Jump to content
  • 2
160r

исправлено
UDP порты не пробрасываются группой

Question

Я системный администратор и регулярно пробрасываю порты на роутерах для устанавливаемых атс 3cx(порты 5060,5090, UDP9000-9255) с внешнего реального фиксированного адреса, внутрь сети на стационарный компьютер с фиксированным внутренним IP и с теми же номерами портов. Потом тестирую правильность работы проброса портов встроеным в атс спец.инструментом firewall-checker (нет причин ему не доверять)
https://www.3cx.com/docs/firewall-checker/

Только с Вашими роутерами (причем всех верхних актуальных моделей) при переадресации группы портов (здесь в логе группа это порты 9241-9255) с любым количеством более 1 порта, тест фаеволла не проходит корректно, при пробросе каждого порта по одному (все до 9241) с теми же параметрами, все всегда ок. Это уже давно, с прошивки 2,08 точно(сейчас уже Версия ПО 2.13.B)

Эта проблема с keenetic уже поднималась не раз и другими и я звонил в тех поддержку, ничего не изменилось. Даже стало хуже! С новым веб интерфейсом(особое "спасибо" за него) проброс портов настраивается при наличии множества строк очень медленно, часто падает и результаты его работы  часто непредсказуемы и зависят от места его настройки в меню и регистрации устройства.
из лога теста файерволла:
testing port 9238... done
testing port 9239.. done
testing port 9240... done
testing port 9241... Mapping does not match 9241. Mapping is 40878. (How to resolve?)
testing port 9242... Mapping does not match 9242. Mapping is 40879. (How to resolve?)
testing port 9243... Mapping does not match 9243. Mapping is 40880. (How to resolve?)
testing port 9244... Mapping does not match 9244. Mapping is 40881. (How to resolve?)
testing port 9245... Mapping does not match 9245. Mapping is 40882. (How to resolve?)
testing port 9246... Mapping does not match 9246. Mapping is 40883. (How to resolve?)
testing port 9247... Mapping does not match 9247. Mapping is 40884. (How to resolve?)
testing port 9248... Mapping does not match 9248. Mapping is 40885. (How to resolve?)
testing port 9249... Mapping does not match 9249. Mapping is 40886. (How to resolve?)
testing port 9250... Mapping does not match 9250. Mapping is 40887. (How to resolve?)
testing port 9251... Mapping does not match 9251. Mapping is 40888. (How to resolve?)
testing port 9252... Mapping does not match 9252. Mapping is 40889. (How to resolve?)
testing port 9253... Mapping does not match 9253. Mapping is 40890. (How to resolve?)
testing port 9254... Mapping does not match 9254. Mapping is 40891. (How to resolve?)
testing port 9255... Mapping does not match 9255. Mapping is 40892. (How to resolve?)

Делал захват трафика порты не тестируются через stun

На других роутерах такого не наблюдаю

Мне в новой версии надо пробросить для RTP 3CX порты с 9000 по 11000, я не смогу 2000 строк руками прописать, а новый интерфейс не сможет с ними работать.

Попробуйте сами пробросить группу портов(несколько групп) и потестировать работу этого

  • Upvote 1

Share this post


Link to post
Share on other sites

20 answers to this question

  • 1
В 08.09.2018 в 03:56, 160r сказал:

Попробуйте сами пробросить группу портов(несколько групп) и потестировать работу этого

Подтверждаем, что есть проблемы с пробросом диапазона. Решили заодно провести ревизию кода "ip static", изменения запланированы на 2.14.

  • Thanks 1
  • Upvote 2

Share this post


Link to post
Share on other sites
  • 1

@160r пример настройки NTP-сервера в консоли: здесь.

Пока только через CLI. @eralde Думаю есть смысл добавить в WebUI. 

Share this post


Link to post
Share on other sites
  • 0
В 08.09.2018 в 03:56, 160r сказал:

Я системный администратор и регулярно пробрасываю порты на роутерах для устанавливаемых атс 3cx(порты 5060,5090, UDP9000-9255) с внешнего реального фиксированного адреса, внутрь сети на стационарный компьютер с фиксированным внутренним IP и с теми же номерами портов. Потом тестирую правильность работы проброса портов встроеным в атс спец.инструментом firewall-checker (нет причин ему не доверять)
https://www.3cx.com/docs/firewall-checker/

Только с Вашими роутерами (причем всех верхних актуальных моделей) при переадресации группы портов (здесь в логе группа это порты 9241-9255) с любым количеством более 1 порта, тест фаеволла не проходит корректно, при пробросе каждого порта по одному (все до 9241) с теми же параметрами, все всегда ок. Это уже давно, с прошивки 2,08 точно(сейчас уже Версия ПО 2.13.B)

Эта проблема с keenetic уже поднималась не раз и другими и я звонил в тех поддержку, ничего не изменилось. Даже стало хуже! С новым веб интерфейсом(особое "спасибо" за него) проброс портов настраивается при наличии множества строк очень медленно, часто падает и результаты его работы  часто непредсказуемы и зависят от места его настройки в меню и регистрации устройства.
из лога теста файерволла:
testing port 9238... done
testing port 9239.. done
testing port 9240... done
testing port 9241... Mapping does not match 9241. Mapping is 40878. (How to resolve?)
testing port 9242... Mapping does not match 9242. Mapping is 40879. (How to resolve?)
 testing port 9243... Mapping does not match 9243. Mapping is 40880. (How to resolve?)
testing port 9244... Mapping does not match 9244. Mapping is 40881. (How to resolve?)
testing port 9245... Mapping does not match 9245. Mapping is 40882. (How to resolve?)
testing port 9246... Mapping does not match 9246. Mapping is 40883. (How to resolve?)
testing port 9247... Mapping does not match 9247. Mapping is 40884. (How to resolve?)
testing port 9248... Mapping does not match 9248. Mapping is 40885. (How to resolve?)
testing port 9249... Mapping does not match 9249. Mapping is 40886. (How to resolve?)
testing port 9250... Mapping does not match 9250. Mapping is 40887. (How to resolve?)
testing port 9251... Mapping does not match 9251. Mapping is 40888. (How to resolve?)
testing port 9252... Mapping does not match 9252. Mapping is 40889. (How to resolve?)
testing port 9253... Mapping does not match 9253. Mapping is 40890. (How to resolve?)
testing port 9254... Mapping does not match 9254. Mapping is 40891. (How to resolve?)
testing port 9255... Mapping does not match 9255. Mapping is 40892. (How to resolve?)

Делал захват трафика порты не тестируются через stun

На других роутерах такого не наблюдаю

Мне в новой версии надо пробросить для RTP 3CX порты с 9000 по 11000, я не смогу 2000 строк руками прописать, а новый интерфейс не сможет с ними работать.

Попробуйте сами пробросить группу портов(несколько групп) и потестировать работу этого

Пожалуйста, обратитесь в официальную техподдержку.

Share this post


Link to post
Share on other sites
  • 0

А я все никак не могу IP АТС запустить, а тут вот что оказывается. Не ожидал такого от кинетиков.

Edited by В.В.

Share this post


Link to post
Share on other sites
  • 0

Есть из той же серии, если прописать проброс очень большого количества портов с большим количеством записей, новый интерфейс может начать тормозить до неадекватности.

При этом новая возможность прописывания проброса портов в разных местах может давать разный результат! 

Edited by 160r

Share this post


Link to post
Share on other sites
  • 0
В 18.09.2018 в 17:43, Le ecureuil сказал:

Пожалуйста, обратитесь в официальную техподдержку.

там был послан подальше делать невнятные манипуляции.

 

Скрытый текст

 

 

Цитата

 

Vladimir Urusov (Keenetic) 

10 сент., 17:49 MSK 

Я в третий раз спрашиваю про команду. Не просто так. Вы можете ответить? В дампе я не вижу запросы на порты указанные в ipatatic. 
Сохраните конфиг и дальше скиньте роутер на заводские установки, настройте только подключение к провайдеру дайте команду которую я ранее написал и выполните проброс проброс портов на атс с проверкой. После пришлите результат проверки(лого атс), self-test, и дампы пакетов с двух интерфейсов захваченных одновременно, Home и ISP

 

 

 

 

К сожалению пришлось отказаться от большого количества ни в чем кроме новой прошивки не повинного железа, которое мне раньше нравилось. 

Интересно когда это исправление попадет в релизы?

Edited by 160r

Share this post


Link to post
Share on other sites
  • 0
33 минуты назад, 160r сказал:

К сожалению пришлось отказаться от большого количества ни в чем кроме новой прошивки не повинного железа, которое мне раньше нравилось. 

А может стоило вернуться на версию прошивки, когда таких проблем не было и подождать исправлений прошивки, вместо того чтобы отказываться от железа?

Share this post


Link to post
Share on other sites
  • 0
1 час назад, Fandor сказал:

А может стоило вернуться на версию прошивки, когда таких проблем не было и подождать исправлений прошивки, вместо того чтобы отказываться от железа?

Поздно, ждать можно и до окончания поддержки роутера. Я ждал что этот глюк заметят года потора точно. (неоднократно пытал поддержку) Но теперь прописывать руками как раньше уже тысячу строк портов это не то что я могу. Не всегда понятно с какой прошивкой тот или иной косяк пришел.  А в старых прошивках уже немало всем известных уязвимостей.

Edited by 160r

Share this post


Link to post
Share on other sites
  • 0
11 час назад, 160r сказал:

Поздно, ждать можно и до окончания поддержки роутера.

Очень жаль что у вас сложилось такое негативное мнение. :(

Share this post


Link to post
Share on other sites
  • 0
1 час назад, Fandor сказал:

Очень жаль что у вас сложилось такое негативное мнение. :(

Я вот вообще не понял, что тут за "невнятные манипуляции". Конкретные шаги. Тем более для таких аватарок :27_sunglasses:

Share this post


Link to post
Share on other sites
  • 0

Манипуляции мне эти не нужны от слова совсем, результат совершенно легко повторяемый, а я не просто свой личный домашний роутер настраиваю, они на работающих системах стояли и за них деньги были заплачены, чтоб они работали адекватно.

Share this post


Link to post
Share on other sites
  • 0
24 минуты назад, 160r сказал:

я не просто свой личный домашний роутер настраиваю, они на работающих системах стояли и за них деньги были заплачены, чтоб они работали адекватно.

Вообще-то роутеры эти позиционирутся как сегмент SOHO. Думаю расшифровку вы знаете что это за сегмент.
Экономия иногда боком выходит.

Share this post


Link to post
Share on other sites
  • 0

Да я возможно неправ был, что воткнул симпатичный мне keenetic в рабочую систему в место, где практически от него ничего не требовалось особо. Хотелось чтобы он был отдельной от большого роутера железкой. 

Я пострадал за это, и искупил полной заменой везде на mikrotik, который мне не нравился много чем. (не внятной индикацией, не надежным блоком питания, дырами, непредсказуемостью и не возможностью автообновлений)

И тогда какая логика поддержки, которая с меня как бы клиента SOHO требует зачем то работы за себя на моем же оборудовании, в ситуации где проверить мои слова занимает минуту от силы? Зачем тогда тех.поддержка? 

По теме, я просил, но ни кто не проверял как поведет себя новый интерфейс если прописать несколько сот(тысячу) пробросов. ( Плохо ему будет, я знаю :- ) А в старом работало!

Любые предложения и просьбы, как я убедился могут игнорироваться, например нам говорили и говорят - у нас самые надежные роутеры и перезагрузка по расписанию вам не нужна. А она нужна!

Кстати, где новом интерфейсе установить сервер NTP? Кроме как прописать в конфиге руками?

Edited by 160r

Share this post


Link to post
Share on other sites
  • 0
В 23.11.2018 в 10:09, yuoras сказал:

Поддерживаю

Как насчет большого количества пробросов и работы нового интерфейса? Может надо отдельную тему?

Share this post


Link to post
Share on other sites
  • 0
В 25.11.2018 в 02:22, 160r сказал:

Как насчет большого количества пробросов и работы нового интерфейса? Может надо отдельную тему?

А в 2.14 сохраняется проблема?

Share this post


Link to post
Share on other sites
  • 0
8 часов назад, Le ecureuil сказал:

А в 2.14 сохраняется проблема?

В той версии, которой я проверял, была. Совсем свежие версии попробовать пока не смогу, практически все роутеры c пробросом заменил. Ведь не долго же и без меня набить руками проброс пары сотен любых портов подряд, например в текстовый конфиг по умолчанию руками вставить и сразу попробовать, заодно и диагностику будет легче снимать.

Edited by 160r

Share this post


Link to post
Share on other sites
  • 0
Цитата

В той версии, которой я проверял, была. Совсем свежие версии попробовать пока не смогу, практически все роутеры c пробросом заменил. Ведь не долго же и без меня набить руками проброс пары сотен любых портов подряд, например в текстовый конфиг по умолчанию руками вставить и сразу попробовать, заодно и диагностику будет легче снимать.

также использую 3СХ через Keenetic. Озвученную проблему с портами подтверждаю.

Но есть одно но. При групповом пробросе портов (а последнее время и при одиночном) тест из 3CX не проходит, но это никак не влияет на работу станции.

Да, примерно до версии 2.8 тест проходил, потом перестал, а станции как работали (у меня их две и обе через Ultra II), так и работают.

Вот пример из моего теста

  • testing 3CX SIP Server... failed (How to resolve?)
    • stopping service... done
    • detecting SIP ALG... not detected
    • testing port 5060... Mapping does not match 5060. Mapping is 35000. (How to resolve?)
    • starting service... done
  • testing 3CX Tunneling Proxy... failed (How to resolve?)
    • stopping service... done
    • testing port 5090... Mapping does not match 5090. Mapping is 42294. (How to resolve?)
    • starting service... done
  • testing 3CX Media Server... failed (How to resolve?)
    • stopping service... done
    • testing ports [9000..9398]... failed (How to resolve?)
      • testing port 9000... Mapping does not match 9000. Mapping is 42295. (How to resolve?)
      • testing port 9002... Mapping does not match 9002. Mapping is 42296. (How to resolve?)
      • testing port 9004... Mapping does not match 9004. Mapping is 42297. (How to resolve?)

При этом никаких проблем со связью нет. 

Так что зря железо меняли.

Я тоже не дождусь исправления, уж больно ошибки глаза мозолят...

Edited by paurus

Share this post


Link to post
Share on other sites
  • 0
В 30.11.2018 в 22:50, paurus сказал:

также использую 3СХ через Keenetic. Озвученную проблему с портами подтверждаю.

При этом никаких проблем со связью нет. 

Так что зря железо меняли.

Я тоже не дождусь исправления, уж больно ошибки глаза мозолят...

Да конечно разработчики 3CX просто так доп. порты запросили. :-)

У Вас в некоторых соединениях при большом количестве одновременных разговоров будет односторонняя слышимость, если есть много внешних расширений снаружи. Но возможно у Вас удачная ситуация просто.

Это не сюда писать надо.

Edited by 160r

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now

  • Recently Browsing   0 members

    No registered users viewing this page.

×