asterisk.ru

Доброго дня.

Пробуем настроить SIP от Билайна.
Как это часто бывает (судя по форумам), входящие звонки работают нормально, а при попытке звонка наружу получаем Forbidden.
Все дело в поле From, которое Билайн очень уж тщательно анализирует и ругается на другой bind port, в отличие от других SIP провайдеров.

Исходные данные:
Asterisk 1.8.32.2

Код: Выделить всё

[b]sip.conf[/b]
udpbindaddr=0.0.0.0:8060

register => 96xxxxxxxx:XxXxXxX@mpbx.sip.beeline.ru:5060/96xxxxxxxx

[Beeline-ah]
username=96xxxxxxxx
type=friend
secret=XxXxXxX
qualify=yes
port=5060
nat=yes
host=mpbx.sip.beeline.ru
fromuser=96xxxxxxxx
fromdomain=mpbx.sip.beeline.ru
dtmfmode=rfc2833
disallow=all
canreinvite=no
context=from-beeline-ah
allow=alaw
allow=ulaw

Проблема:
При исходящем звонке получаем Forbidden.
Если меняем udpbindaddr=0.0.0.0:8060 на udpbindaddr=0.0.0.0, то проблемы нет.
Лог:

Код: Выделить всё

<------------>
    -- Executing [8925xxxxxxx@office-ah:1] Dial("SIP/105-00000090", "SIP/8925xxxxxxx@Beeline-ah,60,t") in new stack
Audio is at 10020
Adding codec 0x8 (alaw) to SDP
Adding codec 0x4 (ulaw) to SDP
Adding non-codec 0x1 (telephone-event) to SDP
Reliably Transmitting (NAT) to 195.239.174.100:5060:
INVITE sip:8925xxxxxxx@mpbx.sip.beeline.ru:5060 SIP/2.0
Via: SIP/2.0/UDP IP.IP.IP.IP:8060;branch=z9hG4bK102b1010;rport
Max-Forwards: 70
From: "105" <sip:96xxxxxxxx@mpbx.sip.beeline.ru:8060>;tag=as137348ce
To: <sip:8925xxxxxxx@mpbx.sip.beeline.ru:5060>
Contact: <sip:96xxxxxxxx@IP.IP.IP.IP:8060>
Call-ID: 7422a31c7a9193f05a67954122580d0c@mpbx.sip.beeline.ru
CSeq: 102 INVITE
User-Agent: Asterisk PBX 1.8.32.2
Date: Mon, 04 Jul 2016 09:53:38 GMT
Allow: INVITE, ACK, CANCEL, OPTIONS, BYE, REFER, SUBSCRIBE, NOTIFY, INFO, PUBLISH, MESSAGE
Supported: replaces, timer
Content-Type: application/sdp
Content-Length: 263

v=0
o=root 1372178263 1372178263 IN IP4 IP.IP.IP.IP
s=Asterisk PBX 1.8.32.2
c=IN IP4 IP.IP.IP.IP
t=0 0
m=audio 10020 RTP/AVP 8 0 101
a=rtpmap:8 PCMA/8000
a=rtpmap:0 PCMU/8000
a=rtpmap:101 telephone-event/8000
a=fmtp:101 0-16
a=ptime:20
a=sendrecv

---
    -- Called SIP/8925xxxxxxx@Beeline-ah

<--- SIP read from UDP:195.239.174.100:5060 --->
SIP/2.0 403 Forbidden
Via: SIP/2.0/UDP IP.IP.IP.IP:8060;received=IP.IP.IP.IP;rport=8060;branch=z9hG4bK102b1010
To: <sip:8925xxxxxxx@mpbx.sip.beeline.ru:5060>;tag=h7g4Esbg_ss38wjcftl2lvmx32kxsjzu1rwx18ziy
From: "105" <sip:96xxxxxxxx@mpbx.sip.beeline.ru:8060>;tag=as137348ce
Call-ID: 7422a31c7a9193f05a67954122580d0c@mpbx.sip.beeline.ru
CSeq: 102 INVITE
Content-Length: 0

<------------->
--- (7 headers 0 lines) ---
Transmitting (NAT) to 195.239.174.100:5060:
ACK sip:8925xxxxxxx@mpbx.sip.beeline.ru:5060 SIP/2.0
Via: SIP/2.0/UDP IP.IP.IP.IP:8060;branch=z9hG4bK102b1010;rport
Max-Forwards: 70
From: "105" <sip:96xxxxxxxx@mpbx.sip.beeline.ru:8060>;tag=as137348ce
To: <sip:8925xxxxxxx@mpbx.sip.beeline.ru:5060>;tag=h7g4Esbg_ss38wjcftl2lvmx32kxsjzu1rwx18ziy
Contact: <sip:96xxxxxxxx@IP.IP.IP.IP:8060>
Call-ID: 7422a31c7a9193f05a67954122580d0c@mpbx.sip.beeline.ru
CSeq: 102 ACK
User-Agent: Asterisk PBX 1.8.32.2
Content-Length: 0


---
[Jul  4 13:53:38] WARNING[-1]: chan_sip.c:21062 handle_response_invite: Received response: "Forbidden" from '"105" <sip:96xxxxxxxx@mpbx.sip.beeline.ru:8060>;tag=as137348ce'
Scheduling destruction of SIP dialog '7422a31c7a9193f05a67954122580d0c@mpbx.sip.beeline.ru' in 6400 ms (Method: INVITE)
  == Everyone is busy/congested at this time (1:0/0/1)
    -- Executing [8925xxxxxxx@office-ah:2] Hangup("SIP/105-00000090", "") in new stack
  == Spawn extension (office-ah, 8925xxxxxxx, 2) exited non-zero on 'SIP/105-00000090'
Scheduling destruction of SIP dialog 'LOAp6iOTVBpmhW54xkhEvxDcNCn0h6IR' in 32000 ms (Method: INVITE)

Вот ответ от техподдержки Билайн, после того как они увидели лог:

Получен ответ по проверке.
Клиент присылает нам в поле From sip:96xxxxxxxx@mpbx.sip.beeline.ru:8060 с номером порта 8060, в то время как регистрация приходит без 8060 в поле From.

Помогите пожалуйста правильно настроить поле From

Я так понимаю, проблемная строчка
From: "105" <sip:96xxxxxxxx@mpbx.sip.beeline.ru:8060>;tag=as137348ce
А требуется
From: "105" <sip:96xxxxxxxx@mpbx.sip.beeline.ru:5060>

Попробуйте указать
fromdomain=mpbx.sip.beeline.ru:5060

ded писал(а):Попробуйте указать
fromdomain=mpbx.sip.beeline.ru:5060

К сожалению это не помогло.
Есть ещё идеи?

ЧТо получается в пакете INVITE если подставлять fromdomain=mpbx.sip.beeline.ru:5060 ??

Код: Выделить всё

Reliably Transmitting (NAT) to 195.239.174.100:5060:
INVITE sip:8925xxxxxxx@mpbx.sip.beeline.ru:5060 SIP/2.0
Via: SIP/2.0/UDP IP.IP.IP.IP:8060;branch=z9hG4bK102b1010;rport
Max-Forwards: 70
From: "105" <sip:96xxxxxxxx@mpbx.sip.beeline.ru:8060>;tag=as137348ce
To: <sip:8925xxxxxxx@mpbx.sip.beeline.ru:5060>
Contact: <sip:96xxxxxxxx@IP.IP.IP.IP:8060>

ded писал(а):ЧТо получается в пакете INVITE если подставлять fromdomain=mpbx.sip.beeline.ru:5060 ??

А всё то же самое, то есть порт не меняется с 8060 на 5060:
В sip.conf прописано fromdomain=mpbx.sip.beeline.ru:5060

Код: Выделить всё

Reliably Transmitting (NAT) to 195.239.174.100:5060
INVITE sip:8925xxxxxxx@mpbx.sip.beeline.ru SIP/2.0
Via: SIP/2.0/UDP IP.IP.IP.IP:8060;branch=z9hG4bK478bbfe9;rport
Max-Forwards: 70
From: "105" <sip:96xxxxxxxx@mpbx.sip.beeline.ru:8060>;tag=as71e61d6a
To: <sip:8925xxxxxxx@mpbx.sip.beeline.ru>
Contact: <sip:96xxxxxxxx@194.246.114.2:8060>

kdesys писал(а):Если меняем udpbindaddr=0.0.0.0:8060 на udpbindaddr=0.0.0.0, то проблемы нет.

А зачем вы меняете ?

ded писал(а):если подставлять fromdomain=mpbx.sip.beeline.ru:5060

То астериск проигнорит ":5060"

virus_net писал(а):kdesys писал(а):Если меняем udpbindaddr=0.0.0.0:8060 на udpbindaddr=0.0.0.0, то проблемы нет.
А зачем вы меняете?

Если спрашиваете зачем поменяли со стандартного порта на 8060, то как и все, чтобы уменьшить количество сканирований и попыток взлома.
Если интересуетесь зачем пробовали поменять обратно на 5060, то просто ради эксперимента, чтобы убедиться, что вся проблема в том, что asterisk шлет порт 8060 в заголовке From в Билайн, а тот не хочет с ним работать.
В отличие от всех остальных SIP провайдеров, коих у нас подключено 5 штук (Ростелеком, Youmagic, Мультифон, Телко и ТелПлюс) и таких проблем как с Билайном нет.

virus_net писал(а):ded писал(а):если подставлять fromdomain=mpbx.sip.beeline.ru:5060
То астериск проигнорит ":5060"

Здесь тоже не понял, что Вы имеете ввиду.

Есть идеи, что нужно сделать?

kdesys писал(а):Если спрашиваете зачем поменяли со стандартного порта на 8060, то как и все, чтобы уменьшить количество сканирований и попыток взлома.

Думаю, что у mpbx.sip.beeline.ru, который работает на стандартном порту 5060, количество сканирований и попыток взлома побольше будет, не так ли?
Нет смысла уходить на 8060, есть смысл совершенствовать системы защиты.

kdesys писал(а):не понял, что Вы имеете ввиду

именно то что я написал, "хак" не поможет

kdesys писал(а):Есть идеи, что нужно сделать?

вернуть на стандартный порт, закрыть порт firewall`ом
не можете закрыть firewall`ом, по тем или иным причинам, то грамотно выполнить настройку sip пиров и диалплана
вообщем:

ded писал(а):Нет смысла уходить на 8060, есть смысл совершенствовать системы защиты

+1

Не один сервер на 5060, все открыты (в смысле не за firewall`ом и даже с allowguest=yes) и ничего страшного, живет. Сканят ? Да постоянно. Добились чего то ? Не а. Ну если не считать что они добились того, что я могу собирать нужную мне статистику.

ТС, Вы тут втираете на Астериск, а у самого:

Reliably Transmitting (NAT)

Где настройки NAT? Кто вообще эту операцию в сашей сетке делает?
Что с SIP ALG ..

По теме "сканят меньше": ну кто мешает Port Forwarding сделать сразу на 2 порта - через 5060 для знакомых IP и от 8060 для всех?

asterisk.ru

SIP от Билайн

SIP от Билайн

Re: SIP от Билайн

Re: SIP от Билайн

Re: SIP от Билайн

Re: SIP от Билайн

Re: SIP от Билайн

Re: SIP от Билайн

Re: SIP от Билайн

Re: SIP от Билайн

Re: SIP от Билайн