Search the Community

Всем привет. Есть интересная задачка для тех, кто разбирается в микротиках. Скажу сразу, я разбираюсь не очень, поэтому ищу помощи у более продвинутых в этом деле. Суть такая. Хочу поднять тунель IPSec до работы. Все настройки узнал, прописал ipsec proposal, ipsec policy, создал ipsec peer и прописал ip firewall nat. Тунель вроде бы поднялся судя по state - estableshed в IPSec active peers. Но никакой трафик и пинги между локальными домашней и рабочей сетями не идут. Как мне объяснили на работе, это из-за двойного NAT. Мой микротик прикрыт онлаймовским роутером и на свой внешний порт получает от него динамический адрес. Соответственно у моего микротика внутренняя сеть своя. Как мне преодолеть преграду с двойным NAT-ом, если, конечно, в нём дело?

Вчера подключил фиксированный ай пи в личном кабинете и мне присвоили вот это 85.30.248.224 ведь этот ай пи за NAT? Звонил в службу поддержки и мне сказали, что я могу не беспокоитья. Но сомнения остались. И еще почему в вэб интерфейсе роутера онлайм при попытке снять галочку с NAT, после сохранения она вновь становится активной.

Оформил договор на интернет и телефонию. Телефония подключена через онлаймовсий шлюз за 100 рублей/месяц. Интернет работает отлично, телефон подключается, но через 2 минуты вырубается. Примерно месяц назад купил себе sip телефон grandsream dp750 с трубками dp720. Проблема осталась - телефон соединяется, но через какое-то время (примерно две минуты) перестает принимать и отправлять звонки. В техподдержке онлайма сказали, что нужно ставить шлюз/voip оборудование перед роутером, что весьма нелогично, а в случае с грандстримом нереализуемо. Дополнительно, техподдержка порекомендовала обратиться к платным партнерам. Я был рад заплатить, даже вызвал платного партнера, но платный партнер не приехал, не объяснив причин. Половину рабочего дня пришлось убить, чтобы понять следующее: SIP соединение блокирует NAT роутера. На форуме онлайма предлагают, пробрасывать порты, использовать ip вместо буквенного домена, поставить роутер в центр пентограммы, выпить кровь девственницы, пользоваться ортопедической обувью и т.п. В действительности, достаточно задействовать STUN протокол в телефоне. В двух словах: STUN изобрели, чтобы UDP протокол мог без проблем проходить через серверы NAT. Кстати, на онлаймовском форуме где-то прочитал, что STUN лучше не включать (видимо, написал платный партнер). Ниже скриншот того, как был задействован stun в телефоне granstream dp750. Скорее всего будет работать и без добавления ":3478", но мне лень проверять. Пост написан для упрощения жизни остальным, пользуйтесь на здоровье.