Controle de banda 1mb-512kb p/ dados e 512kb p/ Voip

**zenun** · 26-06-2008, 13:58

Postado originalmente por lfernandosg

certo realmente não instalei...vou fazer isso hoje e posto a reposta mas estou com outra dúvida:

no lugar do ip interno 10.0.1.5 posso usar o ip válido mesmo(ex.: 189.201.xxx.345)?ou esse scritp passado só funciona com ip interno?e no caso, vou rodar o script no servidor de internet ex.: 200.xxx.201.xxx

OBS: vou usar um ip válido do meu bloco de ips e não o ip válido do servidor linux(onde está o script) já que o pessoal da obelisk tem seu próprio iptables para proteger o asterisk.

Amigo, esse script que nosso amigo passou ali para você basicamente precisa estar no seu gateway!

Se você quer que ele funcione com o ip externo (imagino que vai ser um segundo, como alias) você vai precisar trabalhar com o target mark do iptables para marcar os pacotes que chegam por esse ip e fazer com que o tc verifique esses valores.

Tem um monte de exemplo de como fazer!

**lfernandosg** · 26-06-2008, 14:21

meu problema é o seguinte...eu iria colocar o ip desse servidor asterisk como 10.0.1.5 que de fora para o pessoal da obelisk acessá-lo teria que digitar 200.x.x.x. e iria ser direcionado para o ip interno mas como disso nosso amigo no tópico anterior o Asterisk não funciona com nat por tras e a Obelisk já roda um script iptables próprio dela. então minha questão é:

como faço para dividir minha banda em:

512 para o servidor asterisk com ip 201.x.x.x.x
512 para o restante da rede

OBS.; o gateway da minha rede é um debian 4.0 com squid+iptables qeu tem ip externo 201.x.x.x. e interno 10.0.1.254(rede interna da empresa)

**zenun** · 26-06-2008, 17:41

Postado originalmente por lfernandosg

meu problema é o seguinte...eu iria colocar o ip desse servidor asterisk como 10.0.1.5 que de fora para o pessoal da obelisk acessá-lo teria que digitar 200.x.x.x. e iria ser direcionado para o ip interno mas como disso nosso amigo no tópico anterior o Asterisk não funciona com nat por tras e a Obelisk já roda um script iptables próprio dela. então minha questão é:

como faço para dividir minha banda em:

512 para o servidor asterisk com ip 201.x.x.x.x
512 para o restante da rede

OBS.; o gateway da minha rede é um debian 4.0 com squid+iptables qeu tem ip externo 201.x.x.x. e interno 10.0.1.254(rede interna da empresa)

Amigo, um detalhe...
O asterisk pelo que ja testei e vi funciona atraz de um NAT!
Você precisa configurar alguns detalhes em seu arquivo de configuração das extensões dos seus clientes como:

Código :

qualify=yes
nat=yes

E igual o ip do seu asterisk continuará sendo 10.0.1.5 correto?
Ou você vai colocar um ip publico?

**GrayFox** · 26-06-2008, 18:31

Como ja disse em um post aqui, o ideal seria colocar ip valido nessa maquina e controlar direto na interface do asterisk.

Se tivessem pelo menos prestado a atencao...

SIP atrás de nat é um problema, os pacotes RTP se perdem. Se fosse IAX2 até nao daria tanto problema.

**zenun** · 26-06-2008, 18:41

Postado originalmente por GrayFox

Como ja disse em um post aqui, o ideal seria colocar ip valido nessa maquina e controlar direto na interface do asterisk.

Se tivessem pelo menos prestado a atencao...

SIP atrás de nat é um problema, os pacotes RTP se perdem. Se fosse IAX2 até nao daria tanto problema.

É uma opção sem duvida, mas ai tem que tomar cuidado com a segurança!

Dessa forma não pode esquecer de fazer QoS tanto no Asterisk e no Firewall, cada um com sua banda garantida. Assim você perde a possibilidade de fazer classes de QoS aninhadas uma podendo "emprestar" da outra quando não existir trafego!

Bom, cada abordagem tem sua vantagem e desvantagem!

**lfernandosg** · 26-06-2008, 19:36

GrayFox,
como faço para fazer por interface??

zenun,

se for usar atraves de um nat, como faço para direcionar quano for digitado no ssh/putty 200.xxx.xxx.xxx porta 22 para cair no servidor 10.0.1.5 com prerouting? uso as linhas abaixo no server para acesso ao TS windows:

iptables -A PREROUTING -p tcp --dport 3389 -j DNAT -t nat --to-destination 10.0.1.80-10.0.1.80:3389 # redirecionar porta terminal services
iptables -A FORWARD -i $IF_EXTERNO --dst 10.0.1.80/255.255.255.0 -p tcp --dport 3389 -j ACCEPT # habilitar trafego ts

lembrando que nesse caso acima o ip valido digitado é o servidor linux que no meu caso não vai ser o mesmo do asterisk e que tb acesso o server linux via ssh para não ser bloqueado.

**zenun** · 26-06-2008, 19:45

Então meu amigo,

Você não disse que essas regras funcionam para seu TS?
Já tentou fazer o mesmo para SSH?

**GrayFox** · 26-06-2008, 21:06

Mas ficando atras de um nat nao funcionaria direito o sip. Entao o que adiantaria?
Ainda por cima, só se fizesse redirecionamento de nao sei quantas mil portas que o rtp usa para esse servidor...

Postado originalmente por zenun

É uma opção sem duvida, mas ai tem que tomar cuidado com a segurança!

Dessa forma não pode esquecer de fazer QoS tanto no Asterisk e no Firewall, cada um com sua banda garantida. Assim você perde a possibilidade de fazer classes de QoS aninhadas uma podendo "emprestar" da outra quando não existir trafego!

Bom, cada abordagem tem sua vantagem e desvantagem!

**zenun** · 26-06-2008, 21:34

Bom isso é o que voce esta dizendo!
Da uma olhada aqui nesse site amigo:

Asterisk SIP NAT solutions - voip-info.org

E como disse, cada implementação tem sua vantagem/desvantagem!

**GrayFox** · 26-06-2008, 21:41

Gambiarra do cao...

Postado originalmente por zenun

Bom isso é o que voce esta dizendo!
Da uma olhada aqui nesse site amigo:

Asterisk SIP NAT solutions - voip-info.org

E como disse, cada implementação tem sua vantagem/desvantagem!

**zenun** · 27-06-2008, 01:04

Ola amigo,

De verdade que cansei de discutir! Hehehe
Acho que aqui não é espaço para isso!
Estamos buscando alternativas para o nosso amigo!

Se ele tiver mais endereços IP disponíveis ótimo! Ele pode colocar um endereço ip público no Asterisk, mas se esse não for o caso ai esta uma alternativa!

Creio que aqui não deveria ser um local de discuções pessoais tentando mostrar quem sabe mais.

Espero que as alternativas que postamos aqui possam ajudar o nosso amigo!

**GrayFox** · 27-06-2008, 01:23

Desculpe mas eu nao vejo dessa forma.
Em si, o protocolo sip nao foi feito para trabalhar com nat, tanto que foram criadas varias ferramentas para manobrar...

Postado originalmente por zenun

Ola amigo,

De verdade que cansei de discutir! Hehehe
Acho que aqui não é espaço para isso!
Estamos buscando alternativas para o nosso amigo!

Se ele tiver mais endereços IP disponíveis ótimo! Ele pode colocar um endereço ip público no Asterisk, mas se esse não for o caso ai esta uma alternativa!

Creio que aqui não deveria ser um local de discuções pessoais tentando mostrar quem sabe mais.

Espero que as alternativas que postamos aqui possam ajudar o nosso amigo!

**zenun** · 27-06-2008, 01:31

Bom amigo você não ver dessa forma não muda o fato da necessidade de uma solução para o problema dele sendo essa da forma como você disse ou da forma como eu sugeri e no principio da conversa o papo nem foi esse, foi QoS!

Espero que nosso amigo nos de uma resposta, não vou continuar com a discução.

**GrayFox** · 27-06-2008, 01:41

Cara, nao to vendo como discussão, só que o fato de colocar um asterisk atras de um nat nao vejo algo agradável, mas se quer tanto um QoS porque entao nao coloca uma maquina fazendo bridge e QoS?

Router -- bridge unix ---- servidor da rede local
---- asterisk

Assim ficaria com QoS e o asterisk ficaria tambem com ip válido.

**GrayFox** · 27-06-2008, 04:24

Escrevi um equivoco em um post passado:
Quem tem problema com NAT nao é o SIP, é o RTP.

Saudações,

**zenun** · 27-06-2008, 11:49

Olá amigo,

Concordo com sua sugestão da bridge, porém temos que ver quais as opções que ele dispõe para uma implementação.

**lfernandosg** · 27-06-2008, 12:43

GrayFox então como eu faria por interface?

**GrayFox** · 27-06-2008, 12:49

Com Linux é melhor esperar os amigos responderem.

Com freebsd voce faz essas linhas que resolvem o teu problema:

ipfw pipe 1 config bw 512kb/s
ipfw add pipe 1 all from any to any via INTERFACE

Se quiser também pode utilizar o packetfilter e usar o ALTQ para fazer um QoS mais apropriado (se fizer uma bridge).

Saudações,

**lfernandosg** · 27-06-2008, 13:26

certo...lembrando que o asterisk esta em uma maquina diferente do server de internet linux.

sao dois ips validos diferentes.

Se alguém puder ajudar fico grato!

**arium** · 27-06-2008, 14:30

interface = eth1
Remote IP = 10.0.1.5
download = 512
upload = 512
mark = 123

/sbin/tc qdisc add dev $interface root handle 1 cbq bandwidth 10Mbit avpkt 1000 cell 8
/sbin/tc class add dev $interface parent 1: classid 1:$mark cbq bandwidth 10Mbit rate "$download"Kbit weight `expr $download / 10`Kbit prio 1 allot 1514 cell 8 maxburst 20 avpkt 1000 bounded
/sbin/tc qdisc add dev $interface parent 1:$mark handle $mark sfq perturb 10
/sbin/tc filter add dev $interface parent 1:0 protocol ip prio 200 handle $mark fw classid 1:$mark
iptables -t mangle -A POSTROUTING -d $remoteIP -j MARK --set-mark $mark

/sbin/tc qdisc add dev eth0 root handle 1 cbq bandwidth 10Mbit avpkt 1000 cell 8
/sbin/tc class add dev eth0 parent 1: classid 1:$mark cbq bandwidth 10Mbit rate "$upload"Kbit weight `expr $upload / 10`Kbit / 10`Kbit prio 1 allot 1514 cell 8 maxburst 20 avpkt 1000 bounded
/sbin/tc qdisc add dev eth0 parent 1:$mark handle $mark sfq perturb 10
/sbin/tc filter add dev eth0 parent 1:0 protocol ip prio 200 handle $mark fw classid 1:$mark
iptables -t mangle -A FORWARD -s $remoteIP -j MARK --set-mark $mark

Controle de banda 1mb-512kb p/ dados e 512kb p/ Voip

Ferramentas de Tópicos