andrey wrote:
> Добрый день!
>
> Порылся в архиве расылки, нашел что с год назад тему обсуждали. Но судя по
> всему безрезультатно.
>
> Есть сеть, состоящая из DMZ (192.168.111.0/24), TrustZone (LAN,
> 192.168.168.0/24),
> UntustZone (WAN). CGP стоит в DMZ. Кроме того, в DMZ терминируется VPN
> (192.168.1.0/24).
>
> В CGP в адресах LAN прописаны и адреса TrustZone и адреса VPN. Но
> непосредственно
> доступа из TrustZone в VPN и обратно нет и быть не должно.
> В результате имеем проблему - media из TrustZone в VPN и обратно не ходит.
> Вопрос. Можно ли заставить CGP проксировать медиа для определенных
> комбинаций IP
> адресов. Или на крайний случай заставить проксировать все media?
> Или еще какие есть варианты решения проблемы?
Я плохой советчик, у нас в LAN IPs пусто, но предположить можно. Медия гарантированно проксируется на границе LAN/не-LAN. Поэтому если вынести VPN из LAN IPs, то TrustZone будет проксироваться всегда. Побочный эффект оценить трудно: мало исходных данных.
Вообще, если LAN 'by design' не имеет коннективити хотя бы с одной внешней сетью, ей на border нужно ставить outbound proxy. Например, тот же CGatePro с одним postmaster'ом и одной строкой в Router'е. Outbound такой:
Network -> LAN IPs
192.168.1.1-192.168.1.255 ; VPN
Network -> Client IPs
192.168.111.1 ; адрес основного Proxy/Registrar в DMZ Real-Time -> SIP -> Sending
Relay to Any IP Address for: [clients]
[v] Force Dialog Relaying
Router
S:target.domain = target.domain@192.168.111.1.5060.via
Limitations: а) лучше прописать VPN'ам адрес outbound в SIP DNS SRV для target.domain, иначе придется пробивать руками; б) роутер [в левой части] не будет работать с адресами в формате IPv4, поэтому клиенты должны пользоваться доменной адресацией.
У нас один такой outbound собирает всех, кто разрезолвил _sip._tcp.sipnet.ru, на нем бывает по 10K activeThreads...
-- Герман Мызовский, Tario Communications.Получено Sun Aug 05 17:25:44 2007
Этот архив был сгенерирован hypermail 2.1.8 : Mon 06 Aug 2007 - 00:14:41 MSD