Re: CGP<=>CGP over SIP

От: Dmitry Baronov <CGatePro_at_mx_ru>
Дата: Thu 31 Aug 2006 - 13:52:36 MSD

Итак: на рабочем сервере
mail.domain.com - внешний IP - 123.123.123.123 - глядит наружу, принимает и отправляет почту вовне
mail.domain.int - 10.10.1.3 - глядит внутрь корпоративной сетки domain.com - айпишника нет, в домене прописаны все юзера

На тестовом сервере только внешний IP - 234.234.234.234 взаимное добавление юзеров в buddies-листы на обоих серверах проходит нормально
При запуске MS Messenger юзеру с тестового сервера виден статус юзера с рабочего сервера, но сообщения не отправляются Юзеру user@domain.com с рабочего сервера НЕ виден статус юзера с тестового сервера.

В логах тестового сервера:

21:44:16.362 4 SIPTLS-000037 stream created for [10.10.1.3]:5061 21:44:16.362 3 SIPTLS-000037 failed to connect to [10.10.1.3]:5061. Error Code=access denied
21:44:16.362 3 SIPTLS-000037 rejecting packets in [10.10.1.3]:5061 queue 21:44:16.362 3 SIP tls [10.10.1.3]:5061 failed. Error Code=access denied

Башка трешшит :)

Vladimir A. Butenko пишет:
> On Wed, 30 Aug 2006 22:03:12 +0400
> "Dmityr Baronov" <CGatePro@mx.ru> wrote:
>> Оказалось, проблемы на этом не кончились. На рабочем сервере два
>> IP-адреса -
>> внутренний и внешний. И три домена - главный (mail.domain.ru) на который
>> лицензия) - с внешним IP, внутренний, отвечает изнутри корпоративной
>> сетки,
>> с внутренним IP, и почтовый (domain.ru) , где все учетные записи
>> юзеров, ему
>> в CGP не соответствует никакой IP. Почта при этом несколько лет
>> ходит без
>> проблем.
>> На втором, тестовом сервере, все адреса внешние. Так вот, часть
>> SIP-трафика
>> с рабочего сервера на тестовый приходит от внешнего адреса, но какие-то
>> пакеты с рабочего сервера на тестовый почему-то приходят от его
>> внутреннего
>> адреса (10.10.1.3), а тестовый сервер на этот адрес пытается отвечать. В
>> итоге один из клиентов видит статус другого, но не может открыть с ним
>> сессию, а другой и статус не видит. По идее это можно пофиксить
>> пропиской на
>> рабочем сервере виртуального интерфейса с внешним IP, присвоив его
>> домену
>> domain.com, но этого не хочется делать по соображениям безопасности.
>>
>> Охх... и кто-то писал, что CGP позволяет экономить на сисадминах :)
>
> А сисадмин - это тот, кто может ПРАВИЛЬНО прописать данные своей сети
> на Settings->Network->LAN IP странице ?
>
> Какие они у Вас там? И какие адреса сетей используются?
>
>
>
>>
>>
>> 21:44:16.361 2 SIPDATA-000616 out: req tls [10.10.1.3]:5061 NOTIFY(972
>> bytes) sip:db@domain.ru:1329;maddr=192.168.0.100;transport=tls
>> 21:44:16.361 4 SIPTLS-000037 [000616] enqueued. 972 bytes
>> 21:44:16.361 2 SIPC-000122 [000616] NOTIFY
>> sip:db@domain.ru:1329;maddr=192.168.0.100;transport=tls sent to tls
>> [10.10.1.3]:5061
>> 21:44:16.362 4 SIPTLS-000037 stream created for [10.10.1.3]:5061
>> 21:44:16.362 3 SIPTLS-000037 failed to connect to [10.10.1.3]:5061.
>> Error
>> Code=access denied
>> 21:44:16.362 3 SIPTLS-000037 rejecting packets in [10.10.1.3]:5061 queue
>> 21:44:16.362 3 SIP tls [10.10.1.3]:5061 failed. Error Code=access denied
>> 21:44:16.363 2 SIGNAL-000310 500 received from SIPC-000122
>>
>>
>> -----Original Message-----
>> From: CommuniGate Pro Russian Discussions [mailto:CGatePro@mx.ru]
>> Sent: Wednesday, August 30, 2006 4:55 PM
>> To: CommuniGate Pro Russian Discussions
>> Subject: Re: [CGP] CGP<=>CGP over SIP
>>
>> О, спасибо, эта часть мерлезонского балета завершена.
>>
>> Vladimir A. Butenko пишет:
>>> Скажите, а зачем Вы задаете вопросы, если ответы на них Вас не
>>> интересуют?
>>>
>>> Вам же сказали, как изменить запись в Router. Ну, поставьте там .tls
>>> а не .tcp если Вам так нужно. И прочтите ту часть главы про Router,
>>> которая была указана - чтобы понимать, что, собственно, происходит,
>>> а не заниматься "тыкнули-посмотрели-неполучиолось".
>>>
>>>
>>>
>>> On Wed, 30 Aug 2006 16:38:53 +0400
>>> "Dmitry Baronov" <CGatePro@mx.ru> wrote:
>>>> Да, CGP не понимает, куда деть запрос, доставленный c другого
>>>> домена _СВОЕМУ_ юзеру.
>>>>
>>>> 16:22:32.838 2 SIPC-000010 SUBSCRIBE sip:user@mydomain.ru.tls
>>>> 16:22:32.838 4 SIPC-000010 SRV resolving mydomain.ru(sips,tcp)
>>>> 16:22:32.840 4 SIPC-000010 SRV found: mydomain.ru:5061 = [xxxx]
>>>> 16:22:32.841 4 SIPC-000010 trying: sip:xxxx:5061;transport=tls
>>>> 16:22:32.841 3 SIPC-000010 failed to send to [xxxx]:5061. Error
>>>> Code=SIP loop detected
>>>> 16:22:32.841 1 SIPC-000010 sending failed. Error Code=SIP loop
>>>> detected
>>>> 16:22:32.841 5 SIPC(3) 10: killing
>>>>
>>>>
>>>> При запросе со своего домена все обрабатывается по-другому
>>>>
>>>> 16:33:01.449 2 ACCOUNT(user@mydomain.ru) Roster(user2@mydomain.ru)
>>>> outgoing pending
>>>> 16:33:01.449 2 SIGNAL-000016 enqueued
>>>> 16:33:01.453 2 SIGNAL-000016 NULL-000000: SUBSCRIBE
>>>> sip:user2@mydomain.ru
>>>> 16:33:01.453 2 SIGNAL-000016 SUBSCRIBE sip:user2@mydomain.ru via
>>>> sip:user2@mydomain.ru
>>>> 16:33:01.454 2 ACCOUNT(user2@mydomain.ru) Roster(user@mydomain.ru)
>>>> remote 'subscribe' request auto-confirmed
>>>> 16:33:01.454 2 NODE-000004 enqueued
>>>> 16:33:01.455 2 SIGNAL-000018 enqueued
>>>> 16:33:01.455 2 SIGNAL-000016 200 discarded: requestor has detached
>>>> 16:33:01.455 2 SIGNAL-000016 dequeued
>>>> 16:33:01.455 2 SIGNAL-000018 NODE-000004: NOTIFY sip:user@mydomain.ru
>>>> 16:33:01.455 2 SIGNAL-000018 NOTIFY sip:user@mydomain.ru via
>>>> sip:user@mydomain.ru
>>>> 16:33:01.456 2 ACCOUNT(user@mydomain.ru) Roster(user2@mydomain.ru)
>>>> outgoing confirmed
>>>> 16:33:01.456 2 SIGNAL-000018 200 relaying
>>>> 16:33:01.456 2 SIGNAL-000018 dequeued
>>>> 16:33:01.457 2 NODE-000004 dequeued
>>>> 16:33:17.988 2 HTTPA-000027([xxx]) monitorLogList.wssp retrieved
>>>> 16:34:36.271 2 ACCOUNT(user2@mydomain.ru) Roster(user@mydomain.ru)
>>>> outgoing pending
>>>> 16:34:36.338 2 SIGNAL-000020 enqueued
>>>> 16:34:36.341 2 SIGNAL-000020 NULL-000000: SUBSCRIBE
>>>> sip:user@mydomain.ru
>>>> 16:34:36.341 2 SIGNAL-000020 SUBSCRIBE sip:user@mydomain.ru via
>>>> sip:user@mydomain.ru
>>>> 16:34:36.342 2 ACCOUNT(user@mydomain.ru) Roster(user2@mydomain.ru)
>>>> remote 'subscribe' request auto-confirmed
>>>> 16:34:36.342 2 NODE-000006 enqueued
>>>> 16:34:36.342 2 SIGNAL-000022 enqueued
>>>> 16:34:36.343 2 SIGNAL-000020 200 discarded: requestor has detached
>>>> 16:34:36.343 2 SIGNAL-000020 dequeued
>>>> 16:34:36.343 2 SIGNAL-000022 NODE-000006: NOTIFY sip:user2@mydomain.ru
>>>> 16:34:36.343 2 SIGNAL-000022 NOTIFY sip:user2@mydomain.ru via
>>>> sip:user2@mydomain.ru
>>>> 16:34:36.344 2 ACCOUNT(user2@mydomain.ru) Roster(user@mydomain.ru)
>>>> outgoing confirmed
>>>> 16:34:36.344 2 SIGNAL-000022 200 relaying
>>>> 16:34:36.344 2 SIGNAL-000022 dequeued
>>>> 16:34:36.344 2 NODE-000006 dequeued
>>>>
>>>>
>>>>
>>>> Как это лечится?
>>>>
>>>>
>> ##################################################################
>> Вы получили это сообщение потому, что подписаны на список рассылки
>> <CGatePro@mx.ru>.
>>
>> Чтобы отписаться, отправьте сообщение на адрес <CGatePro-off@mx.ru>
>> Чтобы переключиться в режим дайджеста - mailto:<CGatePro-digest@mx.ru>
>> Чтобы переключиться в индексный режим - mailto:<CGatePro-index@mx.ru>
>> Для административных запросов адрес <CGatePro-request@mx.ru>
>> Архив списка: http://mx.demos.su/lists/cgp-russian/
>>
>>
>>
>
> Sincerely,
> Vladimir
>
> ##################################################################
> Вы получили это сообщение потому, что подписаны на список рассылки
> <CGatePro@mx.ru>.
>
> Чтобы отписаться, отправьте сообщение на адрес <CGatePro-off@mx.ru>
> Чтобы переключиться в режим дайджеста - mailto:<CGatePro-digest@mx.ru>
> Чтобы переключиться в индексный режим - mailto:<CGatePro-index@mx.ru>
> Для административных запросов адрес <CGatePro-request@mx.ru>
> Архив списка: http://mx.demos.su/lists/cgp-russian/
>
>
>
Получено Thu Aug 31 09:52:53 2006

Этот архив был сгенерирован hypermail 2.1.8 : Fri 24 Apr 2015 - 16:15:00 MSK