[ urkozamanje @ 24.08.2010. 15:25 ] @
Ovako, potrebna mi je mala pomoc. Imam problem koji zahteva analizu, pa kapiram da bi od ovog brain trust-a moglo itekako biti koristi.


Sistem je sledeci:

Kompanija za koju radim, pored head office-a u Beogradu, ima branch-eve na Middle Eastu.

Obzirom da su staticke IP adrese dole prilicno skupe, svaki office je povezan u VPN arhipelag. I to tako sto se Mikrotik ruteri (kao VPN klijenti) vezuju na beogradske Mikrotik rutere (VPN server) i i to redundantnim rutama (jedan VPN server izlazi preko Beotela, a drugi preko AbsOK). Tuneli koji se koriste su uglavnom pptp (mada imamo uspostavljene i ovpn-ove). Znam da je IPSec mozda bolje resenje za ovakve konfiguracije, ali pptp i ovpn su izabrani bas zbog jednostavnosti.

E sada, dva branch-a (koji se nalaze u Arapskim Emiratima, i iza istog provajdera - Etisalat) u poslednje vreme "pate" od, meni cudnih, problema. Naime, za linkove smo imali obicne ADSL linije koje smo od skoro unapredili uvodjenjem FO linija sa integrisanom telefonijom, TV, broadband-om, itd. Tako da sada i dalje imamo regularni ADSL i PPPoE enkapsulaciju, samo sto sada ide preko optike, a ne preko parica. Stoga, imamo i neke provajderove ADSL rutere.

Iza tih provajderovih ADSL rutera, u DMZ nam se nalaze Mikrotik ruteri (VPN klijenti) koji tunelima povezuju svaki branch sa head office-om, i izmedju sebe. Takodje, sami LAN-ovi su segmentirani u po 5 i vise podmreza i dodatnim LAN ruterom - za rutiranje izmedju tih podmreza . Da ne bih objasnjavao zasto se toliko komplikuje, reci cu da ima svoje razloge (Kapiram da nije toliko bitno da li na ruti postoji jos jedan hop, obzirom da je svakako pod mojom kontrolom i ni na jednom Firewall sigurno nije problem.)

E sad, unutar jedne od takvih LAN podmreza se nalaze i nasi VoIP telefoni (uglavnom Grandstream GXP2000). U sustini, svaki od njih "gadja" nas SIP server (Asterisk) u Beogradu, i to preko tuneliranih adresa (10.1.1.x), a sledecom rutom: VoIP tel. -> LAN ruter -> DMZ Ruter (Mikrotik VPN klijent) -> Provajderov ADSL ruter -> Internet -> Beogradski VPN server (MT) -> SIP server.

U poslednje vreme se desava da VoIP telefoni, nakon sto jedno vreme rade najnormalnije, sami od sebe, pocinju da:

- ili ostaju registrivani na SIP serveru i uspostavljaju pozive, ali bez tona - receiver ne cuje drugu stranu, a nekada i obratno
- ili, ostaju registrovani na SIP serveru, ali nije moguce pozvati ikoga - SIP Code 491
- ili, jednostavno izgube vezu sa SIP serverom i ne mogu se ni registrovati.

Simptomi su isti, koji god tunel da koristimo (pptp i ovpn) i koji god link u Beogradu koristili (i Beotel i AbsOK).

Ono sto mene znunjuje je to da, nakon sto voip uredjaje, ili jednostavno resetujemo, ili im izmenimo GW tako da "preskoci" jedan cvor (LAN ruter) i izlazi preko MT rutera, VoIP telefoni prorade najnormalnije. Takodje, obzirom da imamo i redundantne MT rutere (VPN klijente), nekada pomaze i jednostavno menjanje GW na VoIP uredjajima sa jednog na drugi MT. I to tako traje, nekada dan, nekada dva, a nekada i samo 30-ak minuta, dok se opet voipovi ne "zaglupe" na jedan od gore navedenih nacina. U svakom slucaju, to se vrti u krug tako vec neko vreme.


Zanimljivo je da se pocetak tih problema, nekako poklapa sa major upgrade-om infrastrukture provajdera, i uvodjenja tih optickih linkova. Te je moja ideja da provajder, poceo da "hvata" SIP pakete, a obzirom na ADSL ne blokira IP (nama dodeljen dinamicki), vec samo port koji NAT dodeli paketima poslatim sa VoIP uredjaja. Tako da, nakon reseta (ili izmene GW) ADSL-ov NAT dobije paket sa druge LAN adrese, indexira ga drugim portom, i tako salje van. I tako, svaki put kada provajder blokira odredjeni port, resetivanjem ili menjanjem ruta u LAN-u, paketi pocnu da izlaze po drugom portu (NAT) dok i njih ne snimi. I tako, ponavljamo u krug.

Ali, sa druge strane, obzirom da je sve kroz tunele, provajder ne moze da zna da li je enkriptovani sadrzaj SIP ili ne, te to potire moju prethodnu teoriju. Stoga, da li je moguce da je uzrok ovim problemima na potpuno drugoj strani - SIP serveru u Bgd? Al' opet, drugi branch-evi nemaju slicnih problema..


Svakako, mozda sam se ja ovde nalupao raznih gluposti. Ali, zato sam i dosao ovde. Da potrazim pomoc, ako ne u resavanju problema, a ono bar u prvim koracima ka resavanju i mogucim idejama.

P.S.

Izvinjavam se na opsirnosti, no gledao sam da navedem stvari koje mislim da mogu da uticu na analizu problema, a ima ih.

Unapred hvala.
[ IvanPHP @ 26.08.2010. 00:53 ] @
Prvo, srpski Internet provideri ne blokiraju SIP, trust me, postavljao sam VoIP preko Beotela, preko Bogijevog AbsOK i preko vecine drugih.

Drugo, tvoj glavni problem su Grandstream telefoni, koji su kratko receno krsh i simptomi koje si naveo su kod njih normalna pojava.

Trece, problemi koje pominjesh se vrlo cesto resavaju kada u SIP klijente postavish STUN server, pa SIP klijent sam javlja STUN serveru rutu do sebe, a ovaj je prosledjuje SIP serveru ili PBX-u na kome je SIP klijent registrovan.

Oni koji se slabije razumeju u SIP protokol rasirili su pricu kako Internet provajderi seku otvorene sesije (zbog torrent-a, valjda), pa navodno SIP klijent gubi kontakt sa SIP serverom, ali to nema veze sa pamecu.
[ aleksandar75 @ 26.08.2010. 06:57 ] @
Slažem se sa Ivanom, niko ne blokira SIP, zašto bi?

Potrebno je detaljnije odraditi tu analizu kod tebe da bi rešio to. Istestirati linkove, probaj i nekog drugog proizvođača telefona mada ne verujem da je moguće da baš svi aparati prave problem, pogotovo ako je to sve radilo bez problema.