Господа, поясните в 2-х словах: а в чем именно проблема прохождения H323 через nat ? Все что я нахожу в гугле - подсказки "как пропихнуть", указания на патчи к ядру, а почему он "не проходит" - не могу найти.

До настройки * я еще не дошел, начал "на собачках"... Короче, "прописали" меня в конторской АТС. Я из дома пытаюсь додолбиться gnomemeeting'ом. Но все несколько хитрее, ибо на пути - целых 2 nat'а. Моя настольная тачка -> мой роутер с nat -> туннель -> конторский роутер с nat -> АТС . Первый нат - чтоб мои домашние машинки наружу выпускать, второй нат - чтобы мои пакеты во внутренней сети конторы имели адрес исходящих с роутера (ибо часть конторской сети, в том числе и АТС, не в моем хозяйстве, и править там маршрутизацию я не могу)

И вот, картина (смотрю ethereal'ом) : я пытаюсь делать звонок : устанавливается tcp-соединение на 1720 порт, проходит 15 или 17 пакетов, gnomemeeting пишет что-то типа "remote cleared the call", и все на этом. Никаких udp-пакетов не возникает. Т.е. о чем-то они поговорили, и решили друг с другом не общаться... Чем можно заглянуть внутрь этого протокола - я не знаю, мыслей никаких.

В обратную сторону: я сделал проброс 1720го порта с конторского роутера на тачку где gnomemeeting, и когда мне из конторы звонят - я звонок слышу. При попытке ответить - то же самое - "remote cleared the call"

Куда копать?

Проблема в том, что в отличие от IAX2 протокола H323 протокол содержит "внутри себя" IP адреса связанных сторон. NAT подменяет IP, и другая сторона получает пакеты непонятно (ей) от кого. Для Linux есть H323 модуль для netfilter. После его подгрузки сетевой стек начинает подменять не только заголовки самого низкого IP уровня, а лезет выше и подменяет адреса на уровне H323 сессии. Это требует доп. ресурсов и может не работать с различными H323 устройствами.

Создатели IAX2 протокола решили, что информация об IP является избыточной. Поэтому в IAX2 проблем с NAT в теории быть не может. Используйте IAX2 протокол. :)

Спасибо, понял.
Нет, мне надо будет именно H323 побороть, т.к. хочу подключиться к "железной" АТСке, чтоб из дома звонить на внутренние номера лавки.
Хотя, если я в конторе * поставлю на какой-нибудь стервак - возможно так будет даже смешней... Спасибо за идею! :)

IAX2 протокол использует для передачи сигнальной информации и голосовых данных единый канал, смешивая/разделяя их по мере отправки/получения (мультиплексинг). Это имеет как свои преимущества, так и недостатки. Для Вас, если вы установите в офисе второй * ящик, решатся проблемы безопасного подключения к АТС из дома. Все что надо сделать, это "пробросить" на брэндмауре единственный UDP порт (по умолчанию 4569), при это кол-во "пробросов" и пр. манипуляций с IP заголовками (туннели, например), значения не имеют.

iptables -t nat -I PREROUTING -d "$real_gw_ip" -p udp --dport 4569 -j DNAT --to "$internal_asterisk_ip"

;)