Fibra

❓

Mikrotik con configuración VoIP de Movistar no alcanza servidor SIP

jjo 26 mayo 2023 11:12 ✎

⋮

Tengo problemas para configurar la interfaz VoIP en un router Mikrotik:

RouterOS 7.9.1
model = RB5009UPr+S+

La configuración relevante es la siguiente:

/interface vlan
add comment=VOIP interface=ether1 name=ether1-voip vlan-id=3
/ip dhcp-client
add add-default-route=no interface=ether1-voip use-peer-dns=no use-peer-ntp=no
/routing rip instance
add afi=ipv4 disabled=no name=rip redistribute=connected,static,rip,ospf,bgp,vpn,dhcp,fantasy,modem,bgp-mpls-vpn
/routing rip interface-template
add disabled=no instance=rip interfaces=ether1-voip mode=passive
/ip firewall filter
add action=accept chain=input comment="VoIP: Accept RIP multicast traffic VOIP" dst-address=224.0.0.9 dst-port=520 in-interface=ether1-voip protocol=udp

Parece que se está configurando todo bien, pero no consigo alcanzar la IP del servidor SIP:

[router] > /routing/rip/neighbor/print
Flags: D - dynamic
 0 D instance=rip address=10.29.128.1%ether1-voip routes=1 packets-total=104 last-update=30s
 
[router] > /ping 10.31.255.134
  SEQ HOST                                     SIZE TTL TIME       STATUS
    0 10.31.255.134                                                timeout
    1 10.31.255.134                                                timeout
    2 10.31.255.134                                                timeout
    sent=3 received=0 packet-loss=100%
 
[router] > /tool/traceroute  10.31.255.134
Columns: ADDRESS, LOSS, SENT, LAST, AVG, BEST, WORST, STD-DEV
#  ADDRESS        LOSS  SENT  LAST     AVG  BEST  WORST  STD-DEV
1  10.29.128.1    0%       1  2.1ms    2.1  2.1   2.1          0
2  10.31.184.225  0%       1  4.7ms    4.7  4.7   4.7          0
3                 100%     1  timeout
4                 100%     1  timeout
5                 100%     1  timeout
6                 0%       1  0ms

El traceroute me indica que llego a la red 10.31.x.x, con lo que me parece raro que no llegue a la IP destino.

¿Alguna sugerencia?

¿Alguien al que le funcione puede publicar que ve en /routing/rip/neighbor/?

/routing/rip/neighbor/print

x4b1 26 mayo 2023 14:12 ✎

⋮

Hola @jjo!

Yo tengo el mismo router que tu desde hace unos días y me funciona correctamente:

Te paso lo que veo con el Print

[admin@Mikrotik] > /routing/rip/neighbor/print
Flags: D - dynamic
0 D instance=rip address=10.27.192.1%vlan3-telefono routes=1 packets-total=5591 last-update=15s
[admin@Mikrotik] >

Por si te sirve de ayuda intento mandarte la configuración por privado de donde yo la pille.

Un saludo,

skgsergio 26 mayo 2023 17:09

⋮

No tengo Mikrotik pero creo que tienes todo bien, al menos obtienes los mismos resultados que yo que lo tengo funcional:

root@OpenWrt:~# ping -c4 10.31.255.134
PING 10.31.255.134 (10.31.255.134): 56 data bytes

--- 10.31.255.134 ping statistics ---
4 packets transmitted, 0 packets received, 100% packet loss

root@OpenWrt:~# traceroute 10.31.255.134
traceroute to 10.31.255.134 (10.31.255.134), 30 hops max, 46 byte packets
 1  192.168.0.1 (192.168.0.1)  0.729 ms  0.657 ms  0.561 ms
 2  10.23.64.1 (10.23.64.1)  3.922 ms  4.008 ms  4.096 ms
 3  10.31.126.225 (10.31.126.225)  3.981 ms  3.893 ms  3.789 ms
 4  *  *  *
 5  *  *  *
 6  *  *  *
 7^C

Que no llegues por ping o traceroute no significa que no llegues, tienen el ICMP filtrado:

root@OpenWrt:~# nmap 10.31.255.134 -p5070 -sU -sV -Pn
Host discovery disabled (-Pn). All addresses will be marked 'up' and scan times will be slower.
Starting Nmap 7.91 ( https://nmap.org ) at 2023-05-26 17:11 CEST
Nmap scan report for 10.31.255.134
Host is up.

PORT     STATE SERVICE VERSION
5070/udp open  sip     (SIP end point; Status: 403 Forbidden)

Service detection performed. Please report any incorrect results at https://nmap.org/submit/ .
Nmap done: 1 IP address (1 host up) scanned in 40.61 seconds

✖

jjo 26 mayo 2023 22:07

⋮

Revisaré a ver, eso de blockear icmp es nuevo, no? me suena que el ping si que lo devolvía.

Nmap scan report for 10.31.255.134
Host is up.
 
PORT     STATE         SERVICE VERSION
5070/udp open|filtered vtsas

Luego me mosquea que mando test udp, y acepta todo:

❯ nc -z -v -u 10.31.255.134 5070
Connection to 10.31.255.134 port 5070 [udp/vtsas] succeeded!
❯ nc -z -v -u 10.31.255.134 5060
Connection to 10.31.255.134 port 5060 [udp/sip] succeeded!
❯ nc -z -v -u 10.31.255.134 1234
Connection to 10.31.255.134 port 1234 [udp/search-agent] succeeded!

✖

skgsergio 26 mayo 2023 23:04

⋮

Haz el nmap con los flags que puse, ya que con el -sV conecta y hace peticiones para tratar de determinar la versión del servicio y por eso me sale el (SIP end point; Status: 403 Forbidden) demostrando que conecta correctamente.

No me suena que nuca me respondiese a ping la verdad.

filamento 26 mayo 2023 17:27 ✎

⋮

Te faltan estas tres líneas:

/IP firewall filter add action=accept chain=input in-interface=ether1-VoIP
/IP firewall NAT add action=masquerade chain=srcnat out-interface=ether1-VoIP
/IP firewall mangle add action=set-priority chain=postrouting new-priority=4 out-interface=ether1-VoIP

Una vez que las pongas, mueve con el ratón la regla del firewall (la primera de las tres líneas) para ponerla muy arriba del todo (en primer o segundo lugar)

✖

jjo 26 mayo 2023 22:03

⋮

no lo puse pera ya tenia el masquerade, mangle y de fw he probado de todo, de hecho ahora mismo lo tengo para que acepte todo de ese interface. Aún así sigue sin funcionar.

✖

filamento 27 mayo 2023 11:11

⋮

Recuerda que la línea del masquerade la tienes que poner varias veces (una vez para la interfaz PPPoE, y otra vez para la interfaz ether1-VoIP)

Y sobre esta línea que tienes:

/routing rip instance add afi=IPv4 disabled=no name=rip redistribute=connected,static,rip,ospf,bgp,VPN,DHCP,fantasy,modem,bgp-mpls-VPN

¿Por qué añades lo de "redistribute" ? Yo eso no lo tengo puesto en ninguno de los Mikrotik que monto, ¿en qué influye?

✖

jjo 27 mayo 2023 11:21

⋮

Bueno, realmente el masquerade lo tengo todo en una línea, ya que uso la lista de WAN donde meto PPPoE & VoIP.

Lo del Redistribute son pruebas, he probado con y sin eso.

Cuando pueda miro a ver si asterisk se conecta con el servidor SIP, a pesar de que los pings no lleguen , y que netcat de cómo bueno cualquier puerto UDP.

✖

filamento 27 mayo 2023 11:36

⋮

✖

jjo 27 mayo 2023 15:54

⋮

✖

jjo 27 mayo 2023 15:56

⋮

✖

filamento 27 mayo 2023 17:32

⋮

jjo 27 mayo 2023 12:17

⋮

Resulta que es todo tema de Firewall, supongo que es porque tengo una configuración del router muy pensada para seguridad y tema de zero-trust.

Dejo la config temporal que me funciona, permitiendo casi todo del interface de VoIP, iré definiendo las reglas para hacerlas lo más restrictivas que pueda.

/interface vlan
add comment=VOIP interface=ether1 name=ether1-voip vlan-id=3
/interface list
add name=WAN
/interface list member
add comment=VoIP interface=ether1-voip list=WAN
/ip firewall nat
add action=masquerade chain=srcnat comment="masquerade all WAN List" ipsec-policy=out,none out-interface-list=WAN
/ip dhcp-client
add add-default-route=no interface=ether1-voip use-peer-dns=no use-peer-ntp=no
/routing rip instance
add afi=ipv4 disabled=no name=rip
/routing rip interface-template
add disabled=no instance=rip interfaces=ether1-voip mode=passive
/ip firewall filter
add action=accept chain=input comment="VoIP: Accept RIP multicast traffic VLAN-VoIP" dst-address=224.0.0.9 dst-port=520 in-interface=ether1-voip protocol=udp
add action=accept chain=forward comment="VoIP: tmp allow all IN voip" in-interface=ether1-voip
add action=accept chain=input comment="VoIP: tmp allow all input" in-interface=ether1-voip
add action=accept chain=forward comment="VoIP: tmp allow all OUT voip" out-interface=ether1-voip
add action=accept chain=output out-interface=ether1-voip

Ahora el nmap ya me detecta el servicio SIP

❯ sudo nmap 10.31.255.134 -p5070 -sU -sV -Pn
Starting Nmap 7.93 ( https://nmap.org ) at 2023-05-27 12:03 CEST
Stats: 0:00:22 elapsed; 0 hosts completed (1 up), 1 undergoing Service Scan
Service scan Timing: About 0.00% done
Stats: 0:00:39 elapsed; 0 hosts completed (1 up), 1 undergoing Service Scan
Service scan Timing: About 100.00% done; ETC: 12:03 (0:00:00 remaining)
Nmap scan report for 10.31.255.134
Host is up.
 
PORT     STATE SERVICE VERSION
5070/udp open  sip     (SIP end point; Status: 403 Forbidden)
1 service unrecognized despite returning data. If you know the service/version, please submit the following fingerprint at https://nmap.org/cgi-bin/submit.cgi?new-service :
SF-Port5070-UDP:V=7.93%I=7%D=5/27%Time=6471D57B%P=arm-apple-darwin22.1.0%r
SF:(SIPOptions,DC,"SIP/2\.0\x20403\x20Forbidden\r\nVia:\x20SIP/2\.0/UDP\x2
SF:0nm;received=10\.29\.143\.152;branch=foo;rport=55715\r\nFrom:\x20<sip:n
SF:m@nm>;tag=root\r\nTo:\x20<sip:nm2@nm2>;tag=aprqngfrt-c8fdbh00000k2\r\nC
SF:all-ID:\x2050000\r\nCSeq:\x2042\x20OPTIONS\r\nContent-Length:\x200\r\n\
SF:r\n");
 
Service detection performed. Please report any incorrect results at https://nmap.org/submit/ .
Nmap done: 1 IP address (1 host up) scanned in 39.85 seconds

Gracias a todos por la ayuda.

1977ferrer 15 mayo 2024 15:20 ✎

⋮

Hola a todos. Acabo de adquirir un Mikrotik y no consigo hacer funcionar la voz de Movistar en un adaptador ata. como estoy muy verde en estos routers, a ver si me podeis echar una mano ya que no consigo que funcione. Un saludo

muchas cosas

[

/interface bridge

add name=bridge1

add name=bridge2

/interface VLAN

add interface=ether8 name=vlan3-voz VLAN-id=3

add interface=ether1 name=vlan6-datos VLAN-id=6

/interface PPPoE-client

add add-default-route=yes disabled=no interface=vlan6-datos name=O2 user=

adslppp@telefonicanetpa

/interface list

add name=WAN

add name=LAN

/interface wireless security-profiles

set [ find default=yes ] supplicant-identity=Mikrotik

/IP pool

add name=DHCP-1 ranges=192.168.1.20-192.168.1.49

add name=DHCP-2 ranges=192.168.2.20-192.168.2.50

/IP DHCP-server

add address-pool=DHCP-1 interface=bridge1 lease-time=1d name=dhcp1

add address-pool=DHCP-2 interface=bridge2 lease-time=23h name=dhcp2

/port

set 0 name=serial0

set 1 name=serial1

/queue tree

add name=ps5 packet-mark=pk_ps5 parent=global priority=1

/routing rip instance

add afi=IPv4 disabled=no name=rip-instance-1 redistribute=

connected,static,rip,ospf,bgp,VPN,DHCP,fantasy,modem

/interface bridge port

add bridge=bridge1 interface=ether3

add bridge=bridge1 interface=ether4

add bridge=bridge1 interface=ether5

add bridge=bridge1 interface=ether6

add bridge=bridge1 interface=ether7

add bridge=bridge2 interface=ether9

add bridge=bridge2 interface=ether10

add bridge=bridge2 interface=ether11

add bridge=bridge2 interface=ether12

add bridge=bridge2 interface=ether13

/IP neighbor discovery-settings

set lldp-med-net-policy-VLAN=1

/interface list member

add interface=ether1 list=WAN

add interface=bridge1 list=LAN

add interface=bridge2 list=LAN

add interface=*18 list=LAN

/IP address

add address=192.168.1.1/24 interface=bridge1 network=192.168.1.0

add address=192.168.2.1/24 interface=bridge2 network=192.168.2.0

add address=10.0.0.1/8 interface=vlan3-voz network=10.0.0.0

/IP arp

add

/IP DHCP-client

add interface=ether1

add add-default-route=no interface=vlan3-voz use-peer-DNS=no use-peer-ntp=no

/IP DHCP-server lease

/IP DHCP-server network

add address=192.168.1.0/24 DNS-server=8.8.8.8,1.1.1.1 gateway=192.168.1.1

netmask=24

add address=192.168.2.0/24 DNS-server=8.8.8.8 gateway=192.168.2.1 netmask=24

/IP DNS static

add address=10.34.25.134 name=telefonica.net

/IP firewall filter

add action=accept chain=input in-interface=vlan3-voz

/IP firewall mangle

add action=mark-connection chain=forward in-interface=bridge1

new-connection-mark=conn_ps5 passthrough=yes src-address=192.168.1.85

add action=mark-packet chain=forward connection-mark=conn_ps5

new-packet-mark=pk_ps5 passthrough=no

add action=set-priority chain=postrouting new-priority=4 out-interface=

vlan3-voz passthrough=yes

add action=set-priority chain=postrouting new-priority=4 out-interface=

vlan3-voz

/IP firewall NAT

add action=masquerade chain=srcnat out-interface=O2

/IP firewall service-port

/IP service

/routing rip interface-template

add disabled=no instance=rip-instance-1 interfaces=vlan3-voz mode=passive

/system routerboard settings

set enter-setup-on=delete-key

]

✖

jjo 15 mayo 2024 15:31

⋮

Para empezar la VLAN de datos y voz tendría que ir sobre el mismo puerto. Ether1 en tu caso, que es el puerto WAN.

/interface VLAN
add interface=ether8 name=vlan3-voz VLAN-id=3
add interface=ether1 name=vlan6-datos VLAN-id=6

1977ferrer 15 mayo 2024 15:50

⋮

ok. creia que podrian asignarse puertos distintos, uno para cada cosa. ya lo he corregido

que mas cosas puede haber mal?

✖

jjo 15 mayo 2024 19:54

⋮

Comprueba que el Router Mikrotik reciba las rutas RIP:

[admin@router] /routing/rip/neighbor> print
Flags: D - dynamic
 0 D instance=rip address=10.29.128.1%vlan-voip routes=1 packets-total=66921 last-update=9s

✖

1977ferrer 15 mayo 2024 19:56

⋮

si si. ya lo comprobe. de hecho ya me levanto el adaptador VoIP

Gracias

1977ferrer 15 mayo 2024 19:44

⋮

Pues era eso. Muchas gracias. ya me funciona. un saludo