Доброго времени суток.
В приложенном файлике схема подключения АТС.
LDK300 (3.7Ce,VoIBE прошивка GS30H-2.1Bb)
В LAN сети живут LIP-7024D, настройки у которых следующие:
MFIM:192.168.9.1
IP:192.168.3.x
Mask:255.255.252.0
Router:192.168.0.254 - это Cisco 2811. Другой интерфейс циски 192.168.9.254, который смотрит на LDK300

На VoIBE плате Firewall Address не указан.

Все отлично работает.
При подключении телефона извне(из Инета) указывают на VoIBE firewall address в 340 PGM белый айпишник ISA сервера.
На ISA публикую сервер, который перенапрявляет все пакеты (5588,8002,8003 и голосовые каналы, там их много)
Внешний телефон отлично подключается.
но при таком раскладе отваливается все внутренние телефоны и связь между станциями, т.к. LDK300 начинает всё отправлять через Firewall
Можно ли как-нибудь указать станции, что для внутренних телефонов и для LDK 100 файрвол не использовать?
Как вобще побороть, чтобы работали и внешние и внутренние?

Думаю что Вам надо поднять версию до 3.8 http://www.artcom.ru/download/38BF.zip
Там появился дополнительный пункт по работе с Firewall в 324 программе

Версию VOIBE так же придется поднять http://www.artcom.ru/download/VOIBE_21Dc.zip

Operation
1.In the same network configuration.
If the networking system use the same network, and then Firewall Routing should be set as OFF.
- Local IP address will be used for networking feature.

2.In the different network configuration.
If the networking system use the different network, and then Firewall Routing should be set as ON.
- Firewall IP address will be used for networking feature.

Conditions
1.A user can program Firewall Routing feature with each net numbering plan table.
2.VOIBE should be 2.1Ck or above version.

Programming
PGM 324-Flex9 : Firewall Routing

В Руководстве п. 2.16.21

Гм, спасибо. Попробую сегодня ночью


В руководстве крайний пункт 2.16.19, дальше 2.17 идет =(

Скачай руководство для версии 3.8 там пункт уже есть

ПонЯл, спасибо!
Значит обновимся и попробуем

Прошили сегодня плату+MPB
Итого имеется:
3.8 прошивка на станции.
GS30H-2.1Dc - на VoIBE

Настройки следующие:
На LDK300:
В 324 PGM:30#* -не использовать Firewall
34#* - использовать
2#** - не использовать
В 340 Firewall не указан.

При таком раскладе телефоны из диапазона 300-310 - нормально работают, но не коннектится извне 341 труба
Как только добавляю Firewall - белый IP ISA сервера, то:
1)подключается 341 извне, Если с неё позвонить на любой телефон из 200-го диапазона, то 200-й не слышит голоса с 341, а иса регистрирует события:
На порту 2064: Не удалось подключиться к сети из-за существования совпадающих имен. Измените имя компьютера...
2)Перестает работать 300-й диапазон.

Что не так настроил?

Удалось добиться работы внешних телефонов путем правки правил на исе.
Осталась одна загвоздка. Почему при прописывании файрвола перестают работать телефоны из 30х диапазона?

а если для теста на одном из этих телефонов назначить адрес из диапазона 192.168.9.х?

ммм. можно попробовать в теории, только 9-я подсеть напрямую в циске торчит. Ща пойду для проверки свитч воткну между станцией и циской и в него трубу
Да,работает,если телефон подключен к 9-й подсети -то пашет все хорошо и внешние и внутренние, но(!) Нужно, чтобы телефоны были именно в 3-й подсети. Ибо нет возможности стационарно поставить Свитч между циской и телефонной станцией -(

разберитесь с внутренней адресацией

Т.е. разобраться?

Сейчас имеется следующая картина в LAN сети(192.168.0.0-192.168.3.255) стоит DHCP, для которого на все телефоны сделано резервирование из диапазона 192.168.3.1-192.168.3.40.

28-я кошка имеет на интерфейсах:
LAN:
IP 192.168.0.254
MASK 255.255.252.0
на интерфейсе смотрящем на АТС:
IP 192.168.9.254
Mask 255.255.255.0
На интерфейсе смотрящем на 1841:
IP 192.168.101.1
Mask 255.255.255.252

18-я кошка на самом деле тоже имеет свои LAN. (на схеме не принципиально)
подсети 10,20.
телефонные подсети: 19,29.
Соответственно на 28-й имеются следующая табличка маршрутизации:

ip route 0.0.0.0 0.0.0.0 192.168.0.175 - адрес на ISA сервер
ip route 192.168.10.0 255.255.255.0 192.168.101.2
ip route 192.168.19.0 255.255.255.0 192.168.101.2
ip route 192.168.20.0 255.255.255.0 192.168.101.2
ip route 192.168.29.0 255.255.255.0 192.168.101.2

где 101.2 - порт 18 кошки, смотрящей в канал между 28 и 18.

Собственно что не так с адресацией?

Сдается мне, что дело в другом.
Если я правильно понял, то:
- если адрес Firewall не прописан в ПГМ340 то телефоны в 3-й подсети работают;
- если адрес Firewall прописан в ПГМ340, то телефоны не работают в 3-ей подсети, но нормально работают в 9-ой подсети.
Так???
Галочка "Firewall" в ПГМ324 похоже предназначена только для Networking'a, т.е. для обращений к абонентам другой, "чужой" станции.
Для собственных абонентов (помеченных символом #) скорее всего станция не проверяет галочку "Firewall" в ПГМ324.
Если телефоны 3** находятся в 9-ой подсети, то станция определяет, что они находятся в одной и той сети с VOIBE и все работает. Но если телефоны включены в 3-ю подсетку, то станция определяет, что они в другой сети и тупо пытается связаться с ними через Firewall, если он указан в ПГМ340. Связь не устанавливается.
Станция не имеет понятия, какая там маршрутизация в вашей сети. Адрес телефона имеется внутри пакета, и он отличается от адреса VOIBE, значит сетка другая и используется Firewall.
Как то так.... ИМХО, думаю что тут нужно ставить еще один VOIBE c указанием другого Firewall в ПГМ340 либо как-то менять сеть.

Именно!
Тогда возникает вопрос, почему работают трубки из 3-й подсети, когда firewall не прописан вобще?
Хотя.. видимо просто отрабатывает маршрутизация на 28 кошке.

Я пришел к такому же выводу. Она игнорит эту галку, для #-х подключений.
Гм, тогда непонятно, почему при указании файрвола отваливается 3-я подсеть. Ибо 300-310 номера помечены #кой.
Т.е. должна работать тупо маршрутизация для них через основной гейт, также как и в случае с непрописанным файрволом в 340PGM

Да, похоже что так всё и есть.
Взорвал мозг себе, но результата в итоге добился следующим макаром:
Т.к. Firewall - это белый адрес ISA, то сейчас на всех внутренних телефонах из LAN указал MFIM IP белый айпишник ISA, а на ISA сделал публикацию, которая перенаправляет пакеты на VOIBE.
Конечно решение не совсем хорошее, ибо появляется два лишних хопа(телефон-кошка-ISA-кошка-VOIBE), но все работает!
Пока мучал всё это дело, заметил странность еще одну:
Если указан в 340 Firewall, а в настройках телефона указан MFIM 192.168.9.1,то:
1.Станция регистрирует телефон(в 386 он появляется), но на телефоне горит No response....
Т.е. это говорит о том, что пакет от телефона до станции добрался успешно.
2.От станции Firewall пакет ответный НЕ ПОЛУЧАЕТ...смотрел сниффером.
3.Пакет от станции возвращается напрямую к телефону!
Так тогда какого хрена телефон считает, что он не подключен, я не понимаю.

Напрягает только вот одно,что завязано все на ISA..Упала ISA - упал VOIP полностью, а не только внешние клиенты...коих будет полтора человека, а еще и связь между офисами удаленными

зачем так сделано?

Зачем плата VOIB на АТС в своей подсети?
Если вопрос в этом, то:
Изначально так сложилось исторически.Схема сети на самом деле гораздо сложнее. Т.е. 1841-х - несколько. В удаленных офисах стоят свои АТСки. Каналы связи разные. Где-то точка-точка, где-то в каналах бегают тегированные Vlanы. Переделывать сейчас это убиться можно. Ибо эксперементировать с каналами очень не хочется, т.к. возможны и неизбежны будут хотябы "паруминутные" простои, которые, к сожалению недопустимы.

Без файрвола ж работают телефоны из 3-й сетки, трафик отлично проходит из 9-й в 3-ю подсеть..так вот и не понятно, какого фига они перестают работать, если указать файрвол.

Давайте уточним: что значит "не работает" ???
- не региструется в станции, на нем не появляется информация STATIN XXX ???
- или регистрируется, но нельзя набрать номер??
- или регистрируется, можно набрать номер, но ГОЛОС не проходит??
- все вызовы не проходят или какие-то проходят, например в другую станцию (LDK-100)???

за многими словами теряете суть
что мешает поставить плату VOIB в 3-ю сетку?

3-я сетка эта таже нулевая (192.168.0.0/22)

так что мешает в нулевую поставить VOIBE?

а кто подскажет - что значат эти 4 поля в IP info? 4 адреса, а для чего они..

А что неясного???
- Зачем здесь вообще вводится IP-адрес??
или
- Почему 4 поля для IP-адресов??

ну вот, есть четыре поля для ip адресов, каково назначение? т.е. ввел я адрес в одно поле -что это мне дало, ввел в другое - тоже что это мне дало.

Для доступа к определенным сетевым номерам Вы можете указать несколько IP-адресов, если таковые имеются.
Если первый адрес недоступен система будет пробовать выполнить соединение по следующему адресу.

спасибо, возможно я некорректно формулировал вопросы
и что мне нравится в этом форуме - то, что администрация и просто знающие люди очень толерантны к несведующим )

Ну, это не всегда... В зависимости от текущей нагрузки и от настроения отвечающего, от уровня познаний вопрошающего, от сути, стиля и градуса агрессивности заданного вопроса и пр. условий, которые определяют толерантность ответа...
Вообщем, толерантность безгранична, но в разумных пределах...
Поэтому, ИМХО, не стоит ее лишний раз проверять.
Тем паче, что в определенной мере эта "толерантность" ограничена уже изначально в самом заглавии: "Форумы для специалистов"

Ну, не воспринимайте всерьез, это я просто шучу... Хотя, конечно, "в каждой шутке есть доля..." .