org ) at 2023-05-26 17:11 CEST
Nmap scan report for 10.31.255.134
Host is up.

PORT     STATE SERVICE VERSION
5070/udp open  sip     (SIP end point; Status: 403 Forbidden)

Service detection performed. Please report any incorrect results at https://nmap.org/submit/ .
Nmap done: 1 IP address (1 host up) scanned in 40.61 seconds
🗨️ 2
jjo

Revisaré a ver, eso de blockear icmp es nuevo, no? me suena que el ping si que lo devolvía.

Nmap scan report for 10.31.255.134
Host is up.
 
PORT     STATE         SERVICE VERSION
5070/udp open|filtered vtsas

Luego me mosquea que mando test udp, y acepta todo:

❯ nc -z -v -u 10.31.255.134 5070
Connection to 10.31.255.134 port 5070 [udp/vtsas] succeeded!
❯ nc -z -v -u 10.31.255.134 5060
Connection to 10.31.255.134 port 5060 [udp/sip] succeeded!
❯ nc -z -v -u 10.31.255.134 1234
Connection to 10.31.255.134 port 1234 [udp/search-agent] succeeded!
🗨️ 1
skgsergio

Haz el nmap con los flags que puse, ya que con el -sV conecta y hace peticiones para tratar de determinar la versión del servicio y por eso me sale el (SIP end point; Status: 403 Forbidden) demostrando que conecta correctamente.

No me suena que nuca me respondiese a ping la verdad.

filamento

Te faltan estas tres líneas:

/IP firewall filter add action=accept chain=input in-interface=ether1-VoIP
/IP firewall NAT add action=masquerade chain=srcnat out-interface=ether1-VoIP
/IP firewall mangle add action=set-priority chain=postrouting new-priority=4 out-interface=ether1-VoIP

Una vez que las pongas, mueve con el ratón la regla del firewall (la primera de las tres líneas) para ponerla muy arriba del todo (en primer o segundo lugar)

🗨️ 7
jjo

no lo puse pera ya tenia el masquerade, mangle y de fw he probado de todo, de hecho ahora mismo lo tengo para que acepte todo de ese interface. Aún así sigue sin funcionar.

🗨️ 6
filamento

Recuerda que la línea del masquerade la tienes que poner varias veces (una vez para la interfaz PPPoE, y otra vez para la interfaz ether1-VoIP)

Y sobre esta línea que tienes:

/routing rip instance add afi=IPv4 disabled=no name=rip redistribute=connected,static,rip,ospf,bgp,VPN,DHCP,fantasy,modem,bgp-mpls-VPN

¿Por qué añades lo de "redistribute" ? Yo eso no lo tengo puesto en ninguno de los Mikrotik que monto, ¿en qué influye?

🗨️ 5
jjo

Bueno, realmente el masquerade lo tengo todo en una línea, ya que uso la lista de WAN donde meto PPPoE & VoIP.

Lo del Redistribute son pruebas, he probado con y sin eso.

Cuando pueda miro a ver si asterisk se conecta con el servidor SIP, a pesar de que los pings no lleguen , y que netcat de cómo bueno cualquier puerto UDP.

🗨️ 4
filamento
🗨️ 3
jjo
🗨️ 2
jjo
🗨️ 1
jjo
2

Resulta que es todo tema de Firewall, supongo que es porque tengo una configuración del router muy pensada para seguridad y tema de zero-trust.

Dejo la config temporal que me funciona, permitiendo casi todo del interface de VoIP, iré definiendo las reglas para hacerlas lo más restrictivas que pueda.

/interface vlan
add comment=VOIP interface=ether1 name=ether1-voip vlan-id=3
/interface list
add name=WAN
/interface list member
add comment=VoIP interface=ether1-voip list=WAN
/ip firewall nat
add action=masquerade chain=srcnat comment="masquerade all WAN List" ipsec-policy=out,none out-interface-list=WAN
/ip dhcp-client
add add-default-route=no interface=ether1-voip use-peer-dns=no use-peer-ntp=no
/routing rip instance
add afi=ipv4 disabled=no name=rip
/routing rip interface-template
add disabled=no instance=rip interfaces=ether1-voip mode=passive
/ip firewall filter
add action=accept chain=input comment="VoIP: Accept RIP multicast traffic VLAN-VoIP" dst-address=224.0.0.9 dst-port=520 in-interface=ether1-voip protocol=udp
add action=accept chain=forward comment="VoIP: tmp allow all IN voip" in-interface=ether1-voip
add action=accept chain=input comment="VoIP: tmp allow all input" in-interface=ether1-voip
add action=accept chain=forward comment="VoIP: tmp allow all OUT voip" out-interface=ether1-voip
add action=accept chain=output out-interface=ether1-voip

Ahora el nmap ya me detecta el servicio SIP

❯ sudo nmap 10.31.255.134 -p5070 -sU -sV -Pn
Starting Nmap 7.93 ( https://nmap.org ) at 2023-05-27 12:03 CEST
Stats: 0:00:22 elapsed; 0 hosts completed (1 up), 1 undergoing Service Scan
Service scan Timing: About 0.00% done
Stats: 0:00:39 elapsed; 0 hosts completed (1 up), 1 undergoing Service Scan
Service scan Timing: About 100.00% done; ETC: 12:03 (0:00:00 remaining)
Nmap scan report for 10.31.255.134
Host is up.
 
PORT     STATE SERVICE VERSION
5070/udp open  sip     (SIP end point; Status: 403 Forbidden)
1 service unrecognized despite returning data. If you know the service/version, please submit the following fingerprint at https://nmap.org/cgi-bin/submit.cgi?new-service :
SF-Port5070-UDP:V=7.93%I=7%D=5/27%Time=6471D57B%P=arm-apple-darwin22.1.0%r
SF:(SIPOptions,DC,"SIP/2\.0\x20403\x20Forbidden\r\nVia:\x20SIP/2\.0/UDP\x2
SF:0nm;received=10\.29\.143\.152;branch=foo;rport=55715\r\nFrom:\x20<sip:n
SF:m@nm>;tag=root\r\nTo:\x20<sip:nm2@nm2>;tag=aprqngfrt-c8fdbh00000k2\r\nC
SF:all-ID:\x2050000\r\nCSeq:\x2042\x20OPTIONS\r\nContent-Length:\x200\r\n\
SF:r\n");
 
Service detection performed. Please report any incorrect results at https://nmap.org/submit/ .
Nmap done: 1 IP address (1 host up) scanned in 39.85 seconds

Gracias a todos por la ayuda.

1977ferrer

Hola a todos. Acabo de adquirir un Mikrotik y no consigo hacer funcionar la voz de Movistar en un adaptador ata. como estoy muy verde en estos routers, a ver si me podeis echar una mano ya que no consigo que funcione. Un saludo

muchas cosas

[

/interface bridge

add name=bridge1

add name=bridge2

/interface VLAN

add interface=ether8 name=vlan3-voz VLAN-id=3

add interface=ether1 name=vlan6-datos VLAN-id=6

/interface PPPoE-client

add add-default-route=yes disabled=no interface=vlan6-datos name=O2 user=

adslppp@telefonicanetpa

/interface list

add name=WAN

add name=LAN

/interface wireless security-profiles

set [ find default=yes ] supplicant-identity=Mikrotik

/IP pool

add name=DHCP-1 ranges=192.168.1.20-192.168.1.49

add name=DHCP-2 ranges=192.168.2.20-192.168.2.50

/IP DHCP-server

add address-pool=DHCP-1 interface=bridge1 lease-time=1d name=dhcp1

add address-pool=DHCP-2 interface=bridge2 lease-time=23h name=dhcp2

/port

set 0 name=serial0

set 1 name=serial1

/queue tree

add name=ps5 packet-mark=pk_ps5 parent=global priority=1

/routing rip instance

add afi=IPv4 disabled=no name=rip-instance-1 redistribute=

connected,static,rip,ospf,bgp,VPN,DHCP,fantasy,modem

/interface bridge port

add bridge=bridge1 interface=ether3

add bridge=bridge1 interface=ether4

add bridge=bridge1 interface=ether5

add bridge=bridge1 interface=ether6

add bridge=bridge1 interface=ether7

add bridge=bridge2 interface=ether9

add bridge=bridge2 interface=ether10

add bridge=bridge2 interface=ether11

add bridge=bridge2 interface=ether12

add bridge=bridge2 interface=ether13

/IP neighbor discovery-settings

set lldp-med-net-policy-VLAN=1

/interface list member

add interface=ether1 list=WAN

add interface=bridge1 list=LAN

add interface=bridge2 list=LAN

add interface=*18 list=LAN

/IP address

add address=192.168.1.1/24 interface=bridge1 network=192.168.1.0

add address=192.168.2.1/24 interface=bridge2 network=192.168.2.0

add address=10.0.0.1/8 interface=vlan3-voz network=10.0.0.0

/IP arp

add

/IP DHCP-client

add interface=ether1

add add-default-route=no interface=vlan3-voz use-peer-DNS=no use-peer-ntp=no

/IP DHCP-server lease

/IP DHCP-server network

add address=192.168.1.0/24 DNS-server=8.8.8.8,1.1.1.1 gateway=192.168.1.1

netmask=24

add address=192.168.2.0/24 DNS-server=8.8.8.8 gateway=192.168.2.1 netmask=24

/IP DNS static

add address=10.34.25.134 name=telefonica.net

/IP firewall filter

add action=accept chain=input in-interface=vlan3-voz

/IP firewall mangle

add action=mark-connection chain=forward in-interface=bridge1

new-connection-mark=conn_ps5 passthrough=yes src-address=192.168.1.85

add action=mark-packet chain=forward connection-mark=conn_ps5

new-packet-mark=pk_ps5 passthrough=no

add action=set-priority chain=postrouting new-priority=4 out-interface=

vlan3-voz passthrough=yes

add action=set-priority chain=postrouting new-priority=4 out-interface=

vlan3-voz

/IP firewall NAT

add action=masquerade chain=srcnat out-interface=O2

/IP firewall service-port

/IP service

/routing rip interface-template

add disabled=no instance=rip-instance-1 interfaces=vlan3-voz mode=passive

/system routerboard settings

set enter-setup-on=delete-key

]

🗨️ 1
jjo

Para empezar la VLAN de datos y voz tendría que ir sobre el mismo puerto. Ether1 en tu caso, que es el puerto WAN.

/interface VLAN
add interface=ether8 name=vlan3-voz VLAN-id=3
add interface=ether1 name=vlan6-datos VLAN-id=6
1977ferrer

ok. creia que podrian asignarse puertos distintos, uno para cada cosa. ya lo he corregido

que mas cosas puede haber mal?

🗨️ 2
jjo

Comprueba que el Router Mikrotik reciba las rutas RIP:

[admin@router] /routing/rip/neighbor> print
Flags: D - dynamic
 0 D instance=rip address=10.29.128.1%vlan-voip routes=1 packets-total=66921 last-update=9s
🗨️ 1
1977ferrer

si si. ya lo comprobe. de hecho ya me levanto el adaptador VoIP

Gracias

1977ferrer

Pues era eso. Muchas gracias. ya me funciona. un saludo