Доброго дня.
Мне в наследство (и в головную боль) досталось пол сотни Cisco 7911.
Есть сервак на Asterisk, работает не первый год все тип-топ. * находится за натом с честным айпишником.
Поднял tftp, прошил циски на sip, залил конфиги, руссифицировал. Так эти бяки никак не хотят соединятся с астериском. Игрался с параметрами ната в конфигах циски результата не принесло. Tcpdump'om на роутере смотрел пакеты от телефона - аппарат отправляет (с порта ххххх на 5060) и астериск отвечает ему (с порта 5060 на ххххх) вот только порт ххххх телефон не слушает, а ждет ответа на 5060.

Повесил аппарат на один свич с астериском и дал ему честный ип - все пучком, регистрация проходит на ура.

Товарищи предлагают на роутере промапить адрес до телефона, но в моем случае это не вариант, т.к. телефонов много.

Комрады, подскажите как застависть цискофоны работать по SIP за Nat'ом???

Направление верное, но не доигрался. В конфигах телефонов однозначно надо NAT = on и nat_ip = ваш реальный публичный адрес, через который они выходят в мир.

6apa6ac:

вот только порт ххххх телефон не слушает, а ждет ответа на 5060.

Не совсем так.
Всё зависит от НАТообразующего устройства. Которые работают не однозначно.
Самый правильный НАТ для устройств за ним на внутренних ИП адресах при регистрации строит трансляции через верхние порты:

*CLI> sip show peers
Name/username Host Dyn Nat ACL Port Status

728/728 10.233.248.3 D N A 24713 OK (108 ms)
727/727 10.198.39.228 D A 5060 Unmonitored
724/724 10.233.248.3 D N A 16681 Unmonitored
723 (Unspecified) D 0 Unmonitored
722/722 10.198.39.229 D A 5060 Unmonitored
721/721 10.198.39.227 D A 5060 OK (105 ms)

В этом примере видно, что телефоны 724 и 728 находятся за НАТ, и транслируются наружу через 10.233.248.3 занимая порты 16681 и 24713 соответственно. И совершенно не важно, с какого порта они посылают запрос на регистрацию, и на каком порте слушают ответ. Потому что это учитывается при построении трансляции через НАТ.
Не все устройства НАТ так хорошо себя ведут, многие стараются строить симметричный НАТ, типа, с внутреннего 5060 пришёл - через тот же 5060 наружный трансоировал. Не годится для SIP.

Но самая простая схема - border media gateway: поставить вторую карту серверу Астериск с внутренним ИП адресом, на который регистрировать телефоны, без НАТа.

оО ответил светила мысли ded ;)

ded:

6apa6ac:

Игрался с параметрами ната в конфигах циски результата не принесло. Tcpdump'om на роутере смотрел пакеты от телефона - аппарат отправляет (с порта ххххх на 5060) и астериск отвечает ему (с порта 5060 на ххххх)

Направление верное, но не доигрался. В конфигах телефонов однозначно надо NAT = on и nat_ip = ваш реальный публичный адрес, через который они выходят в мир.

И так пробывал - не прокатило =(

Мысль воткнуть сетевуху возникала, но принципиально неправильной мне показалась. Допустим я захочу отдать цисковон в какой нидь филиал или взять домой...

Чисто тереотически могут ли цисковоны работать за натом? Есть ли какое-то универсальное решение для ната, т.е. чтобы не обрабатывать его (нат) напильником (провайдера я же не попрошу что-то у себя менять)?

1. у всех работают
2. как только нат станет универсальным, так сразу и будет универсальное решение

Что-то я совсем запутался....
Как правильно сделать? Мапить порты?
У меня на роутере ipfw. Что с ним делать?

Чисто тереотически и практически цисковоны работают за натом. Но public IP не должен быть динамическим. Поэтому: дома - как правило нет.
Изучите теорию НАТ
И что такое nat traversal к примеру, и что такое STUN сервис, которого у цисковонов нет и не знаю, будет ли вообще!

svoy:

6apa6ac:

Есть ли какое-то универсальное решение для ната, т.е. чтобы не обрабатывать его (нат) напильником (провайдера я же не попрошу что-то у себя менять)?

...
2. как только нат станет универсальным, так сразу и будет универсальное решение

Это к-клёво! Даёшь универсальный НАТ! и универсальный роутинг!
Ибо нефиг.