astersik TLS и srtp

[olegtsss]

Вот пример дебага в консоль.

[Sep 9 17:37:45] DEBUG[1794]: res_pjsip_registrar.c:1273 check_expiration_thread: Expiring 0 contacts
[Sep 9 17:38:15] DEBUG[1788]: threadpool.c:1169 worker_idle: Worker thread idle timeout reached. Dying.
[Sep 9 17:38:15] DEBUG[1789]: threadpool.c:1169 worker_idle: Worker thread idle timeout reached. Dying.
[Sep 9 17:38:15] DEBUG[1787]: threadpool.c:1169 worker_idle: Worker thread idle timeout reached. Dying.
[Sep 9 17:38:15] DEBUG[1782]: threadpool.c:1028 worker_thread_destroy: Destroying worker thread 8
[Sep 9 17:38:15] DEBUG[1782]: threadpool.c:1028 worker_thread_destroy: Destroying worker thread 9

[ded]

У вас, вероятно, не настроен TLS на сервере Астериск. Регистрироваться PhonerLite должен на порт 5061
В дебаге не видно, но если на 5060 - то неверно настрое PhonerLite.

1. Найдите хорошую инструкцию и выполните по шагам.
2. Если не получилось - см. п. 1

[olegtsss]

TLS настроен на другом порте: 5101
;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;
tlsenable=yes
tlsbindaddr=0.0.0.0:5101
tlscertfile=/etc/asterisk/keys/asterisk.pem
tlscafile=/etc/asterisk/keys/ca.crt
tlscipher=ALL
tlsclientmethod=tlsv1
tlsdontverifyserver=yes
;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;
По udp все работает, а вот завезти tls не могу. Может нельзя изменять порт по умолчанию?

[olegtsss]

Firewall на АТС мотает пакеты на правильный порт: UDP/5101. Это значит клиент стучиться по правильному. Да и в wiresharke видно.

[ded]

Если отвечает Destination unreachable / port unreachable - значит не настроено.
Смотрите
netstat - nlp | grep asterisk
будет ли задействован порт 5101?

Если да, то отключайте firewall.

[olegtsss]

Посмотрел какие порты слышаются. Все верно, порта для tls в списке нет. А для обычного sip есть. Получается tls не стартует. Ошибка наверное в конфиге где-то.

[olegtsss]

Кто может подскажет где копать? Упростил все что можно:
ls -l /etc/asterisk/keys/
-rw------- 1 root root 1233 Sep 7 14:55 asterisk.crt
-rw------- 1 root root 582 Sep 7 14:55 asterisk.csr
-rw------- 1 root root 887 Sep 7 14:55 asterisk.key
-rw------- 1 root root 2120 Sep 7 14:55 asterisk.pem
-rw------- 1 root root 164 Sep 7 14:55 ca.cfg
-rw------- 1 root root 1777 Sep 7 14:55 ca.crt
-rw------- 1 root root 127 Sep 7 20:56 tmp.cfg

/etc/asterisk/sip.conf
;;;;;;;;;;;;;;;;;;;;;;;;;;;;
tlsenable=yes
tlsbindaddr=0.0.0.0:5061
tlscertfile=/etc/asterisk/keys/asterisk.pem
tlscafile=/etc/asterisk/keys/ca.crt
tlscipher=ALL
tlsclientmethod=tlsv1 ;none of the others seem to work with Blink as the client
;;;;;;;;;;;;;;;;;;;;;;;;;;;;

netstat -a | grep 5061 ---> ПУСТО

[ded]

CLI> module unload chan_sip.so
CLI> module load chan_sip.so

tail /var/log/asterisk/full

[olegtsss]

CLI> module unload chan_sip.so
Unloaded chan_sip.so
Unloading chan_sip.so

CLI> module load chan_sip.so
Loaded chan_sip.so
SIP channel loading...
[Sep 10 00:16:02] ERROR[1346]: tcptls.c:453 __ssl_setup: TLS/SSL error loading cert file. </etc/asterisk/keys/asterisk.pem>
Loaded chan_sip.so => (Session Initiation Protocol (SIP))

Так вроде и должно быть.

[olegtsss]

cat /etc/asterisk/keys/asterisk.pem
-----BEGIN RSA PRIVATE KEY-----
MIICXQIBAAKBgQDh7c96tLsiljUudVcLfYZ7lyRwLnnVfUHHoq1+lB1JSOHiE081
wD13AG0qBf4Z8kKjojyw+aJgwZzCJA4txkXqFIfsTfVS
-----END RSA PRIVATE KEY-----
-----BEGIN CERTIFICATE-----
MIIDYDCCAUgCAQEwDQYJKoZIhvcNAQELBQAwOzEcMBoGA1UEAwwTQXN0ZXJpc2sg
UHJ
FnQOdw==
-----END CERTIFICATE-----