none
TMG не меняет обратно Адрес NAT для исходящего SIPS траффика после переключения каналов Failover RRS feed

  • Общие обсуждения

  • Добрый день!

    У меня есть установленный TMG с ISP Redundancy (режим отработки отказа).

    За NAT есть IP-телефоны (ходят наружу по TLS-UDP).

    При переключении каналов при отработке отказа для SIPS пакетов как положено меняется адрес NAT.

    После этого канал переключается обратно, а вот Адрес NAT для этих пакетов не меняется (до того момента, пока телефон не перезагрузят, а в логах не появится запись "Закрытое соединение")

    Почему это происходит и как от этого избавиться?

    Заранее спасибо!

Все ответы

  • я с tmg еще не работал, а с его isp-r надеюсь и не придется, но предполагаю что такое происходит потому что при переклчении не рвется соединение, а пока живо соединение жива и nat трансляция (трансляция работает для соединений а не пакетов). попробуй например на tmg после переключения разорвать линк со вторым провайдером.

    Отвечающий
  • Я прекрасно понимаю, что разрыв линка поможет.

    Мне это автоматизировать нужно...

  • насколько я понимаю, тмг не обрывает принудительно коннекты (это вообще мало кто делает, так как нехорошо это). если так сильно надо то можно попробовать повесить на тригер смены isp скрипт обрывающий коннекты.

    Отвечающий
  • Мне даже подойдет скрипт, выполняющий следующее:

    По смене ISP: Разорвать все подключения с IP адресов 192.168.10.5 - 192.168.10.25

    Такое возможно? Если да, то как?

  • для начала надо посмотреть есть ли алерт у tmg на смену isp (или возвращение на предпочитаемый), как я уже говорил, сам тмг в глаза не видел, а у исы нет isp-r и поэтому алертов таких я на ней не увижу. если есть алерт то на его событие можно повесить исполнение скрипта.

    скрипт написать можно самому, там все просто:
    1. качаем TMG SDK http://www.microsoft.com/en-us/download/details.aspx?DisplayLang=en&id=11183 и еще можно погуглить готовые скрипты с похожим функционалом, например здесь http://www.isascripts.org/ чтобы выдернуть подходящие куски кода
    2. читаем там isasdk.chm
    3. пишем скрипт, который сбрасывает все firewall сессии (уверен что телефоны не через web proxy работают :)), выглядит он примерно так:

    On Error Resume Next
    Const iBufferSize32bitLong = 200000
    Dim oFPC, oFilterExpressions, cFirewallSessionsMonitor, oEntry, sLine
    Set oFPC = CreateObject("FPC.Root")
    Set oFilterExpressions = CreateObject("FPC.FPCFilterExpressions")
    oFilterExpressions.FilterType = 1
    oFilterExpressions.AddIPAddressFilter 1, 4, "192.168.10.5"
    oFilterExpressions.AddIPAddressFilter 1, 8, "192.168.10.25"
    Set cFirewallSessionsMonitor = oFPC.GetContainingArray.SessionsMonitors.SessionsMonitorFirewall
    cFirewallSessionsMonitor.ExecuteQuery oFilterExpressions, iBufferSize32bitLong
    if Err.Number <> 0 Then WScript.Quit
    WScript.Sleep(1000)
    For Each oEntry In cFirewallSessionsMonitor
     If oEntry.Event = 0 cFirewallSessionsMonitor.DisconnectSession oEntry.ServerName, oEntry.SessionID
    Next   
    cFirewallSessionsMonitor.EndQuery

    Отвечающий
  • День добрый.

    Укажите пожалуйста версию вашей TMG.

    У вас должен быть установлена TMG 2010 SP2, в SP2 был выпущен фикс для регистрации устройств на внешней IP PBX.


    MCITP. Знание - не уменьшает нашей глупости.

  • Вот что пишет версия TMG:  7.0.9193.500 

    Не могу понять какой это SP

  • List of Build Numbers for Microsoft Forefront Threat Management Gateway (TMG) 

    Проверить настройки

    1. Configuring access for VoIP 

    2. Forefront TMG is SIP-aware

    У вас настроена обратная зона в DNS?

    В дополненние предлагаю начать траблешутинг, примеры траблешутинга  Forefront TMG Troubleshooting Примеры.


    MCITP. Знание - не уменьшает нашей глупости.

  • Уважаемый пользователь!
    В вашей теме отсутствует активность в течение последних 5 дней. При отсутствии каких-либо действий в течение 2 последующих дней, тема будет переведена в разряд обсуждений. Вы можете возобновить дискуссию, просто оставив сообщение в данной теме.

    Мнения, высказанные здесь, являются отражением моих личных взглядов, а не позиции корпорации Microsoft. Вся информация предоставляется "как есть" без каких-либо гарантий