После установки freepbx не работают внутренние звонки

Раньше имел опыт только с голым Asterisk. Установил freepbx 13 на виртуальную машину. Всё казалось бы хорошо: добавил внутренние номера в вебморде, подключил их на софтофоне Zoiper, но звонки внутренние банально с 101 на 102 не проходят "503 Service Unavailable".
Еще выдает в дебаге: <--- Transmitting (NAT) to 192.168.56.10:6060 ---> SIP/2.0 401 Unauthorized Via: SIP/2.0/UDP 192.168.56.10:6060;branch=z9hG4bK-524287-1---831cc8200eb6e911;received=192.168.56.10;rport=6060 From: <sip:101@192.168.56.0;transport=udp>;tag=ed4cfc6f To: <sip:101@192.168.56.0;transport=udp>;tag=as3a937c87 Call-ID: zrU3eE7FO6le1w2ZAmmrDA.. CSeq: 1 SUBSCRIBE Server: FPBX-13.0.123(13.9.1) Allow: INVITE, ACK, CANCEL, OPTIONS, BYE, REFER, SUBSCRIBE, NOTIFY, INFO, PUBLISH, MESSAGE Supported: replaces, timer WWW-Authenticate: Digest algorithm=MD5, realm="asterisk", nonce="2ae4f38c" Content-Length: 0

<--- Transmitting (NAT) to 192.168.56.10:6060 ---> SIP/2.0 489 Bad Event Via: SIP/2.0/UDP 192.168.56.10:6060;branch=z9hG4bK-524287-1---5b099ce21741874f;received=192.168.56.10;rport=6060 From: <sip:101@192.168.56.0;transport=udp>;tag=c4310605 To: <sip:101@192.168.56.0;transport=udp>;tag=as68ae4e33 Call-ID: OSAocYSwVrTcBJNoWuiqHw.. CSeq: 2 SUBSCRIBE Server: FPBX-13.0.123(13.9.1) Allow: INVITE, ACK, CANCEL, OPTIONS, BYE, REFER, SUBSCRIBE, NOTIFY, INFO, PUBLISH, MESSAGE Supported: replaces, timer Content-Length: 0

Порты открыты iptables: #!/bin/bash # #Объявление переменных export IPT="iptables" export LAN1="enp0s3" export LAN1IPRANGE="10.0.2.15/24" export WAN="enp0s8" export WAN_IP="192.168.0.0/16"

Очистка всех цепочек iptables

$IPT -F $IPT -F -t nat $IPT -F -t mangle $IPT -X $IPT -t nat -X $IPT -t mangle -X

Установим политики по умолчанию для трафика, не соответствующего ни одному из правил

$IPT -P INPUT DROP $IPT -P OUTPUT DROP $IPT -P FORWARD DROP

разрешаем локальный траффик для loopback

$IPT -A INPUT -i lo -j ACCEPT $IPT -A OUTPUT -o lo -j ACCEPT $IPT -A INPUT -i lo -j ACCEPT $IPT -A INPUT -i $LAN1 -j ACCEPT $IPT -A OUTPUT -o lo -j ACCEPT $IPT -A OUTPUT -o $LAN1 -j ACCEPT

Разрешаем исходящие соединения самого сервера

$IPT -A OUTPUT -o $WAN -j ACCEPT $IPT -A OUTPUT -o $LAN1 -j ACCEPT

Состояние ESTABLISHED говорит о том, что это не первый пакет в соединении.

Пропускать все уже инициированные соединения, а также дочерние от них

$IPT -A INPUT -p all -m state --state ESTABLISHED,RELATED -j ACCEPT

Пропускать новые, а так же уже инициированные и их дочерние соединения

$IPT -A OUTPUT -p all -m state --state ESTABLISHED,RELATED -j ACCEPT

Разрешить форвардинг для уже инициированных и их дочерних соединений

$IPT -A FORWARD -p all -m state --state ESTABLISHED,RELATED -j ACCEPT

Включаем фрагментацию пакетов. Необходимо из за разных значений MTU

$IPT -I FORWARD -p tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu

Отбрасывать все пакеты, которые не могут быть идентифицированы

и поэтому не могут иметь определенного статуса.

#$IPT -A INPUT -m state --state INVALID -j DROP #$IPT -A FORWARD -m state --state INVALID -j DROP

Приводит к связыванию системных ресурсов, так что реальный

обмен данными становится не возможным, обрубаем

#$IPT -A INPUT -p tcp ! --syn -m state --state NEW -j DROP #$IPT -A OUTPUT -p tcp ! --syn -m state --state NEW -j DROP #Блокировать нулевые пакеты #$IPT -A INPUT -p tcp --tcp-flags ALL NONE -j DROP #Блокировать syn-flood атаки $IPT -A INPUT -p tcp ! --syn -m state --state NEW -j DROP $IPT -A OUTPUT -p tcp ! --syn -m state --state NEW -j DROP #Доступ в локальную сеть $IPT -t filter -A INPUT -i $WAN -s $WANIP -j ACCEPT $IPT -t filter -A OUTPUT -o $WAN -d $WANIP -j ACCEPT #$IPT -A FORWARD -i $LAN1 -o $WAN -j ACCEPT #$IPT -A FORWARD -i $WAN -o $LAN1 -j REJECT #$IPT -t nat -A POSTROUTING -o $WAN -s $LAN1IPRANGE -j MASQUERADE

Открываем порт для ssh

$IPT -A INPUT -i $WAN -p tcp --dport 22588 -j ACCEPT

Открываем порт для DNS

$IPT -A INPUT -i $WAN -p udp --dport 53 -j ACCEPT

Открываем порт для NTP

$IPT -A INPUT -i $WAN -p udp --dport 123 -j ACCEPT

#Доступ локальным $IPT -t filter -N asterisk #$IPT -t filter -A asterisk -s 192.168.20.0/24 -j ACCEPT $IPT -t filter -A asterisk -s $WAN_IP -j ACCEPT #$IPT -t filter -A asterisk -s 192.168.56.0/24 -j ACCEPT

Открываем порты для Asterisk

$IPT -t filter -i $WAN -s $WANIP -A INPUT -p tcp -m tcp --dport 80 -j ACCEPT $IPT -t filter -i $WAN -s $WANIP -A INPUT -p udp -m udp --dport 5060 -j ACCEPT $IPT -t filter -i $WAN -s $WANIP -A INPUT -p udp -m udp --dport 5061 -j ACCEPT $IPT -t filter -i $WAN -s $WANIP -A INPUT -p tcp -m tcp --dport 5060 -j ACCEPT $IPT -t filter -i $WAN -s $WANIP -A INPUT -p tcp -m tcp --dport 5061 -j ACCEPT $IPT -t filter -i $WAN -s $WANIP -A INPUT -p udp -m udp --dport 4569 -j ACCEPT $IPT -t filter -i $WAN -s $WANIP -A INPUT -p udp -m udp --dport 5038 -j ACCEPT $IPT -t filter -i $WAN -s $WANIP -A INPUT -p tcp -m tcp --dport 5038 -j ACCEPT $IPT -t filter -i $WAN -s $WANIP -A INPUT -p udp -m udp --dport 6060 -j ACCEPT $IPT -t filter -i $WAN -s $WANIP -A INPUT -p tcp -m tcp --dport 6060 -j ACCEPT $IPT -t filter -i $WAN -s $WAN_IP -A INPUT -p udp -m udp --dport 10000:20000 -j ACCEPT

Открываем ICMP

$IPT -A INPUT -p icmp --icmp-type echo-reply -j ACCEPT $IPT -A INPUT -p icmp --icmp-type destination-unreachable -j ACCEPT $IPT -A INPUT -p icmp --icmp-type time-exceeded -j ACCEPT $IPT -A INPUT -p icmp --icmp-type echo-request -j ACCEPT

Логирование

Все что не разрешено, но ломится отправим в цепочку undef

$IPT -N undefin $IPT -N undefout $IPT -N undeffw $IPT -A INPUT -j undefin $IPT -A OUTPUT -j undefout $IPT -A FORWARD -j undeffw

Логируем все из undef

$IPT -A undefin -j LOG --log-level info --log-prefix "-- IN -- DROP " $IPT -A undefin -j DROP $IPT -A undefout -j LOG --log-level info --log-prefix "-- OUT -- DROP " $IPT -A undefout -j DROP $IPT -A undeffw -j LOG --log-level info --log-prefix "-- FW -- DROP " $IPT -A undeffw -j DROP

Записываем правила

/sbin/iptables-save > /etc/sysconfig/iptables

Что не так? кто подскажет? внутренние же должны в freepbx работать с коробки? ничего допиливать не нужно?

После установки freepbx не работают внутренние звонки

Раньше имел опыт только с голым Asterisk. Установил freepbx 13 на виртуальную машину. Всё казалось бы хорошо: добавил внутренние номера в вебморде, подключил их на софтофоне Zoiper, но звонки внутренние банально с 101 на 102 не проходят "503 Service Unavailable".
Еще выдает в дебаге: <--- Transmitting (NAT) to 192.168.56.10:6060 ---> SIP/2.0 401 Unauthorized Via: SIP/2.0/UDP 192.168.56.10:6060;branch=z9hG4bK-524287-1---831cc8200eb6e911;received=192.168.56.10;rport=6060 From: <sip:101@192.168.56.0;transport=udp>;tag=ed4cfc6f To: <sip:101@192.168.56.0;transport=udp>;tag=as3a937c87 Call-ID: zrU3eE7FO6le1w2ZAmmrDA.. CSeq: 1 SUBSCRIBE Server: FPBX-13.0.123(13.9.1) Allow: INVITE, ACK, CANCEL, OPTIONS, BYE, REFER, SUBSCRIBE, NOTIFY, INFO, PUBLISH, MESSAGE Supported: replaces, timer WWW-Authenticate: Digest algorithm=MD5, realm="asterisk", nonce="2ae4f38c" Content-Length: 0

<--- Transmitting (NAT) to 192.168.56.10:6060 ---> SIP/2.0 489 Bad Event Via: SIP/2.0/UDP 192.168.56.10:6060;branch=z9hG4bK-524287-1---5b099ce21741874f;received=192.168.56.10;rport=6060 From: <sip:101@192.168.56.0;transport=udp>;tag=c4310605 To: <sip:101@192.168.56.0;transport=udp>;tag=as68ae4e33 Call-ID: OSAocYSwVrTcBJNoWuiqHw.. CSeq: 2 SUBSCRIBE Server: FPBX-13.0.123(13.9.1) Allow: INVITE, ACK, CANCEL, OPTIONS, BYE, REFER, SUBSCRIBE, NOTIFY, INFO, PUBLISH, MESSAGE Supported: replaces, timer Content-Length: 0

Порты открыты ~~iptables:~~ iptables:

#!/bin/bash
#
#Объявление переменных
export IPT="iptables"
export LAN1="enp0s3"
export LAN1IPRANGE="10.0.2.15/24"
LAN1_IP_RANGE="10.0.2.15/24"
export WAN="enp0s8"
export WAN_IP="192.168.0.0/16"
 WAN_IP="192.168.0.0/16"

# Очистка всех цепочек iptables
 iptables
$IPT -F
$IPT -F -t nat
$IPT -F -t mangle
$IPT -X
$IPT -t nat -X
$IPT -t mangle -X
 -X

# Установим политики по умолчанию для трафика, не соответствующего ни одному из правил
 правил
$IPT -P INPUT DROP
$IPT -P OUTPUT DROP
$IPT -P FORWARD DROP
 DROP

# разрешаем локальный траффик для loopback
 loopback
$IPT -A INPUT -i lo -j ACCEPT
$IPT -A OUTPUT -o lo -j ACCEPT
$IPT -A INPUT -i lo -j ACCEPT
$IPT -A INPUT -i $LAN1 -j ACCEPT
$IPT -A OUTPUT -o lo -j ACCEPT
$IPT -A OUTPUT -o $LAN1 -j ACCEPT
 ACCEPT

# Разрешаем исходящие соединения самого сервера
 сервера
$IPT -A OUTPUT -o $WAN -j ACCEPT
$IPT -A OUTPUT -o $LAN1 -j ACCEPT
 ACCEPT
# Состояние ESTABLISHED говорит о том, что это не первый пакет в соединении.
 соединении.
# Пропускать все уже инициированные соединения, а также дочерние от них
 них
$IPT -A INPUT -p all -m state --state ESTABLISHED,RELATED -j ACCEPT
 ACCEPT
# Пропускать новые, а так же уже инициированные и их дочерние соединения
 соединения
$IPT -A OUTPUT -p all -m state --state ESTABLISHED,RELATED -j ACCEPT
 ACCEPT
# Разрешить форвардинг для уже инициированных и их дочерних соединений
 соединений
$IPT -A FORWARD -p all -m state --state ESTABLISHED,RELATED -j ACCEPT
 ACCEPT

# Включаем фрагментацию пакетов. Необходимо из за разных значений MTU
 MTU
$IPT -I FORWARD -p tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu
 --clamp-mss-to-pmtu

# Отбрасывать все пакеты, которые не могут быть идентифицированы
 идентифицированы
# и поэтому не могут иметь определенного статуса.
 статуса.
#$IPT -A INPUT -m state --state INVALID -j DROP
#$IPT -A FORWARD -m state --state INVALID -j DROP
 DROP

# Приводит к связыванию системных ресурсов, так что реальный
 реальный
# обмен данными становится не возможным, обрубаем
 обрубаем
#$IPT -A INPUT -p tcp ! --syn -m state --state NEW -j DROP
#$IPT -A OUTPUT -p tcp ! --syn -m state --state NEW -j DROP
#Блокировать нулевые пакеты
#$IPT -A INPUT -p tcp --tcp-flags ALL NONE -j DROP
#Блокировать syn-flood атаки
$IPT -A INPUT -p tcp ! --syn -m state --state NEW -j DROP
$IPT -A OUTPUT -p tcp ! --syn -m state --state NEW -j DROP
#Доступ в локальную сеть
$IPT -t filter -A INPUT -i $WAN -s $WANIP $WAN_IP -j ACCEPT
$IPT -t filter -A OUTPUT -o $WAN -d $WANIP $WAN_IP -j ACCEPT
#$IPT -A FORWARD -i $LAN1 -o $WAN -j ACCEPT
#$IPT -A FORWARD -i $WAN -o $LAN1 -j REJECT
#$IPT -t nat -A POSTROUTING -o $WAN -s $LAN1IPRANGE -j MASQUERADE
 $LAN1_IP_RANGE -j MASQUERADE

# Открываем порт для ssh
 ssh
$IPT -A INPUT -i $WAN -p tcp --dport 22588 -j ACCEPT
 ACCEPT
# Открываем порт для DNS
 DNS
$IPT -A INPUT -i $WAN -p udp --dport 53 -j ACCEPT
 ACCEPT
# Открываем порт для NTP
 NTP
$IPT -A INPUT -i $WAN -p udp --dport 123 -j ACCEPT
 ACCEPT

#Доступ локальным
$IPT -t filter -N asterisk
#$IPT -t filter -A asterisk -s 192.168.20.0/24 -j ACCEPT
$IPT -t filter  -A asterisk -s $WAN_IP -j ACCEPT
#$IPT -t filter -A asterisk -s 192.168.56.0/24 -j ACCEPT
 ACCEPT

# Открываем порты для Asterisk
 $IPT -t filter -i $WAN -s $WANIP Asterisk
$IPT -t filter -i $WAN -s $WAN_IP -A INPUT -p tcp -m tcp --dport 80 -j ACCEPT
$IPT -t filter -i $WAN -s $WANIP $WAN_IP -A INPUT -p udp -m udp --dport 5060 -j ACCEPT
$IPT -t filter -i $WAN -s $WANIP $WAN_IP -A INPUT -p udp -m udp --dport 5061 -j ACCEPT
$IPT -t filter -i $WAN -s $WANIP $WAN_IP -A INPUT -p tcp -m tcp --dport 5060 -j ACCEPT
$IPT -t filter -i $WAN -s $WANIP $WAN_IP -A INPUT -p tcp -m tcp --dport 5061 -j ACCEPT
$IPT -t filter -i $WAN -s $WANIP $WAN_IP -A INPUT -p udp -m udp --dport 4569 -j ACCEPT
$IPT -t filter -i $WAN -s $WANIP $WAN_IP -A INPUT -p udp -m udp --dport 5038 -j ACCEPT
$IPT -t filter -i $WAN -s $WANIP $WAN_IP -A INPUT -p tcp -m tcp --dport 5038 -j ACCEPT
$IPT -t filter -i $WAN -s $WANIP $WAN_IP -A INPUT -p udp -m udp --dport 6060 -j ACCEPT
$IPT -t filter -i $WAN -s $WANIP $WAN_IP -A INPUT -p tcp -m tcp --dport 6060 -j ACCEPT
$IPT -t filter -i $WAN -s $WAN_IP -A INPUT -p udp -m udp --dport 10000:20000 -j ACCEPT
 ACCEPT

# Открываем ICMP
 ICMP
$IPT -A INPUT -p icmp --icmp-type echo-reply -j ACCEPT
$IPT -A INPUT -p icmp --icmp-type destination-unreachable -j ACCEPT
$IPT -A INPUT -p icmp --icmp-type time-exceeded -j ACCEPT
$IPT -A INPUT -p icmp --icmp-type echo-request -j ACCEPT
 Логирование
 ACCEPT
# Логирование
# Все что не разрешено, но ломится отправим в цепочку undef
 undef
$IPT -N undefin
undef_in
$IPT -N undefout
undef_out
$IPT -N undeffw
$IPT -A INPUT -j undefin
undef_fw
$IPT -A INPUT -j undef_in
$IPT -A OUTPUT -j undefout
undef_out
$IPT -A FORWARD -j undeffw
 undef_fw

# Логируем все из undef
 $IPT -A undefin undef
$IPT -A undef_in -j LOG --log-level info --log-prefix "-- IN -- DROP "
$IPT -A undefin -j DROP
$IPT -A undefout undef_in -j DROP
$IPT -A undef_out -j LOG --log-level info --log-prefix "-- OUT -- DROP "
$IPT -A undefout -j DROP
$IPT -A undeffw undef_out -j DROP
$IPT -A undef_fw -j LOG --log-level info --log-prefix "-- FW -- DROP "
$IPT -A undeffw -j DROP
 undef_fw -j DROP

# Записываем правила
 правила
/sbin/iptables-save  > /etc/sysconfig/iptables/etc/sysconfig/iptables

Что не так? кто подскажет? внутренние же должны в freepbx работать с коробки? ничего допиливать не нужно?

После установки freepbx не работают внутренние звонки

Раньше имел опыт только с голым Asterisk. Установил freepbx 13 на виртуальную машину. Всё казалось бы хорошо: добавил внутренние номера в вебморде, подключил их на софтофоне Zoiper, но звонки внутренние банально с 101 на 102 не проходят "503 Service Unavailable".
Еще выдает в ~~дебаге:~~ дебаге:

<--- Transmitting (NAT) to 192.168.56.10:6060 --->
SIP/2.0 401 Unauthorized
Via: SIP/2.0/UDP 192.168.56.10:6060;branch=z9hG4bK-524287-1---831cc8200eb6e911;received=192.168.56.10;rport=6060
From: <sip:101@192.168.56.0;transport=udp>;tag=ed4cfc6f
<sip:101@192.168.56.0;transport=UDP>;tag=ed4cfc6f
To: <sip:101@192.168.56.0;transport=udp>;tag=as3a937c87
<sip:101@192.168.56.0;transport=UDP>;tag=as3a937c87
Call-ID: zrU3eE7FO6le1w2ZAmmrDA..
CSeq: 1 SUBSCRIBE
Server: FPBX-13.0.123(13.9.1)
Allow: INVITE, ACK, CANCEL, OPTIONS, BYE, REFER, SUBSCRIBE, NOTIFY, INFO, PUBLISH, MESSAGE
Supported: replaces, timer
WWW-Authenticate: Digest algorithm=MD5, realm="asterisk", nonce="2ae4f38c"
Content-Length: 0
 0

<--- Transmitting (NAT) to 192.168.56.10:6060 --->
SIP/2.0 489 Bad Event
Via: SIP/2.0/UDP 192.168.56.10:6060;branch=z9hG4bK-524287-1---5b099ce21741874f;received=192.168.56.10;rport=6060
From: <sip:101@192.168.56.0;transport=udp>;tag=c4310605
<sip:101@192.168.56.0;transport=UDP>;tag=c4310605
To: <sip:101@192.168.56.0;transport=udp>;tag=as68ae4e33
<sip:101@192.168.56.0;transport=UDP>;tag=as68ae4e33
Call-ID: OSAocYSwVrTcBJNoWuiqHw..
CSeq: 2 SUBSCRIBE
Server: FPBX-13.0.123(13.9.1)
Allow: INVITE, ACK, CANCEL, OPTIONS, BYE, REFER, SUBSCRIBE, NOTIFY, INFO, PUBLISH, MESSAGE
Supported: replaces, timer
Content-Length: 00

Порты открыты iptables:

#!/bin/bash
#
#Объявление переменных
export IPT="iptables"
export LAN1="enp0s3"
export LAN1_IP_RANGE="10.0.2.15/24"
export WAN="enp0s8"
export WAN_IP="192.168.0.0/16"

# Очистка всех цепочек iptables
$IPT -F
$IPT -F -t nat
$IPT -F -t mangle
$IPT -X
$IPT -t nat -X
$IPT -t mangle -X

# Установим политики по умолчанию для трафика, не соответствующего ни одному из правил
$IPT -P INPUT DROP
$IPT -P OUTPUT DROP
$IPT -P FORWARD DROP

# разрешаем локальный траффик для loopback
$IPT -A INPUT -i lo -j ACCEPT
$IPT -A OUTPUT -o lo -j ACCEPT
$IPT -A INPUT -i lo -j ACCEPT
$IPT -A INPUT -i $LAN1 -j ACCEPT
$IPT -A OUTPUT -o lo -j ACCEPT
$IPT -A OUTPUT -o $LAN1 -j ACCEPT

# Разрешаем исходящие соединения самого сервера
$IPT -A OUTPUT -o $WAN -j ACCEPT
$IPT -A OUTPUT -o $LAN1 -j ACCEPT
# Состояние ESTABLISHED говорит о том, что это не первый пакет в соединении.
# Пропускать все уже инициированные соединения, а также дочерние от них
$IPT -A INPUT -p all -m state --state ESTABLISHED,RELATED -j ACCEPT
# Пропускать новые, а так же уже инициированные и их дочерние соединения
$IPT -A OUTPUT -p all -m state --state ESTABLISHED,RELATED -j ACCEPT
# Разрешить форвардинг для уже инициированных и их дочерних соединений
$IPT -A FORWARD -p all -m state --state ESTABLISHED,RELATED -j ACCEPT

# Включаем фрагментацию пакетов. Необходимо из за разных значений MTU
$IPT -I FORWARD -p tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu

# Отбрасывать все пакеты, которые не могут быть идентифицированы
# и поэтому не могут иметь определенного статуса.
#$IPT -A INPUT -m state --state INVALID -j DROP
#$IPT -A FORWARD -m state --state INVALID -j DROP

# Приводит к связыванию системных ресурсов, так что реальный
# обмен данными становится не возможным, обрубаем
#$IPT -A INPUT -p tcp ! --syn -m state --state NEW -j DROP
#$IPT -A OUTPUT -p tcp ! --syn -m state --state NEW -j DROP
#Блокировать нулевые пакеты
#$IPT -A INPUT -p tcp --tcp-flags ALL NONE -j DROP
#Блокировать syn-flood атаки
$IPT -A INPUT -p tcp ! --syn -m state --state NEW -j DROP
$IPT -A OUTPUT -p tcp ! --syn -m state --state NEW -j DROP
#Доступ в локальную сеть
$IPT -t filter -A INPUT -i $WAN -s $WAN_IP -j ACCEPT
$IPT -t filter -A OUTPUT -o $WAN -d $WAN_IP -j ACCEPT
#$IPT -A FORWARD -i $LAN1 -o $WAN -j ACCEPT
#$IPT -A FORWARD -i $WAN -o $LAN1 -j REJECT
#$IPT -t nat -A POSTROUTING -o $WAN -s $LAN1_IP_RANGE -j MASQUERADE

# Открываем порт для ssh
$IPT -A INPUT -i $WAN -p tcp --dport 22588 -j ACCEPT
# Открываем порт для DNS
$IPT -A INPUT -i $WAN -p udp --dport 53 -j ACCEPT
# Открываем порт для NTP
$IPT -A INPUT -i $WAN -p udp --dport 123 -j ACCEPT

#Доступ локальным
$IPT -t filter -N asterisk
#$IPT -t filter -A asterisk -s 192.168.20.0/24 -j ACCEPT
$IPT -t filter  -A asterisk -s $WAN_IP -j ACCEPT
#$IPT -t filter -A asterisk -s 192.168.56.0/24 -j ACCEPT

# Открываем порты для Asterisk
$IPT -t filter -i $WAN -s $WAN_IP -A INPUT -p tcp -m tcp --dport 80 -j ACCEPT
$IPT -t filter -i $WAN -s $WAN_IP -A INPUT -p udp -m udp --dport 5060 -j ACCEPT
$IPT -t filter -i $WAN -s $WAN_IP -A INPUT -p udp -m udp --dport 5061 -j ACCEPT
$IPT -t filter -i $WAN -s $WAN_IP -A INPUT -p tcp -m tcp --dport 5060 -j ACCEPT
$IPT -t filter -i $WAN -s $WAN_IP -A INPUT -p tcp -m tcp --dport 5061 -j ACCEPT
$IPT -t filter -i $WAN -s $WAN_IP -A INPUT -p udp -m udp --dport 4569 -j ACCEPT
$IPT -t filter -i $WAN -s $WAN_IP -A INPUT -p udp -m udp --dport 5038 -j ACCEPT
$IPT -t filter -i $WAN -s $WAN_IP -A INPUT -p tcp -m tcp --dport 5038 -j ACCEPT
$IPT -t filter -i $WAN -s $WAN_IP -A INPUT -p udp -m udp --dport 6060 -j ACCEPT
$IPT -t filter -i $WAN -s $WAN_IP -A INPUT -p tcp -m tcp --dport 6060 -j ACCEPT
$IPT -t filter -i $WAN -s $WAN_IP -A INPUT -p udp -m udp --dport 10000:20000 -j ACCEPT

# Открываем ICMP
$IPT -A INPUT -p icmp --icmp-type echo-reply -j ACCEPT
$IPT -A INPUT -p icmp --icmp-type destination-unreachable -j ACCEPT
$IPT -A INPUT -p icmp --icmp-type time-exceeded -j ACCEPT
$IPT -A INPUT -p icmp --icmp-type echo-request -j ACCEPT
# Логирование
# Все что не разрешено, но ломится отправим в цепочку undef
$IPT -N undef_in
$IPT -N undef_out
$IPT -N undef_fw
$IPT -A INPUT -j undef_in
$IPT -A OUTPUT -j undef_out
$IPT -A FORWARD -j undef_fw

# Логируем все из undef
$IPT -A undef_in -j LOG --log-level info --log-prefix "-- IN -- DROP "
$IPT -A undef_in -j DROP
$IPT -A undef_out -j LOG --log-level info --log-prefix "-- OUT -- DROP "
$IPT -A undef_out -j DROP
$IPT -A undef_fw -j LOG --log-level info --log-prefix "-- FW -- DROP "
$IPT -A undef_fw -j DROP

# Записываем правила
/sbin/iptables-save  > /etc/sysconfig/iptables

Что не так? кто подскажет? внутренние же должны в freepbx работать с коробки? ничего допиливать не нужно?

После установки freepbx не работают внутренние звонки

Раньше имел опыт только с голым Asterisk. Установил freepbx 13 на виртуальную машину. Всё казалось бы хорошо: добавил внутренние номера в вебморде, подключил их на софтофоне Zoiper, но звонки внутренние банально с 101 на 102 не проходят "503 Service Unavailable".
Еще выдает в дебаге:

<--- Transmitting (NAT) to 192.168.56.10:6060 --->
SIP/2.0 401 Unauthorized
Via: SIP/2.0/UDP 192.168.56.10:6060;branch=z9hG4bK-524287-1---831cc8200eb6e911;received=192.168.56.10;rport=6060
From: <sip:101@192.168.56.0;transport=UDP>;tag=ed4cfc6f
To: <sip:101@192.168.56.0;transport=UDP>;tag=as3a937c87
Call-ID: zrU3eE7FO6le1w2ZAmmrDA..
CSeq: 1 SUBSCRIBE
Server: FPBX-13.0.123(13.9.1)
Allow: INVITE, ACK, CANCEL, OPTIONS, BYE, REFER, SUBSCRIBE, NOTIFY, INFO, PUBLISH, MESSAGE
Supported: replaces, timer
WWW-Authenticate: Digest algorithm=MD5, realm="asterisk", nonce="2ae4f38c"
Content-Length: 0

<--- Transmitting (NAT) to 192.168.56.10:6060 --->
SIP/2.0 489 Bad Event
Via: SIP/2.0/UDP 192.168.56.10:6060;branch=z9hG4bK-524287-1---5b099ce21741874f;received=192.168.56.10;rport=6060
From: <sip:101@192.168.56.0;transport=UDP>;tag=c4310605
To: <sip:101@192.168.56.0;transport=UDP>;tag=as68ae4e33
Call-ID: OSAocYSwVrTcBJNoWuiqHw..
CSeq: 2 SUBSCRIBE
Server: FPBX-13.0.123(13.9.1)
Allow: INVITE, ACK, CANCEL, OPTIONS, BYE, REFER, SUBSCRIBE, NOTIFY, INFO, PUBLISH, MESSAGE
Supported: replaces, timer
Content-Length: 0

Порты открыты iptables:

#!/bin/bash
#
#Объявление переменных
export IPT="iptables"
export LAN1="enp0s3"
export LAN1_IP_RANGE="10.0.2.15/24"
export WAN="enp0s8"
export WAN_IP="192.168.0.0/16"

# Очистка всех цепочек iptables
$IPT -F
$IPT -F -t nat
$IPT -F -t mangle
$IPT -X
$IPT -t nat -X
$IPT -t mangle -X

# Установим политики по умолчанию для трафика, не соответствующего ни одному из правил
$IPT -P INPUT DROP
$IPT -P OUTPUT DROP
$IPT -P FORWARD DROP

# разрешаем локальный траффик для loopback
$IPT -A INPUT -i lo -j ACCEPT
$IPT -A OUTPUT -o lo -j ACCEPT
$IPT -A INPUT -i lo -j ACCEPT
$IPT -A INPUT -i $LAN1 -j ACCEPT
$IPT -A OUTPUT -o lo -j ACCEPT
$IPT -A OUTPUT -o $LAN1 -j ACCEPT

# Разрешаем исходящие соединения самого сервера
$IPT -A OUTPUT -o $WAN -j ACCEPT
$IPT -A OUTPUT -o $LAN1 -j ACCEPT
# Состояние ESTABLISHED говорит о том, что это не первый пакет в соединении.
# Пропускать все уже инициированные соединения, а также дочерние от них
$IPT -A INPUT -p all -m state --state ESTABLISHED,RELATED -j ACCEPT
# Пропускать новые, а так же уже инициированные и их дочерние соединения
$IPT -A OUTPUT -p all -m state --state ESTABLISHED,RELATED -j ACCEPT
# Разрешить форвардинг для уже инициированных и их дочерних соединений
$IPT -A FORWARD -p all -m state --state ESTABLISHED,RELATED -j ACCEPT

# Включаем фрагментацию пакетов. Необходимо из за разных значений MTU
$IPT -I FORWARD -p tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu

# Отбрасывать все пакеты, которые не могут быть идентифицированы
# и поэтому не могут иметь определенного статуса.
#$IPT -A INPUT -m state --state INVALID -j DROP
#$IPT -A FORWARD -m state --state INVALID -j DROP

# Приводит к связыванию системных ресурсов, так что реальный
# обмен данными становится не возможным, обрубаем
#$IPT -A INPUT -p tcp ! --syn -m state --state NEW -j DROP
#$IPT -A OUTPUT -p tcp ! --syn -m state --state NEW -j DROP
#Блокировать нулевые пакеты
#$IPT -A INPUT -p tcp --tcp-flags ALL NONE -j DROP
#Блокировать syn-flood атаки
$IPT -A INPUT -p tcp ! --syn -m state --state NEW -j DROP
$IPT -A OUTPUT -p tcp ! --syn -m state --state NEW -j DROP
#Доступ в локальную сеть
$IPT -t filter -A INPUT -i $WAN -s $WAN_IP -j ACCEPT
$IPT -t filter -A OUTPUT -o $WAN -d $WAN_IP -j ACCEPT
#$IPT -A FORWARD -i $LAN1 -o $WAN -j ACCEPT
#$IPT -A FORWARD -i $WAN -o $LAN1 -j REJECT
#$IPT -t nat -A POSTROUTING -o $WAN -s $LAN1_IP_RANGE -j MASQUERADE

# Открываем порт для ssh
$IPT -A INPUT -i $WAN -p tcp --dport 22588 -j ACCEPT
# Открываем порт для DNS
$IPT -A INPUT -i $WAN -p udp --dport 53 -j ACCEPT
# Открываем порт для NTP
$IPT -A INPUT -i $WAN -p udp --dport 123 -j ACCEPT

#Доступ локальным
$IPT -t filter -N asterisk
#$IPT -t filter -A asterisk -s 192.168.20.0/24 -j ACCEPT
$IPT -t filter  -A asterisk -s $WAN_IP -j ACCEPT
#$IPT -t filter -A asterisk -s 192.168.56.0/24 -j ACCEPT

# Открываем порты для Asterisk
$IPT -t filter -i $WAN -s $WAN_IP -A INPUT -p tcp -m tcp --dport 80 -j ACCEPT
$IPT -t filter -i $WAN -s $WAN_IP -A INPUT -p udp -m udp --dport 5060 -j ACCEPT
$IPT -t filter -i $WAN -s $WAN_IP -A INPUT -p udp -m udp --dport 5061 -j ACCEPT
$IPT -t filter -i $WAN -s $WAN_IP -A INPUT -p tcp -m tcp --dport 5060 -j ACCEPT
$IPT -t filter -i $WAN -s $WAN_IP -A INPUT -p tcp -m tcp --dport 5061 -j ACCEPT
$IPT -t filter -i $WAN -s $WAN_IP -A INPUT -p udp -m udp --dport 4569 -j ACCEPT
$IPT -t filter -i $WAN -s $WAN_IP -A INPUT -p udp -m udp --dport 5038 -j ACCEPT
$IPT -t filter -i $WAN -s $WAN_IP -A INPUT -p tcp -m tcp --dport 5038 -j ACCEPT
$IPT -t filter -i $WAN -s $WAN_IP -A INPUT -p udp -m udp --dport 6060 -j ACCEPT
$IPT -t filter -i $WAN -s $WAN_IP -A INPUT -p tcp -m tcp --dport 6060 -j ACCEPT
$IPT -t filter -i $WAN -s $WAN_IP -A INPUT -p udp -m udp --dport 10000:20000 -j ACCEPT

# Открываем ICMP
$IPT -A INPUT -p icmp --icmp-type echo-reply -j ACCEPT
$IPT -A INPUT -p icmp --icmp-type destination-unreachable -j ACCEPT
$IPT -A INPUT -p icmp --icmp-type time-exceeded -j ACCEPT
$IPT -A INPUT -p icmp --icmp-type echo-request -j ACCEPT
# Логирование
# Все что не разрешено, но ломится отправим в цепочку undef
$IPT -N undef_in
$IPT -N undef_out
$IPT -N undef_fw
$IPT -A INPUT -j undef_in
$IPT -A OUTPUT -j undef_out
$IPT -A FORWARD -j undef_fw

# Логируем все из undef
$IPT -A undef_in -j LOG --log-level info --log-prefix "-- IN -- DROP "
$IPT -A undef_in -j DROP
$IPT -A undef_out -j LOG --log-level info --log-prefix "-- OUT -- DROP "
$IPT -A undef_out -j DROP
$IPT -A undef_fw -j LOG --log-level info --log-prefix "-- FW -- DROP "
$IPT -A undef_fw -j DROP

# Записываем правила
/sbin/iptables-save  > /etc/sysconfig/iptables

Что не так? кто подскажет? внутренние же должны в freepbx работать с коробки? ничего допиливать не нужно?

Тема уже человеком (http://asterisk-support.ru/users/3543/gks/) поднималась. ему никто не ответил... (http://asterisk-support.ru/question/61115/freepbx-asterisk-posle-ustanovki-ne-idut-zvonki-na/)

После установки freepbx не работают внутренние звонки

Раньше имел опыт только с голым Asterisk. Установил freepbx 13 на виртуальную машину. Всё казалось бы хорошо: добавил внутренние номера в вебморде, подключил их на софтофоне Zoiper, но звонки внутренние банально с 101 на 102 не проходят "503 Service Unavailable".
Еще выдает в дебаге:

<--- Transmitting (NAT) to 192.168.56.10:6060 --->
SIP/2.0 401 Unauthorized
Via: SIP/2.0/UDP 192.168.56.10:6060;branch=z9hG4bK-524287-1---831cc8200eb6e911;received=192.168.56.10;rport=6060
From: <sip:101@192.168.56.0;transport=UDP>;tag=ed4cfc6f
To: <sip:101@192.168.56.0;transport=UDP>;tag=as3a937c87
Call-ID: zrU3eE7FO6le1w2ZAmmrDA..
CSeq: 1 SUBSCRIBE
Server: FPBX-13.0.123(13.9.1)
Allow: INVITE, ACK, CANCEL, OPTIONS, BYE, REFER, SUBSCRIBE, NOTIFY, INFO, PUBLISH, MESSAGE
Supported: replaces, timer
WWW-Authenticate: Digest algorithm=MD5, realm="asterisk", nonce="2ae4f38c"
Content-Length: 0

<--- Transmitting (NAT) to 192.168.56.10:6060 --->
SIP/2.0 489 Bad Event
Via: SIP/2.0/UDP 192.168.56.10:6060;branch=z9hG4bK-524287-1---5b099ce21741874f;received=192.168.56.10;rport=6060
From: <sip:101@192.168.56.0;transport=UDP>;tag=c4310605
To: <sip:101@192.168.56.0;transport=UDP>;tag=as68ae4e33
Call-ID: OSAocYSwVrTcBJNoWuiqHw..
CSeq: 2 SUBSCRIBE
Server: FPBX-13.0.123(13.9.1)
Allow: INVITE, ACK, CANCEL, OPTIONS, BYE, REFER, SUBSCRIBE, NOTIFY, INFO, PUBLISH, MESSAGE
Supported: replaces, timer
Content-Length: 0

Порты открыты iptables:

#!/bin/bash
#
#Объявление переменных
export IPT="iptables"
export LAN1="enp0s3"
export LAN1_IP_RANGE="10.0.2.15/24"
export WAN="enp0s8"
export WAN_IP="192.168.0.0/16"

# Очистка всех цепочек iptables
$IPT -F
$IPT -F -t nat
$IPT -F -t mangle
$IPT -X
$IPT -t nat -X
$IPT -t mangle -X

# Установим политики по умолчанию для трафика, не соответствующего ни одному из правил
$IPT -P INPUT DROP
$IPT -P OUTPUT DROP
$IPT -P FORWARD DROP

# разрешаем локальный траффик для loopback
$IPT -A INPUT -i lo -j ACCEPT
$IPT -A OUTPUT -o lo -j ACCEPT
$IPT -A INPUT -i lo -j ACCEPT
$IPT -A INPUT -i $LAN1 -j ACCEPT
$IPT -A OUTPUT -o lo -j ACCEPT
$IPT -A OUTPUT -o $LAN1 -j ACCEPT

# Разрешаем исходящие соединения самого сервера
$IPT -A OUTPUT -o $WAN -j ACCEPT
$IPT -A OUTPUT -o $LAN1 -j ACCEPT
# Состояние ESTABLISHED говорит о том, что это не первый пакет в соединении.
# Пропускать все уже инициированные соединения, а также дочерние от них
$IPT -A INPUT -p all -m state --state ESTABLISHED,RELATED -j ACCEPT
# Пропускать новые, а так же уже инициированные и их дочерние соединения
$IPT -A OUTPUT -p all -m state --state ESTABLISHED,RELATED -j ACCEPT
# Разрешить форвардинг для уже инициированных и их дочерних соединений
$IPT -A FORWARD -p all -m state --state ESTABLISHED,RELATED -j ACCEPT

# Включаем фрагментацию пакетов. Необходимо из за разных значений MTU
$IPT -I FORWARD -p tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu

# Отбрасывать все пакеты, которые не могут быть идентифицированы
# и поэтому не могут иметь определенного статуса.
#$IPT -A INPUT -m state --state INVALID -j DROP
#$IPT -A FORWARD -m state --state INVALID -j DROP

# Приводит к связыванию системных ресурсов, так что реальный
# обмен данными становится не возможным, обрубаем
#$IPT -A INPUT -p tcp ! --syn -m state --state NEW -j DROP
#$IPT -A OUTPUT -p tcp ! --syn -m state --state NEW -j DROP
#Блокировать нулевые пакеты
#$IPT -A INPUT -p tcp --tcp-flags ALL NONE -j DROP
#Блокировать syn-flood атаки
$IPT -A INPUT -p tcp ! --syn -m state --state NEW -j DROP
$IPT -A OUTPUT -p tcp ! --syn -m state --state NEW -j DROP
#Доступ в локальную сеть
$IPT -t filter -A INPUT -i $WAN -s $WAN_IP -j ACCEPT
$IPT -t filter -A OUTPUT -o $WAN -d $WAN_IP -j ACCEPT
#$IPT -A FORWARD -i $LAN1 -o $WAN -j ACCEPT
#$IPT -A FORWARD -i $WAN -o $LAN1 -j REJECT
#$IPT -t nat -A POSTROUTING -o $WAN -s $LAN1_IP_RANGE -j MASQUERADE

# Открываем порт для ssh
$IPT -A INPUT -i $WAN -p tcp --dport 22588 -j ACCEPT
# Открываем порт для DNS
$IPT -A INPUT -i $WAN -p udp --dport 53 -j ACCEPT
# Открываем порт для NTP
$IPT -A INPUT -i $WAN -p udp --dport 123 -j ACCEPT

#Доступ локальным
$IPT -t filter -N asterisk
#$IPT -t filter -A asterisk -s 192.168.20.0/24 -j ACCEPT
$IPT -t filter  -A asterisk -s $WAN_IP -j ACCEPT
#$IPT -t filter -A asterisk -s 192.168.56.0/24 -j ACCEPT

# Открываем порты для Asterisk
$IPT -t filter -i $WAN -s $WAN_IP -A INPUT -p tcp -m tcp --dport 80 -j ACCEPT
$IPT -t filter -i $WAN -s $WAN_IP -A INPUT -p udp -m udp --dport 5060 -j ACCEPT
$IPT -t filter -i $WAN -s $WAN_IP -A INPUT -p udp -m udp --dport 5061 -j ACCEPT
$IPT -t filter -i $WAN -s $WAN_IP -A INPUT -p tcp -m tcp --dport 5060 -j ACCEPT
$IPT -t filter -i $WAN -s $WAN_IP -A INPUT -p tcp -m tcp --dport 5061 -j ACCEPT
$IPT -t filter -i $WAN -s $WAN_IP -A INPUT -p udp -m udp --dport 4569 -j ACCEPT
$IPT -t filter -i $WAN -s $WAN_IP -A INPUT -p udp -m udp --dport 5038 -j ACCEPT
$IPT -t filter -i $WAN -s $WAN_IP -A INPUT -p tcp -m tcp --dport 5038 -j ACCEPT
$IPT -t filter -i $WAN -s $WAN_IP -A INPUT -p udp -m udp --dport 6060 -j ACCEPT
$IPT -t filter -i $WAN -s $WAN_IP -A INPUT -p tcp -m tcp --dport 6060 -j ACCEPT
$IPT -t filter -i $WAN -s $WAN_IP -A INPUT -p udp -m udp --dport 10000:20000 -j ACCEPT

# Открываем ICMP
$IPT -A INPUT -p icmp --icmp-type echo-reply -j ACCEPT
$IPT -A INPUT -p icmp --icmp-type destination-unreachable -j ACCEPT
$IPT -A INPUT -p icmp --icmp-type time-exceeded -j ACCEPT
$IPT -A INPUT -p icmp --icmp-type echo-request -j ACCEPT
# Логирование
# Все что не разрешено, но ломится отправим в цепочку undef
$IPT -N undef_in
$IPT -N undef_out
$IPT -N undef_fw
$IPT -A INPUT -j undef_in
$IPT -A OUTPUT -j undef_out
$IPT -A FORWARD -j undef_fw

# Логируем все из undef
$IPT -A undef_in -j LOG --log-level info --log-prefix "-- IN -- DROP "
$IPT -A undef_in -j DROP
$IPT -A undef_out -j LOG --log-level info --log-prefix "-- OUT -- DROP "
$IPT -A undef_out -j DROP
$IPT -A undef_fw -j LOG --log-level info --log-prefix "-- FW -- DROP "
$IPT -A undef_fw -j DROP

# Записываем правила
/sbin/iptables-save  > /etc/sysconfig/iptables

Что не так? кто подскажет? внутренние же должны в freepbx работать с коробки? ничего допиливать не нужно?

Тема уже человеком (http://asterisk-support.ru/users/3543/gks/) поднималась. ему никто не ответил... (http://asterisk-support.ru/question/61115/freepbx-asterisk-posle-ustanovki-ne-idut-zvonki-na/)/). У меня тоже самое. Пишет 3 users offline, хотя в софтофоне подключены и в косноли Asterisk видно, что успешно подключены:

localhost*CLI> sip show peers
Name/username             Host                                    Dyn Forcerport Comedia    ACL Port     Status      Description
101/101                   192.168.56.10                            D  Yes        Yes         A  6060     OK (6 ms)
102/102                   192.168.56.1                             D  Yes        Yes            63588    OK (7 ms)
104/104                   192.168.56.10                            D  Yes        Yes         A  6060     OK (5 ms)
3 sip peers [Monitored: 3 online, 0 offline Unmonitored: 0 online, 0 offline]

После установки freepbx не работают внутренние звонки

Раньше имел опыт только с голым Asterisk. Установил freepbx 13 на виртуальную машину. Всё казалось бы хорошо: добавил внутренние номера в вебморде, подключил их на софтофоне Zoiper, но звонки внутренние банально с 101 на 102 не проходят "503 Service Unavailable".
Еще выдает в дебаге:

<--- Transmitting (NAT) to 192.168.56.10:6060 --->
SIP/2.0 401 Unauthorized
Via: SIP/2.0/UDP 192.168.56.10:6060;branch=z9hG4bK-524287-1---831cc8200eb6e911;received=192.168.56.10;rport=6060
From: <sip:101@192.168.56.0;transport=UDP>;tag=ed4cfc6f
To: <sip:101@192.168.56.0;transport=UDP>;tag=as3a937c87
Call-ID: zrU3eE7FO6le1w2ZAmmrDA..
CSeq: 1 SUBSCRIBE
Server: FPBX-13.0.123(13.9.1)
Allow: INVITE, ACK, CANCEL, OPTIONS, BYE, REFER, SUBSCRIBE, NOTIFY, INFO, PUBLISH, MESSAGE
Supported: replaces, timer
WWW-Authenticate: Digest algorithm=MD5, realm="asterisk", nonce="2ae4f38c"
Content-Length: 0

<--- Transmitting (NAT) to 192.168.56.10:6060 --->
SIP/2.0 489 Bad Event
Via: SIP/2.0/UDP 192.168.56.10:6060;branch=z9hG4bK-524287-1---5b099ce21741874f;received=192.168.56.10;rport=6060
From: <sip:101@192.168.56.0;transport=UDP>;tag=c4310605
To: <sip:101@192.168.56.0;transport=UDP>;tag=as68ae4e33
Call-ID: OSAocYSwVrTcBJNoWuiqHw..
CSeq: 2 SUBSCRIBE
Server: FPBX-13.0.123(13.9.1)
Allow: INVITE, ACK, CANCEL, OPTIONS, BYE, REFER, SUBSCRIBE, NOTIFY, INFO, PUBLISH, MESSAGE
Supported: replaces, timer
Content-Length: 0

Порты открыты iptables:

#!/bin/bash
#
#Объявление переменных
export IPT="iptables"
export LAN1="enp0s3"
export LAN1_IP_RANGE="10.0.2.15/24"
export WAN="enp0s8"
export WAN_IP="192.168.0.0/16"

# Очистка всех цепочек iptables
$IPT -F
$IPT -F -t nat
$IPT -F -t mangle
$IPT -X
$IPT -t nat -X
$IPT -t mangle -X

# Установим политики по умолчанию для трафика, не соответствующего ни одному из правил
$IPT -P INPUT DROP
$IPT -P OUTPUT DROP
$IPT -P FORWARD DROP

# разрешаем локальный траффик для loopback
$IPT -A INPUT -i lo -j ACCEPT
$IPT -A OUTPUT -o lo -j ACCEPT
$IPT -A INPUT -i lo -j ACCEPT
$IPT -A INPUT -i $LAN1 -j ACCEPT
$IPT -A OUTPUT -o lo -j ACCEPT
$IPT -A OUTPUT -o $LAN1 -j ACCEPT

# Разрешаем исходящие соединения самого сервера
$IPT -A OUTPUT -o $WAN -j ACCEPT
$IPT -A OUTPUT -o $LAN1 -j ACCEPT
# Состояние ESTABLISHED говорит о том, что это не первый пакет в соединении.
# Пропускать все уже инициированные соединения, а также дочерние от них
$IPT -A INPUT -p all -m state --state ESTABLISHED,RELATED -j ACCEPT
# Пропускать новые, а так же уже инициированные и их дочерние соединения
$IPT -A OUTPUT -p all -m state --state ESTABLISHED,RELATED -j ACCEPT
# Разрешить форвардинг для уже инициированных и их дочерних соединений
$IPT -A FORWARD -p all -m state --state ESTABLISHED,RELATED -j ACCEPT

# Включаем фрагментацию пакетов. Необходимо из за разных значений MTU
$IPT -I FORWARD -p tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu

# Отбрасывать все пакеты, которые не могут быть идентифицированы
# и поэтому не могут иметь определенного статуса.
#$IPT -A INPUT -m state --state INVALID -j DROP
#$IPT -A FORWARD -m state --state INVALID -j DROP

# Приводит к связыванию системных ресурсов, так что реальный
# обмен данными становится не возможным, обрубаем
#$IPT -A INPUT -p tcp ! --syn -m state --state NEW -j DROP
#$IPT -A OUTPUT -p tcp ! --syn -m state --state NEW -j DROP
#Блокировать нулевые пакеты
#$IPT -A INPUT -p tcp --tcp-flags ALL NONE -j DROP
#Блокировать syn-flood атаки
$IPT -A INPUT -p tcp ! --syn -m state --state NEW -j DROP
$IPT -A OUTPUT -p tcp ! --syn -m state --state NEW -j DROP
#Доступ в локальную сеть
$IPT -t filter -A INPUT -i $WAN -s $WAN_IP -j ACCEPT
$IPT -t filter -A OUTPUT -o $WAN -d $WAN_IP -j ACCEPT
#$IPT -A FORWARD -i $LAN1 -o $WAN -j ACCEPT
#$IPT -A FORWARD -i $WAN -o $LAN1 -j REJECT
#$IPT -t nat -A POSTROUTING -o $WAN -s $LAN1_IP_RANGE -j MASQUERADE

# Открываем порт для ssh
$IPT -A INPUT -i $WAN -p tcp --dport 22588 -j ACCEPT
# Открываем порт для DNS
$IPT -A INPUT -i $WAN -p udp --dport 53 -j ACCEPT
# Открываем порт для NTP
$IPT -A INPUT -i $WAN -p udp --dport 123 -j ACCEPT

#Доступ локальным
$IPT -t filter -N asterisk
#$IPT -t filter -A asterisk -s 192.168.20.0/24 -j ACCEPT
$IPT -t filter  -A asterisk -s $WAN_IP -j ACCEPT
#$IPT -t filter -A asterisk -s 192.168.56.0/24 -j ACCEPT

# Открываем порты для Asterisk
$IPT -t filter -i $WAN -s $WAN_IP -A INPUT -p tcp -m tcp --dport 80 -j ACCEPT
$IPT -t filter -i $WAN -s $WAN_IP -A INPUT -p udp -m udp --dport 5060 -j ACCEPT
$IPT -t filter -i $WAN -s $WAN_IP -A INPUT -p udp -m udp --dport 5061 -j ACCEPT
$IPT -t filter -i $WAN -s $WAN_IP -A INPUT -p tcp -m tcp --dport 5060 -j ACCEPT
$IPT -t filter -i $WAN -s $WAN_IP -A INPUT -p tcp -m tcp --dport 5061 -j ACCEPT
$IPT -t filter -i $WAN -s $WAN_IP -A INPUT -p udp -m udp --dport 4569 -j ACCEPT
$IPT -t filter -i $WAN -s $WAN_IP -A INPUT -p udp -m udp --dport 5038 -j ACCEPT
$IPT -t filter -i $WAN -s $WAN_IP -A INPUT -p tcp -m tcp --dport 5038 -j ACCEPT
$IPT -t filter -i $WAN -s $WAN_IP -A INPUT -p udp -m udp --dport 6060 -j ACCEPT
$IPT -t filter -i $WAN -s $WAN_IP -A INPUT -p tcp -m tcp --dport 6060 -j ACCEPT
$IPT -t filter -i $WAN -s $WAN_IP -A INPUT -p udp -m udp --dport 10000:20000 -j ACCEPT

# Открываем ICMP
$IPT -A INPUT -p icmp --icmp-type echo-reply -j ACCEPT
$IPT -A INPUT -p icmp --icmp-type destination-unreachable -j ACCEPT
$IPT -A INPUT -p icmp --icmp-type time-exceeded -j ACCEPT
$IPT -A INPUT -p icmp --icmp-type echo-request -j ACCEPT
# Логирование
# Все что не разрешено, но ломится отправим в цепочку undef
$IPT -N undef_in
$IPT -N undef_out
$IPT -N undef_fw
$IPT -A INPUT -j undef_in
$IPT -A OUTPUT -j undef_out
$IPT -A FORWARD -j undef_fw

# Логируем все из undef
$IPT -A undef_in -j LOG --log-level info --log-prefix "-- IN -- DROP "
$IPT -A undef_in -j DROP
$IPT -A undef_out -j LOG --log-level info --log-prefix "-- OUT -- DROP "
$IPT -A undef_out -j DROP
$IPT -A undef_fw -j LOG --log-level info --log-prefix "-- FW -- DROP "
$IPT -A undef_fw -j DROP

# Записываем правила
/sbin/iptables-save  > /etc/sysconfig/iptables

~~Что не так? кто подскажет? внутренние же должны в freepbx работать с коробки? ничего допиливать не нужно?~~

Тема уже человеком (http://asterisk-support.ru/users/3543/gks/) поднималась. ему никто не ответил... (http://asterisk-support.ru/question/61115/freepbx-asterisk-posle-ustanovki-ne-idut-zvonki-na/). У меня тоже самое. Пишет 3 users offline, хотя в софтофоне подключены и в косноли Asterisk видно, что успешно подключены:

localhost*CLI> sip show peers
Name/username             Host                                    Dyn Forcerport Comedia    ACL Port     Status      Description
101/101                   192.168.56.10                            D  Yes        Yes         A  6060     OK (6 ms)
102/102                   192.168.56.1                             D  Yes        Yes            63588    OK (7 ms)
104/104                   192.168.56.10                            D  Yes        Yes         A  6060     OK (5 ms)
3 sip peers [Monitored: 3 online, 0 offline Unmonitored: 0 online, 0 offline]

Что не так? кто подскажет? внутренние же должны в freepbx работать с коробки? ничего допиливать не нужно?

После установки freepbx не работают внутренние звонки

Раньше имел опыт только с голым Asterisk. Установил freepbx 13 на виртуальную машину. Всё казалось бы хорошо: добавил внутренние номера в вебморде, подключил их на софтофоне Zoiper, но звонки внутренние банально с 101 на 102 не проходят "503 Service Unavailable".
Еще выдает в дебаге:

<--- Transmitting (NAT) to 192.168.56.10:6060 --->
SIP/2.0 401 Unauthorized
Via: SIP/2.0/UDP 192.168.56.10:6060;branch=z9hG4bK-524287-1---831cc8200eb6e911;received=192.168.56.10;rport=6060
From: <sip:101@192.168.56.0;transport=UDP>;tag=ed4cfc6f
To: <sip:101@192.168.56.0;transport=UDP>;tag=as3a937c87
Call-ID: zrU3eE7FO6le1w2ZAmmrDA..
CSeq: 1 SUBSCRIBE
Server: FPBX-13.0.123(13.9.1)
Allow: INVITE, ACK, CANCEL, OPTIONS, BYE, REFER, SUBSCRIBE, NOTIFY, INFO, PUBLISH, MESSAGE
Supported: replaces, timer
WWW-Authenticate: Digest algorithm=MD5, realm="asterisk", nonce="2ae4f38c"
Content-Length: 0

<--- Transmitting (NAT) to 192.168.56.10:6060 --->
SIP/2.0 489 Bad Event
Via: SIP/2.0/UDP 192.168.56.10:6060;branch=z9hG4bK-524287-1---5b099ce21741874f;received=192.168.56.10;rport=6060
From: <sip:101@192.168.56.0;transport=UDP>;tag=c4310605
To: <sip:101@192.168.56.0;transport=UDP>;tag=as68ae4e33
Call-ID: OSAocYSwVrTcBJNoWuiqHw..
CSeq: 2 SUBSCRIBE
Server: FPBX-13.0.123(13.9.1)
Allow: INVITE, ACK, CANCEL, OPTIONS, BYE, REFER, SUBSCRIBE, NOTIFY, INFO, PUBLISH, MESSAGE
Supported: replaces, timer
Content-Length: 0

Порты открыты iptables:

#!/bin/bash
#
#Объявление переменных
export IPT="iptables"
export LAN1="enp0s3"
export LAN1_IP_RANGE="10.0.2.15/24"
export WAN="enp0s8"
export WAN_IP="192.168.0.0/16"

# Очистка всех цепочек iptables
$IPT -F
$IPT -F -t nat
$IPT -F -t mangle
$IPT -X
$IPT -t nat -X
$IPT -t mangle -X

# Установим политики по умолчанию для трафика, не соответствующего ни одному из правил
$IPT -P INPUT DROP
$IPT -P OUTPUT DROP
$IPT -P FORWARD DROP

# разрешаем локальный траффик для loopback
$IPT -A INPUT -i lo -j ACCEPT
$IPT -A OUTPUT -o lo -j ACCEPT
$IPT -A INPUT -i lo -j ACCEPT
$IPT -A INPUT -i $LAN1 -j ACCEPT
$IPT -A OUTPUT -o lo -j ACCEPT
$IPT -A OUTPUT -o $LAN1 -j ACCEPT

# Разрешаем исходящие соединения самого сервера
$IPT -A OUTPUT -o $WAN -j ACCEPT
$IPT -A OUTPUT -o $LAN1 -j ACCEPT
# Состояние ESTABLISHED говорит о том, что это не первый пакет в соединении.
# Пропускать все уже инициированные соединения, а также дочерние от них
$IPT -A INPUT -p all -m state --state ESTABLISHED,RELATED -j ACCEPT
# Пропускать новые, а так же уже инициированные и их дочерние соединения
$IPT -A OUTPUT -p all -m state --state ESTABLISHED,RELATED -j ACCEPT
# Разрешить форвардинг для уже инициированных и их дочерних соединений
$IPT -A FORWARD -p all -m state --state ESTABLISHED,RELATED -j ACCEPT

# Включаем фрагментацию пакетов. Необходимо из за разных значений MTU
$IPT -I FORWARD -p tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu

# Отбрасывать все пакеты, которые не могут быть идентифицированы
# и поэтому не могут иметь определенного статуса.
#$IPT -A INPUT -m state --state INVALID -j DROP
#$IPT -A FORWARD -m state --state INVALID -j DROP

# Приводит к связыванию системных ресурсов, так что реальный
# обмен данными становится не возможным, обрубаем
#$IPT -A INPUT -p tcp ! --syn -m state --state NEW -j DROP
#$IPT -A OUTPUT -p tcp ! --syn -m state --state NEW -j DROP
#Блокировать нулевые пакеты
#$IPT -A INPUT -p tcp --tcp-flags ALL NONE -j DROP
#Блокировать syn-flood атаки
$IPT -A INPUT -p tcp ! --syn -m state --state NEW -j DROP
$IPT -A OUTPUT -p tcp ! --syn -m state --state NEW -j DROP
#Доступ в локальную сеть
$IPT -t filter -A INPUT -i $WAN -s $WAN_IP -j ACCEPT
$IPT -t filter -A OUTPUT -o $WAN -d $WAN_IP -j ACCEPT
#$IPT -A FORWARD -i $LAN1 -o $WAN -j ACCEPT
#$IPT -A FORWARD -i $WAN -o $LAN1 -j REJECT
#$IPT -t nat -A POSTROUTING -o $WAN -s $LAN1_IP_RANGE -j MASQUERADE

# Открываем порт для ssh
$IPT -A INPUT -i $WAN -p tcp --dport 22588 -j ACCEPT
# Открываем порт для DNS
$IPT -A INPUT -i $WAN -p udp --dport 53 -j ACCEPT
# Открываем порт для NTP
$IPT -A INPUT -i $WAN -p udp --dport 123 -j ACCEPT

#Доступ локальным
$IPT -t filter -N asterisk
#$IPT -t filter -A asterisk -s 192.168.20.0/24 -j ACCEPT
$IPT -t filter  -A asterisk -s $WAN_IP -j ACCEPT
#$IPT -t filter -A asterisk -s 192.168.56.0/24 -j ACCEPT

# Открываем порты для Asterisk
$IPT -t filter -i $WAN -s $WAN_IP -A INPUT -p tcp -m tcp --dport 80 -j ACCEPT
$IPT -t filter -i $WAN -s $WAN_IP -A INPUT -p udp -m udp --dport 5060 -j ACCEPT
$IPT -t filter -i $WAN -s $WAN_IP -A INPUT -p udp -m udp --dport 5061 -j ACCEPT
$IPT -t filter -i $WAN -s $WAN_IP -A INPUT -p tcp -m tcp --dport 5060 -j ACCEPT
$IPT -t filter -i $WAN -s $WAN_IP -A INPUT -p tcp -m tcp --dport 5061 -j ACCEPT
$IPT -t filter -i $WAN -s $WAN_IP -A INPUT -p udp -m udp --dport 4569 -j ACCEPT
$IPT -t filter -i $WAN -s $WAN_IP -A INPUT -p udp -m udp --dport 5038 -j ACCEPT
$IPT -t filter -i $WAN -s $WAN_IP -A INPUT -p tcp -m tcp --dport 5038 -j ACCEPT
$IPT -t filter -i $WAN -s $WAN_IP -A INPUT -p udp -m udp --dport 6060 -j ACCEPT
$IPT -t filter -i $WAN -s $WAN_IP -A INPUT -p tcp -m tcp --dport 6060 -j ACCEPT
$IPT -t filter -i $WAN -s $WAN_IP -A INPUT -p udp -m udp --dport 10000:20000 -j ACCEPT

# Открываем ICMP
$IPT -A INPUT -p icmp --icmp-type echo-reply -j ACCEPT
$IPT -A INPUT -p icmp --icmp-type destination-unreachable -j ACCEPT
$IPT -A INPUT -p icmp --icmp-type time-exceeded -j ACCEPT
$IPT -A INPUT -p icmp --icmp-type echo-request -j ACCEPT
# Логирование
# Все что не разрешено, но ломится отправим в цепочку undef
$IPT -N undef_in
$IPT -N undef_out
$IPT -N undef_fw
$IPT -A INPUT -j undef_in
$IPT -A OUTPUT -j undef_out
$IPT -A FORWARD -j undef_fw

# Логируем все из undef
$IPT -A undef_in -j LOG --log-level info --log-prefix "-- IN -- DROP "
$IPT -A undef_in -j DROP
$IPT -A undef_out -j LOG --log-level info --log-prefix "-- OUT -- DROP "
$IPT -A undef_out -j DROP
$IPT -A undef_fw -j LOG --log-level info --log-prefix "-- FW -- DROP "
$IPT -A undef_fw -j DROP

# Записываем правила
/sbin/iptables-save  > /etc/sysconfig/iptables

Тема уже человеком (http://asterisk-support.ru/users/3543/gks/) поднималась. ему никто не ответил... (http://asterisk-support.ru/question/61115/freepbx-asterisk-posle-ustanovki-ne-idut-zvonki-na/). У меня тоже самое. Пишет 3 users offline, хотя в софтофоне подключены и в косноли Asterisk видно, что успешно подключены:

localhost*CLI> sip show peers
Name/username             Host                                    Dyn Forcerport Comedia    ACL Port     Status      Description
101/101                   192.168.56.10                            D  Yes        Yes         A  6060     OK (6 ms)
102/102                   192.168.56.1                             D  Yes        Yes            63588    OK (7 ms)
104/104                   192.168.56.10                            D  Yes        Yes         A  6060     OK (5 ms)
3 sip peers [Monitored: 3 online, 0 offline Unmonitored: 0 online, 0 offline]

Что не так? кто подскажет? внутренние же должны в freepbx работать с коробки? ничего допиливать не нужно?

После установки freepbx не работают внутренние звонки

Раньше имел опыт только с голым Asterisk. Установил freepbx 13 на виртуальную машину. Всё казалось бы хорошо: добавил внутренние номера в вебморде, подключил их на софтофоне Zoiper, но звонки внутренние банально с 101 на 102 не проходят "503 Service Unavailable".
Еще выдает в дебаге:

 <--- Reliably Transmitting (NAT) to 192.168.56.10:6060 --->
SIP/2.0 401 Unauthorized
Via: SIP/2.0/UDP 192.168.56.10:6060;branch=z9hG4bK-524287-1---831cc8200eb6e911;received=192.168.56.10;rport=6060
192.168.56.10:6060;branch=z9hG4bK-524287-1---45be33bfca8812b6;received=192.168.56.10;rport=6060
From: <sip:101@192.168.56.0;transport=UDP>;tag=ed4cfc6f
<sip:101@192.168.56.0;transport=UDP>;tag=dc22862a
To: <sip:101@192.168.56.0;transport=UDP>;tag=as3a937c87
<sip:102@192.168.56.0;transport=UDP>;tag=as5a8f4957
Call-ID: zrU3eE7FO6le1w2ZAmmrDA..
t5uzAO_fyuhbKbp5BRikzQ..
CSeq: 1 SUBSCRIBE
INVITE
Server: FPBX-13.0.123(13.9.1)
Allow: INVITE, ACK, CANCEL, OPTIONS, BYE, REFER, SUBSCRIBE, NOTIFY, INFO, PUBLISH, MESSAGE
Supported: replaces, timer
WWW-Authenticate: Digest algorithm=MD5, realm="asterisk", nonce="2ae4f38c"
nonce="198e7322"
Content-Length: 0

<--- SIP read from UDP:192.168.56.10:6060 --->
INVITE sip:102@192.168.56.0;transport=UDP SIP/2.0
Via: SIP/2.0/UDP 192.168.56.10:6060;branch=z9hG4bK-524287-1---dad1b2172864a233
Max-Forwards: 70
Contact: <sip:101@192.168.56.10:6060;transport=UDP>
To: <sip:102@192.168.56.0;transport=UDP>
From: <sip:101@192.168.56.0;transport=UDP>;tag=dc22862a
Call-ID: t5uzAO_fyuhbKbp5BRikzQ..
CSeq: 2 INVITE
Allow: INVITE, ACK, CANCEL, BYE, NOTIFY, REFER, MESSAGE, OPTIONS, INFO, SUBSCRIBE
Content-Type: application/sdp
Supported: replaces, norefersub, extended-refer, timer, outbound, path, X-cisco-serviceuri
User-Agent: Z 3.9.32144 r32121
Authorization: Digest username="101",realm="asterisk",nonce="198e7322",uri="sip:102@192.168.56.0;transport=UDP",response="3e3c0ad8098957dc3904a2114631f978",algorithm=MD5
Allow-Events: presence, kpml
Content-Length: 241

<--- Transmitting (NAT) to 192.168.56.10:6060 --->
SIP/2.0 489 Bad Event
100 Trying
Via: SIP/2.0/UDP 192.168.56.10:6060;branch=z9hG4bK-524287-1---5b099ce21741874f;received=192.168.56.10;rport=6060
192.168.56.10:6060;branch=z9hG4bK-524287-1---dad1b2172864a233;received=192.168.56.10;rport=6060
From: <sip:101@192.168.56.0;transport=UDP>;tag=c4310605
<sip:101@192.168.56.0;transport=UDP>;tag=dc22862a
To: <sip:101@192.168.56.0;transport=UDP>;tag=as68ae4e33
<sip:102@192.168.56.0;transport=UDP>
Call-ID: OSAocYSwVrTcBJNoWuiqHw..
t5uzAO_fyuhbKbp5BRikzQ..
CSeq: 2 SUBSCRIBE
INVITE
Server: FPBX-13.0.123(13.9.1)
Allow: INVITE, ACK, CANCEL, OPTIONS, BYE, REFER, SUBSCRIBE, NOTIFY, INFO, PUBLISH, MESSAGE
Supported: replaces, timer
Session-Expires: 1800;refresher=uas
Contact: <sip:102@192.168.56.0:5060>
Content-Length: 0

    Retransmitting #1 (NAT) to 192.168.56.10:6060:
    SIP/2.0 503 Service Unavailable
    Via: SIP/2.0/UDP 192.168.56.10:6060;branch=z9hG4bK-524287-1---dad1b2172864a233;received=192.168.56.10;rport=6060
    From: <sip:101@192.168.56.0;transport=UDP>;tag=dc22862a
    To: <sip:102@192.168.56.0;transport=UDP>;tag=as672d60ff
    Call-ID: t5uzAO_fyuhbKbp5BRikzQ..
    CSeq: 2 INVITE
    Server: FPBX-13.0.123(13.9.1)
    Allow: INVITE, ACK, CANCEL, OPTIONS, BYE, REFER, SUBSCRIBE, NOTIFY, INFO, PUBLISH, MESSAGE
    Supported: replaces, timer
    Session-Expires: 1800;refresher=uas
    Content-Length: 0

Порты открыты iptables:

# Открываем порты для Asterisk
$IPT -t filter -i $WAN -s $WAN_IP -A INPUT -p tcp -m tcp --dport 80 -j ACCEPT
$IPT -t filter -i $WAN -s $WAN_IP -A INPUT -p udp -m udp --dport 5060 -j ACCEPT
$IPT -t filter -i $WAN -s $WAN_IP -A INPUT -p udp -m udp --dport 5061 -j ACCEPT
$IPT -t filter -i $WAN -s $WAN_IP -A INPUT -p tcp -m tcp --dport 5060 -j ACCEPT
$IPT -t filter -i $WAN -s $WAN_IP -A INPUT -p tcp -m tcp --dport 5061 -j ACCEPT
$IPT -t filter -i $WAN -s $WAN_IP -A INPUT -p udp -m udp --dport 4569 -j ACCEPT
$IPT -t filter -i $WAN -s $WAN_IP -A INPUT -p udp -m udp --dport 5038 -j ACCEPT
$IPT -t filter -i $WAN -s $WAN_IP -A INPUT -p tcp -m tcp --dport 5038 -j ACCEPT
$IPT -t filter -i $WAN -s $WAN_IP -A INPUT -p udp -m udp --dport 6060 -j ACCEPT
$IPT -t filter -i $WAN -s $WAN_IP -A INPUT -p tcp -m tcp --dport 6060 -j ACCEPT
$IPT -t filter -i $WAN -s $WAN_IP -A INPUT -p udp -m udp --dport 10000:20000 -j ACCEPT

Тема уже человеком (http://asterisk-support.ru/users/3543/gks/) поднималась. ему никто не ответил... (http://asterisk-support.ru/question/61115/freepbx-asterisk-posle-ustanovki-ne-idut-zvonki-na/). У меня тоже самое. Пишет 3 users offline, хотя в софтофоне подключены и в косноли Asterisk видно, что успешно подключены:

localhost*CLI> sip show peers
Name/username             Host                                    Dyn Forcerport Comedia    ACL Port     Status      Description
101/101                   192.168.56.10                            D  Yes        Yes         A  6060     OK (6 ms)
102/102                   192.168.56.1                             D  Yes        Yes            63588    OK (7 ms)
104/104                   192.168.56.10                            D  Yes        Yes         A  6060     OK (5 ms)
3 sip peers [Monitored: 3 online, 0 offline Unmonitored: 0 online, 0 offline]

Что не так? кто подскажет? внутренние же должны в freepbx работать с коробки? ничего допиливать не нужно?

После установки freepbx не работают внутренние звонки

Раньше имел опыт только с голым Asterisk. Установил freepbx 13 на виртуальную машину. Всё казалось бы хорошо: добавил внутренние номера в вебморде, подключил их на софтофоне Zoiper, но звонки внутренние банально с 101 на 102 не проходят "503 Service Unavailable".
Еще выдает в дебаге:

    <--- Reliably Transmitting (NAT) to 192.168.56.10:6060 --->
SIP/2.0 401 Unauthorized
Via: SIP/2.0/UDP 192.168.56.10:6060;branch=z9hG4bK-524287-1---45be33bfca8812b6;received=192.168.56.10;rport=6060
From: <sip:101@192.168.56.0;transport=UDP>;tag=dc22862a
To: <sip:102@192.168.56.0;transport=UDP>;tag=as5a8f4957
Call-ID: t5uzAO_fyuhbKbp5BRikzQ..
CSeq: 1 INVITE
Server: FPBX-13.0.123(13.9.1)
Allow: INVITE, ACK, CANCEL, OPTIONS, BYE, REFER, SUBSCRIBE, NOTIFY, INFO, PUBLISH, MESSAGE
Supported: replaces, timer
WWW-Authenticate: Digest algorithm=MD5, realm="asterisk", nonce="198e7322"
Content-Length: 0

<--- SIP read from UDP:192.168.56.10:6060 --->
INVITE sip:102@192.168.56.0;transport=UDP SIP/2.0
Via: SIP/2.0/UDP 192.168.56.10:6060;branch=z9hG4bK-524287-1---dad1b2172864a233
Max-Forwards: 70
Contact: <sip:101@192.168.56.10:6060;transport=UDP>
To: <sip:102@192.168.56.0;transport=UDP>
From: <sip:101@192.168.56.0;transport=UDP>;tag=dc22862a
Call-ID: t5uzAO_fyuhbKbp5BRikzQ..
CSeq: 2 INVITE
Allow: INVITE, ACK, CANCEL, BYE, NOTIFY, REFER, MESSAGE, OPTIONS, INFO, SUBSCRIBE
Content-Type: application/sdp
Supported: replaces, norefersub, extended-refer, timer, outbound, path, X-cisco-serviceuri
User-Agent: Z 3.9.32144 r32121
Authorization: Digest username="101",realm="asterisk",nonce="198e7322",uri="sip:102@192.168.56.0;transport=UDP",response="3e3c0ad8098957dc3904a2114631f978",algorithm=MD5
Allow-Events: presence, kpml
Content-Length: 241

<--- Transmitting (NAT) to 192.168.56.10:6060 --->
SIP/2.0 100 Trying
Via: SIP/2.0/UDP 192.168.56.10:6060;branch=z9hG4bK-524287-1---dad1b2172864a233;received=192.168.56.10;rport=6060
From: <sip:101@192.168.56.0;transport=UDP>;tag=dc22862a
To: <sip:102@192.168.56.0;transport=UDP>
Call-ID: t5uzAO_fyuhbKbp5BRikzQ..
CSeq: 2 INVITE
Server: FPBX-13.0.123(13.9.1)
Allow: INVITE, ACK, CANCEL, OPTIONS, BYE, REFER, SUBSCRIBE, NOTIFY, INFO, PUBLISH, MESSAGE
Supported: replaces, timer
Session-Expires: 1800;refresher=uas
Contact: <sip:102@192.168.56.0:5060>
Content-Length: 0

    Retransmitting #1 (NAT) to 192.168.56.10:6060:
    SIP/2.0 503 Service Unavailable
    Via: SIP/2.0/UDP 192.168.56.10:6060;branch=z9hG4bK-524287-1---dad1b2172864a233;received=192.168.56.10;rport=6060
    From: <sip:101@192.168.56.0;transport=UDP>;tag=dc22862a
    To: <sip:102@192.168.56.0;transport=UDP>;tag=as672d60ff
    Call-ID: t5uzAO_fyuhbKbp5BRikzQ..
    CSeq: 2 INVITE
    Server: FPBX-13.0.123(13.9.1)
    Allow: INVITE, ACK, CANCEL, OPTIONS, BYE, REFER, SUBSCRIBE, NOTIFY, INFO, PUBLISH, MESSAGE
    Supported: replaces, timer
    Session-Expires: 1800;refresher=uas
    Content-Length: 0

Порты открыты iptables:

# Открываем порты для Asterisk
$IPT -t filter -i $WAN -s $WAN_IP -A INPUT -p tcp -m tcp --dport 80 -j ACCEPT
$IPT -t filter -i $WAN -s $WAN_IP -A INPUT -p udp -m udp --dport 5060 -j ACCEPT
$IPT -t filter -i $WAN -s $WAN_IP -A INPUT -p udp -m udp --dport 5061 -j ACCEPT
$IPT -t filter -i $WAN -s $WAN_IP -A INPUT -p tcp -m tcp --dport 5060 -j ACCEPT
$IPT -t filter -i $WAN -s $WAN_IP -A INPUT -p tcp -m tcp --dport 5061 -j ACCEPT
$IPT -t filter -i $WAN -s $WAN_IP -A INPUT -p udp -m udp --dport 4569 -j ACCEPT
$IPT -t filter -i $WAN -s $WAN_IP -A INPUT -p udp -m udp --dport 5038 -j ACCEPT
$IPT -t filter -i $WAN -s $WAN_IP -A INPUT -p tcp -m tcp --dport 5038 -j ACCEPT
$IPT -t filter -i $WAN -s $WAN_IP -A INPUT -p udp -m udp --dport 6060 -j ACCEPT
$IPT -t filter -i $WAN -s $WAN_IP -A INPUT -p tcp -m tcp --dport 6060 -j ACCEPT
$IPT -t filter -i $WAN -s $WAN_IP -A INPUT -p udp -m udp --dport 10000:20000 -j ACCEPT

Тема уже человеком (http://asterisk-support.ru/users/3543/gks/) поднималась. ему никто не ответил... (http://asterisk-support.ru/question/61115/freepbx-asterisk-posle-ustanovki-ne-idut-zvonki-na/). У меня тоже самое. Пишет 3 users offline, хотя в софтофоне подключены и в косноли Asterisk видно, что успешно подключены:

localhost*CLI> sip show peers
Name/username             Host                                    Dyn Forcerport Comedia    ACL Port     Status      Description
101/101                   192.168.56.10                            D  Yes        Yes         A  6060     OK (6 (7 ms)
102/102                   192.168.56.1  192.168.56.10                            D  Yes        Yes            63588 6060     OK (27 ms)
104/104                   192.168.56.10                            D  Yes        Yes         A  6060     OK (7 ms)
104/104                   192.168.56.10                            D  Yes        Yes         A  6060     OK (5 ms)
3 sip peers [Monitored: 3 online, 0 offline Unmonitored: 0 online, 0 offline]

Что не так? кто подскажет? внутренние же должны в freepbx работать с коробки? ничего допиливать не нужно?

После установки freepbx не работают внутренние звонки

Раньше имел опыт только с голым Asterisk. Установил freepbx 13 на виртуальную машину. Всё казалось бы хорошо: добавил внутренние номера в вебморде, подключил их на софтофоне Zoiper, но звонки внутренние банально с 101 на 102 не проходят "503 Service Unavailable".
Еще выдает в дебаге:

    <--- Reliably Transmitting (NAT) to 192.168.56.10:6060 --->
SIP/2.0 401 Unauthorized
Via: SIP/2.0/UDP 192.168.56.10:6060;branch=z9hG4bK-524287-1---45be33bfca8812b6;received=192.168.56.10;rport=6060
From: <sip:101@192.168.56.0;transport=UDP>;tag=dc22862a
To: <sip:102@192.168.56.0;transport=UDP>;tag=as5a8f4957
Call-ID: t5uzAO_fyuhbKbp5BRikzQ..
CSeq: 1 INVITE
Server: FPBX-13.0.123(13.9.1)
Allow: INVITE, ACK, CANCEL, OPTIONS, BYE, REFER, SUBSCRIBE, NOTIFY, INFO, PUBLISH, MESSAGE
Supported: replaces, timer
WWW-Authenticate: Digest algorithm=MD5, realm="asterisk", nonce="198e7322"
Content-Length: 0

<--- SIP read from UDP:192.168.56.10:6060 --->
INVITE sip:102@192.168.56.0;transport=UDP SIP/2.0
Via: SIP/2.0/UDP 192.168.56.10:6060;branch=z9hG4bK-524287-1---dad1b2172864a233
Max-Forwards: 70
Contact: <sip:101@192.168.56.10:6060;transport=UDP>
To: <sip:102@192.168.56.0;transport=UDP>
From: <sip:101@192.168.56.0;transport=UDP>;tag=dc22862a
Call-ID: t5uzAO_fyuhbKbp5BRikzQ..
CSeq: 2 INVITE
Allow: INVITE, ACK, CANCEL, BYE, NOTIFY, REFER, MESSAGE, OPTIONS, INFO, SUBSCRIBE
Content-Type: application/sdp
Supported: replaces, norefersub, extended-refer, timer, outbound, path, X-cisco-serviceuri
User-Agent: Z 3.9.32144 r32121
Authorization: Digest username="101",realm="asterisk",nonce="198e7322",uri="sip:102@192.168.56.0;transport=UDP",response="3e3c0ad8098957dc3904a2114631f978",algorithm=MD5
Allow-Events: presence, kpml
Content-Length: 241

<--- Transmitting (NAT) to 192.168.56.10:6060 --->
SIP/2.0 100 Trying
Via: SIP/2.0/UDP 192.168.56.10:6060;branch=z9hG4bK-524287-1---dad1b2172864a233;received=192.168.56.10;rport=6060
From: <sip:101@192.168.56.0;transport=UDP>;tag=dc22862a
To: <sip:102@192.168.56.0;transport=UDP>
Call-ID: t5uzAO_fyuhbKbp5BRikzQ..
CSeq: 2 INVITE
Server: FPBX-13.0.123(13.9.1)
Allow: INVITE, ACK, CANCEL, OPTIONS, BYE, REFER, SUBSCRIBE, NOTIFY, INFO, PUBLISH, MESSAGE
Supported: replaces, timer
Session-Expires: 1800;refresher=uas
Contact: <sip:102@192.168.56.0:5060>
Content-Length: 0

    Retransmitting #1 (NAT) to 192.168.56.10:6060:
    SIP/2.0 503 Service Unavailable
    Via: SIP/2.0/UDP 192.168.56.10:6060;branch=z9hG4bK-524287-1---dad1b2172864a233;received=192.168.56.10;rport=6060
    From: <sip:101@192.168.56.0;transport=UDP>;tag=dc22862a
    To: <sip:102@192.168.56.0;transport=UDP>;tag=as672d60ff
    Call-ID: t5uzAO_fyuhbKbp5BRikzQ..
    CSeq: 2 INVITE
    Server: FPBX-13.0.123(13.9.1)
    Allow: INVITE, ACK, CANCEL, OPTIONS, BYE, REFER, SUBSCRIBE, NOTIFY, INFO, PUBLISH, MESSAGE
    Supported: replaces, timer
    Session-Expires: 1800;refresher=uas
    Content-Length: 0

Порты открыты iptables:

# Открываем порты для Asterisk
$IPT -t filter -i $WAN -s $WAN_IP -A INPUT -p tcp -m tcp --dport 80 -j ACCEPT
$IPT -t filter -i $WAN -s $WAN_IP -A INPUT -p udp -m udp --dport 5060 -j ACCEPT
$IPT -t filter -i $WAN -s $WAN_IP -A INPUT -p udp -m udp --dport 5061 -j ACCEPT
$IPT -t filter -i $WAN -s $WAN_IP -A INPUT -p tcp -m tcp --dport 5060 -j ACCEPT
$IPT -t filter -i $WAN -s $WAN_IP -A INPUT -p tcp -m tcp --dport 5061 -j ACCEPT
$IPT -t filter -i $WAN -s $WAN_IP -A INPUT -p udp -m udp --dport 4569 -j ACCEPT
$IPT -t filter -i $WAN -s $WAN_IP -A INPUT -p udp -m udp --dport 5038 -j ACCEPT
$IPT -t filter -i $WAN -s $WAN_IP -A INPUT -p tcp -m tcp --dport 5038 -j ACCEPT
$IPT -t filter -i $WAN -s $WAN_IP -A INPUT -p udp -m udp --dport 6060 -j ACCEPT
$IPT -t filter -i $WAN -s $WAN_IP -A INPUT -p tcp -m tcp --dport 6060 -j ACCEPT
$IPT -t filter -i $WAN -s $WAN_IP -A INPUT -p udp -m udp --dport 10000:20000 -j ACCEPT

Тема уже человеком (http://asterisk-support.ru/users/3543/gks/) поднималась. ему никто не ответил... (http://asterisk-support.ru/question/61115/freepbx-asterisk-posle-ustanovki-ne-idut-zvonki-na/). У меня тоже самое. Пишет 3 users offline, хотя в софтофоне подключены и в косноли Asterisk видно, что успешно подключены:

localhost*CLI> sip show peers
Name/username             Host                                    Dyn Forcerport Comedia    ACL Port     Status      Description
101/101                   192.168.56.10                            D  Yes        Yes         A  6060     OK (7 ms)
102/102                   192.168.56.10                            D  Yes        Yes            6060     OK (27 ms)
104/104                   192.168.56.10                            D  Yes        Yes         A  6060     OK (7 ms)
3 sip peers [Monitored: 3 online, 0 offline Unmonitored: 0 online, 0 offline]

Что не так? кто подскажет? внутренние же должны в freepbx работать с коробки? ничего допиливать не нужно?

Даже вот сделал её (freepbx) сетевым мостом, получив адрес 192.168.20.129. Далее подключил 2 реальных ip-телефона из этой же подсети, настроил им аккаунты и они сконнектились и авторизацию на астере прошли и в вебморде показывает, что Online 2 sip-а, но выбрать линию не получается, пишет "Неприменимо":

    -- Registered SIP '108' at 192.168.20.7:5060
       > Saved useragent "DLINK DPH-150S FRU2.2.162.67" for peer 108
[2016-07-07 17:30:52] NOTICE[10276]: chan_sip.c:24403 handle_response_peerpoke: Peer '108' is now Reachable. (5ms / 2000ms)
[2016-07-07 17:30:52] NOTICE[10276]: chan_sip.c:24403 handle_response_peerpoke: Peer '108' is now Reachable. (5ms / 2000ms)
    -- Unregistered SIP '104'
[2016-07-07 17:31:05] WARNING[10276]: db.c:332 ast_db_put: Couldn't execute statment: SQL logic error or missing database
[2016-07-07 17:31:05] WARNING[10276]: db.c:332 ast_db_put: Couldn't execute statment: SQL logic error or missing database
    -- Registered SIP '104' at 192.168.20.127:5060
[2016-07-07 17:31:05] NOTICE[10276]: chan_sip.c:24403 handle_response_peerpoke: Peer '104' is now Reachable. (5ms / 2000ms)
[2016-07-07 17:31:05] NOTICE[10276]: chan_sip.c:24403 handle_response_peerpoke: Peer '104' is now Reachable. (5ms / 2000ms)

История изменений [назад]

После установки freepbx не работают внутренние звонки

Очистка всех цепочек iptables

Установим политики по умолчанию для трафика, не соответствующего ни одному из правил

разрешаем локальный траффик для loopback

Разрешаем исходящие соединения самого сервера

Состояние ESTABLISHED говорит о том, что это не первый пакет в соединении.

Пропускать все уже инициированные соединения, а также дочерние от них

Пропускать новые, а так же уже инициированные и их дочерние соединения

Разрешить форвардинг для уже инициированных и их дочерних соединений

Включаем фрагментацию пакетов. Необходимо из за разных значений MTU

Отбрасывать все пакеты, которые не могут быть идентифицированы

и поэтому не могут иметь определенного статуса.

Приводит к связыванию системных ресурсов, так что реальный

обмен данными становится не возможным, обрубаем

Открываем порт для ssh

Открываем порт для DNS

Открываем порт для NTP

Открываем порты для Asterisk

Открываем ICMP

Логирование

Все что не разрешено, но ломится отправим в цепочку undef

Логируем все из undef

Записываем правила

После установки freepbx не работают внутренние звонки

WAN_IP="192.168.0.0/16" # Очистка всех цепочек iptables

-X # Установим политики по умолчанию для трафика, не соответствующего ни одному из правил

DROP # разрешаем локальный траффик для loopback

ACCEPT # Разрешаем исходящие соединения самого сервера

ACCEPT # Состояние ESTABLISHED говорит о том, что это не первый пакет в соединении.

соединении. # Пропускать все уже инициированные соединения, а также дочерние от них

ACCEPT # Пропускать новые, а так же уже инициированные и их дочерние соединения

ACCEPT # Разрешить форвардинг для уже инициированных и их дочерних соединений

ACCEPT # Включаем фрагментацию пакетов. Необходимо из за разных значений MTU

--clamp-mss-to-pmtu # Отбрасывать все пакеты, которые не могут быть идентифицированы

идентифицированы # и поэтому не могут иметь определенного статуса.

DROP # Приводит к связыванию системных ресурсов, так что реальный

реальный # обмен данными становится не возможным, обрубаем

$LAN1_IP_RANGE -j MASQUERADE # Открываем порт для ssh

ACCEPT # Открываем порт для DNS

ACCEPT # Открываем порт для NTP

ACCEPT # Открываем порты для Asterisk

ACCEPT # Открываем ICMP

Логирование

ACCEPT # Логирование # Все что не разрешено, но ломится отправим в цепочку undef

undef_fw # Логируем все из undef

undef_fw -j DROP # Записываем правила

После установки freepbx не работают внутренние звонки

После установки freepbx не работают внутренние звонки

После установки freepbx не работают внутренние звонки

После установки freepbx не работают внутренние звонки

После установки freepbx не работают внутренние звонки

После установки freepbx не работают внутренние звонки

После установки freepbx не работают внутренние звонки

После установки freepbx не работают внутренние звонки