Телефон не регистрируется

[SolarW]

Не замечал с ними кроме проблем кроме упомянутой единичной в которой честно говоря я больше склонен телефон винить.
Решил проблему прописав в планировщик раз в сутки сброс sip-сессий в NAT'е

Код: Выделить всё

/system scheduler
add interval=1d name=sip_reset on-event="/ip firewall connection remove [find connection-type=sip]" policy=\
    ftp,reboot,read,write,policy,test,winbox,password,sniff,sensitive,api start-date=jan/01/1970 start-time=00:00:05

А насчет серии 751 - ну так 951 ей на смену пришла.
RB951G-2HnD это тот же RB751G-2HnD только с:
- более быстрым процом
- в два раза больше оперативки
- в два раза больше флешка
В общем приятная железка, последние месяца 3 ставлю их клиентам - вопросов никаких нет.

[april22]

А насчет серии 751 - ну так 951 ей на смену пришла.
RB951G-2HnD это тот же RB751G-2HnD только с:
- более быстрым процом
- в два раза больше оперативки
- в два раза больше флешка

это так везде по сайтам пишут ,а на поверку там много чего поломали от предыдущей аппаратной платформы .

[D9thc]

вобщем ситуация такова:
SECURITY[25635] res_security_log.c: SecurityEvent="ChallengeSent",EventTV="1387166795-618599",Severity="Informational",Service="SIP",EventVersion="1",AccountID="3030",SessionID="0x7f6204624ed8",LocalAddress="IPV4/UDP/10.1.1.200/5060",RemoteAddress="IPV4/UDP/10.110.38.63/5062",Challenge="13af2575"
Вокак - RemoteAddress - из локалки провайдера.
На роутере int (ISP) - 10.110.38.63 и int (PPTP) - 217.*.*.*
Как так получилось - не пойму

[D9thc]

ну да - роутер zyxel keenetic lite 2

[SolarW]

Можно предположить что сильно умный Кинетик задействует SIP ALG.
Если у вас настроен проброс SIP & RTP Media портов и прописан externhost/externip в настройках астера - то выключите на роутере эту фичу.

[D9thc]

проброс sip&rtp портов настроен на cisco1941 за которой собственно и стоит астер. Остальные 10 абонентов работают без проблем.
sip.conf
<<<
udpbindaddr=10.1.1.200 ;ip_asterisk в локалке
externip=89.*.*.* ;ip_cisco WAN
>>>
как появится доступ на кинетик посмотрю.
Трассировка маршрута к Y.Y.Y.Y (кинетик) с максимальным числом прыжков 30

1 <1 мс 1 ms <1 мс 10.*.*.* /cisco LAN
2 1 ms <1 мс <1 мс 89.*.*.* /cisco WAN
3 1 ms 2 ms 1 ms 62.*.*.* /провайдер
4 1 ms 1 ms 1 ms 10.*.*.* /??? локалка провайдера
5 23 ms 15 ms 55 ms 217.*.*.* /WAN zyxel keenetic

в логе security aster пишет :
SECURITY[25635] res_security_log.c: SecurityEvent="ChallengeSent",EventTV="1387274889-945582",Severity="Informational",Service="SIP",EventVersion="1",
AccountID="3030",SessionID="0x5738198",
LocalAddress="IPV4/UDP/10.*.*.*/5060",
RemoteAddress="IPV4/UDP/10.*.*.*/5062",Challenge="37d6e521"
Вот этот RemoteAddress должен быть 217.*.*.* а какого ... он из подсети провайдера приходит????
проверю еще routetable на кинетике либо косяк у провайдера...

[D9thc]

Удалил из роутера ALG
все заработало - Проблема решена

[SolarW]

Ну как-бы что и требовалось доказать.

[D9thc]

продолжение приключений этого sip-абонента.
напомню инфраструктуру:
* 11.6.0 стоит за натом
sip.conf
<<<
udpbindaddr=10.1.1.200 ;ip_asterisk в локалке
externip=89.x.x.x ;ip_cisco WAN
>>>
проброс порта 5060 на cisco сделан
На другой стороне sip-абонент yealink t20
303@89,x,x,x висит на статич ip 192.168.y.19
находится за натом роутер zyxel keenetic lite2
wan 217.x.x.x ; lan 192.168.y.1 ,проброс 5060 сделан, ALG - отключен.

И вот началось... на этого sip абонента начали прилетать звонки...
лог с телефона
Время SIP-аккаунт Имя Номер
8:28 192.168.y.19@192. 168.1.19 302 302@217.x.x.x
8:28 192.168.y.19@192. 168.1.19 402 402@217.x.x.x
8:28 192.168.y.19@192. 168.1.19 402 402@217.x.x.x
8:28 192.168.y.19@192. 168.1.19 402 402@217.x.x.x
8:28 192.168.y.19@192. 168.1.19 402 402@217.x.x.x
8:28 192.168.y.19@192. 168.1.19 204 204@217.x.x.x

на * работает исправно fail2ban в логах cdr-csv звонков со станции нет что это может быть за беда?

[ded]

На другой стороне sip-абонент yealink t20
303@89,x,x,x висит на статич ip 192.168.y.19
находится за натом роутер zyxel keenetic lite2
wan 217.x.x.x ; lan 192.168.y.1 ,проброс 5060 сделан, ALG - отключен.

192.168.y.1 - внутренние ИП адреса шифруем? Ну-ну....

Представьте себе абстрактную картину: два таких роутера zyxel keenetic lite2 (или cisco 1940 - не важно!)
За одним стоит ИП телефон, за другим -Астериск + fail2ban.

С точки зрения сетевого сканера кулхацкеров это просто объекты, у которых есть порт 5060, то есть SIP. И в которые они вдувают автоматом попытки прозвона -

8:28 192.168.y.19@192. 168.1.19 302 302@217.x.x.x
8:28 192.168.y.19@192. 168.1.19 402 402@217.x.x.x
8:28 192.168.y.19@192. 168.1.19 402 402@217.x.x.x
8:28 192.168.y.19@192. 168.1.19 402 402@217.x.x.x
8:28 192.168.y.19@192. 168.1.19 402 402@217.x.x.x
8:28 192.168.y.19@192. 168.1.19 204 204@217.x.x.x

Сканер не знает даже, что эти объекты связяны между собой, он просто пытается найти уязвимость. Но если во втором случае - где Астериск, эти попытки блокируются fail2ban, то там, где ИП телефон - ничего не блокируется, поэтому на этого sip абонента начали прилетать звонки и лог на телефоне это показывает. А Вы думаете, что что-то за роутером - это = firewall, и проброшенный 5060 порт как волшебный порошок: посыпал - и SIP устройство стало невидимым. Теперь, после разъяснения, перечитайте свой вопрос ещё раз.

Осваивайте VPN.