Спасибо за информацию, будем медитировать. Хотя с моей точки зрения было бы лучше иметь возможность где то явно указать что все медиа надо прокисировать - в условиях типа моих, когда sip-абонентов с десяток-два с первпективой до не более пары сотен это наиболее простое решение.
Cheers,
Andrey
> -----Original Message-----
> From: CommuniGate Pro Russian Discussions [mailto:CGatePro@mx.ru]
> Sent: Sunday, August 05, 2007 11:26 PM
> To: CommuniGate Pro Russian Discussions
> Subject: [CGP] Конфигурация SIP Outbound. Was: И снова Media Proxy
>
> andrey wrote:
> > Добрый день!
> >
> > Порылся в архиве расылки, нашел что с год назад тему обсуждали. Но
> > судя по всему безрезультатно.
> >
> > Есть сеть, состоящая из DMZ (192.168.111.0/24), TrustZone (LAN,
> > 192.168.168.0/24), UntustZone (WAN). CGP стоит в DMZ.
> Кроме того, в
> > DMZ терминируется VPN (192.168.1.0/24).
> >
> > В CGP в адресах LAN прописаны и адреса TrustZone и адреса VPN. Но
> > непосредственно доступа из TrustZone в VPN и обратно нет и быть не
> > должно.
> > В результате имеем проблему - media из TrustZone в VPN и
> обратно не ходит.
> > Вопрос. Можно ли заставить CGP проксировать медиа для определенных
> > комбинаций IP адресов. Или на крайний случай заставить проксировать
> > все media?
> > Или еще какие есть варианты решения проблемы?
>
> Я плохой советчик, у нас в LAN IPs пусто, но предположить
> можно. Медия гарантированно проксируется на границе
> LAN/не-LAN. Поэтому если вынести VPN из LAN IPs, то TrustZone
> будет проксироваться всегда. Побочный эффект оценить трудно:
> мало исходных данных.
>
> Вообще, если LAN 'by design' не имеет коннективити хотя бы с
> одной внешней сетью, ей на border нужно ставить outbound
> proxy. Например, тот же CGatePro с одним postmaster'ом и
> одной строкой в Router'е. Outbound такой:
>
> Network -> LAN IPs
> 192.168.1.1-192.168.1.255 ; VPN
> Network -> Client IPs
> 192.168.111.1 ; адрес основного Proxy/Registrar в DMZ
> Real-Time -> SIP -> Sending
> Relay to Any IP Address for: [clients]
> [v] Force Dialog Relaying
> Router
> S:target.domain = target.domain@192.168.111.1.5060.via
>
> Limitations: а) лучше прописать VPN'ам адрес outbound в SIP
> DNS SRV для target.domain, иначе придется пробивать руками;
> б) роутер [в левой части] не будет работать с адресами в
> формате IPv4, поэтому клиенты должны пользоваться доменной адресацией.
>
> У нас один такой outbound собирает всех, кто разрезолвил
> _sip._tcp.sipnet.ru, на нем бывает по 10K activeThreads...
>
> --
>
> Герман Мызовский,
> Tario Communications.
>
> ##################################################################
> Вы получили это сообщение потому, что подписаны на список рассылки
> <CGatePro@mx.ru>.
>
> Чтобы отписаться, отправьте сообщение на адрес
> <CGatePro-off@mx.ru> Чтобы переключиться в режим дайджеста -
> mailto:<CGatePro-digest@mx.ru> Чтобы переключиться в
> индексный режим - mailto:<CGatePro-index@mx.ru> Для
> административных запросов адрес <CGatePro-request@mx.ru>
> Архив списка: http://mx.demos.su/lists/cgp-russian/
>
>
>
>
Получено Mon Aug 06 08:44:44 2007
Этот архив был сгенерирован hypermail 2.1.8 : Mon 06 Aug 2007 - 16:15:25 MSD