Hallo Gruppe,
Das Problem ist mir nicht neu. Man hat z.B. einen mobilen Client mal im LAN, mal im WAN, der mit Exchange sprechen soll und man nimmt natürlich für die Konfiguration einen FQDN auf die externe IP. Damit dieser Client dann im LAN auch an den benachbarten Exchange kommt, manipuliert man das DNS, so dass Anfragen von LAN an FQDN auf interne die IP aufgelöst werden.
Jetzt aber sitze ich vor VoIP/SIP. Ich habe zwei snom Telefone und als SIP-Provider die Telekom draußen. Mittels nf_conntrack_sip und nf_nat_sip funktionieren ein- und ausgehende Gespräche wunderbar. Aber von snom zu snom (LAN intern) bekomme ich zwar den Ruf aber kein Audio.
Ich beobachte und erkläre mir das so: snomA und snmoB melden sich bei TCom an, dank NAT je mit der einen WAN-IP, die ich habe. Für den Anruf sagt snomA zu TCom ich möchte mit snomB sprechen, TCom übermittelt an snomB den Wunsch und die IP von snomA. snomB nimmt an und bestätigt ggü TCom den Vermittlungswunsch, die TCom meldet snomA die IP von snomB. Fortan sollte Audio nun zwischen den IP snomA und snmoB laufen, was ja im Falle interner Gespräche nun die selbe IP ist.
Mein netfilter hat eth1 im LAN und eth0 im WAN. Nun sind die Gesprächsdaten kein forward, wie die Steuerung/Vermittlung ggü. TCom sondern INPUT an ifLAN für ipWAN. Wenn ich nun diesen INPUT akzeptiere kommt ein ICMP not reachable, weil ja auf dem Gateway nix lauscht, sondern an den anderen Teilnehmer vermittelt werden müsste - INPUT ACCEPT allein ist also doof. Aber woher soll netfilter wissen das es sich nun um traffic für einen andern LAN-Teilnehmer handelt? Dank conntrack, wird vermutlich alles für Audio an ifWAN vorbereitet sein, meine Paket verlassen aber ifLAN nie, weil der Stack wohl entscheidet, der kürzeste Weg ist im Stack (wie sollte überhaupt ein Paket auf einem if "umlenken").
Spannend ist aber, dass appliances wie WatchGuard sowas offenbar problemlos hinbekommen. Fehlt hier ein feature in netfilter oder doch nur Wissen auf meiner Seite?
Kann ich auch interne Telefonate incl. Sprache hinbekommen und wie?
Mit freundlichen Grüßen / Kind regards Ronny Seffner -- Ronny Seffner | Alter Viehweg 1 | 01665 Klipphausen www.seffner.de | ronny@seffner.de | +49 35245 72950 7EA62E22D9CC4F0B74DCBCEA864623A568694DB8