Страница 1 из 2
chan_sip.c:4128 retrans_pkt
Добавлено: 16 апр 2020, 13:01
_OS_
Здравствуйте кто сталкивался с подобным? Как избавится от этого весь эфир засирает и не возможно посмотреть не чего.
WARNING[1280]: chan_sip.c:4128 retrans_pkt: Timeout on 1536387267-1553760674-818683971 on non-critical invite transaction.
Re: chan_sip.c:4128 retrans_pkt
Добавлено: 16 апр 2020, 13:51
ded
Это след от быстрых нейтронов в пузырьковой камере Вильсона, то есть от сканеров, которые тралят интернет в поисках глупо настроенных РВХ.
Вариантов немного:
1) Закрыться ото всех - White list.
2) Убрать слово warning в перечислении сообщений, выводимых в консоль - logger.conf
console => notice,warning,error
и сделать
CLI> logger reload
Re: chan_sip.c:4128 retrans_pkt
Добавлено: 16 апр 2020, 15:16
Zavr2008
Asterisk за NAT? Тогда его нужно настроить)
Re: chan_sip.c:4128 retrans_pkt
Добавлено: 16 апр 2020, 17:01
ded
Zavr2008? При чём тут NAT?
Re: chan_sip.c:4128 retrans_pkt
Добавлено: 16 апр 2020, 18:34
_OS_
Сервер стоит за роутером (mikrotik) на роутере стоит проброс портов 5060 и 10000-20000.
На микроте стоит сетевой экран который банит все адреса которые пытаются подобрать пароль в бане постоянно светятся забаненые ip закрыть от внешнего мира нет возможности так как многие цепляются из вне.
Re: chan_sip.c:4128 retrans_pkt
Добавлено: 16 апр 2020, 19:02
ded
ded писал(а):2) Убрать слово warning в перечислении сообщений, выводимых в консоль - logger.conf
console => notice,warning,error
и сделать
CLI> logger reload
Re: chan_sip.c:4128 retrans_pkt
Добавлено: 16 апр 2020, 19:42
_OS_
Но это же просто скроет из консоли нагрузка же не пропадет или я не правильно что то понял?
Re: chan_sip.c:4128 retrans_pkt
Добавлено: 16 апр 2020, 19:49
ded
Какая нагрузка? Она ничтожна, можете замерять. Если кто-то захочет вас завалить в открытый порт 5060, то это легко: udp_flood с рандомной подстановкой source IP сразу из нескольких источников. Микротик ляжет.
Сервер стоит за роутером (mikrotik) на роутере стоит проброс портов 5060. То есть порт 5060 открыт для всех, верно?
Вы хотите чтобы он был
а) открыт для всех, и сканеров тоже (они не только пароли подбирают вообще, они по всякому пытаются звонки инициировать)
б) чтобы при этом не было нагрузки?
Такая схема есть, называется Session border controller, в нём тоже два интерфейса - WAN & LAN, а роутинга или НАТа как раз между ними нет. Вот такое устройство и снизит нагрузку, и думаю, что из микротика SBC никакой.
Re: chan_sip.c:4128 retrans_pkt
Добавлено: 17 апр 2020, 02:34
Zavr2008
При чём тут NAT?
Я оказался прав)
Стандартные вещи, в 1000й раз:
1. externip,localnet,nat в [general] sip*.conf
2.
Mikrotik SIp ALG disable
3. directmedia=no у пира, правильно настроенная авторизация.
4. ACL на пирах! те которые - локальные - режем по deny/permit.
5. SRC лист на микротике всем тем, кому МЫ посылаем REGISTER или INVITE. В белый список.
6. Можно на микротике на 5060 сделать на микротике ловушку, а сам SIP на другом порту каком, бОльшим по номеру. Большинство простых сканеров улетят в бан не добравшись.
Re: chan_sip.c:4128 retrans_pkt
Добавлено: 17 апр 2020, 07:55
_OS_
"Можно на микротике на 5060 сделать на микротике ловушку" Уже сделано и бессрочный автобан для тех кто попытался зайти в течении 15 секунд подбирая пароли или пара.
Значит это сообщение нестрашно. Можно просто скрыть и забыть )) сервер уже больше года смотрит во внеш ку и не пал еще )))