Настройка TLS от Life
Добавлено: 31 авг 2016, 22:07
Здравствуйте
(Asterisk 13.10 + Freepbx 13.0.143)
Router Mikrotik (10.0.10.1)
IP Asterisk - 10.0.10.5
Подскажите пожалуйста, кто встречался с настройкой peer'а от провайдера Life через TLC ? (Смотрел на форуме подобные проблемы но вопрос в другом)
Прислали они настройки.
IP SIP TLS: 212.58.XXX.XX6 port 5071
Media IP: 212.58.XXX.XX7 and 212.58.XXX.XX8 udp ports 1024-65535
Codec:g711.u
Номер дозвона: 38056XXXXXXX
На роутере открыты порты 5060, 5061, 1024-65535
Сказали, что регистрация типа register =>tls://....... не нужна, установить параметр tlsdontverifyserver=yes, tlsclientmethod=tlsv1
Если я правильно все понял, в данном случае обе стороны будут запрашивать друг у друга открытые ключи, шифровать данные и пересылать друг другу внутри tls сессии.
У себя настраиваю TLS
Peer к life
Соединение вроде бы есть - sip show peers
Name/username Host Dyn Forcerport Comedia ACL Port Status
38056XXXXXXX/38056XXXXXXX 212.58.XXX.XX6 Yes Yes 5071 OK (9 ms)
При звонке на номер 38056XXXXXXX, дебаг выдает SIP/2.0 401 Unauthorized, видно что приходит на 10.0.10.1, т.е. на внутренний адрес роутера и вроде правильно так как tlsbindaddr=0.0.0.0 будет слушать с шлюза. Короче говоря запутался, пробовал ставить туда и внешний IP роутера и адрес Asterisk`а - либо ругается либо вообще перезагружает Астериск.
(Asterisk 13.10 + Freepbx 13.0.143)
Router Mikrotik (10.0.10.1)
IP Asterisk - 10.0.10.5
Подскажите пожалуйста, кто встречался с настройкой peer'а от провайдера Life через TLC ? (Смотрел на форуме подобные проблемы но вопрос в другом)
Прислали они настройки.
IP SIP TLS: 212.58.XXX.XX6 port 5071
Media IP: 212.58.XXX.XX7 and 212.58.XXX.XX8 udp ports 1024-65535
Codec:g711.u
Номер дозвона: 38056XXXXXXX
На роутере открыты порты 5060, 5061, 1024-65535
Сказали, что регистрация типа register =>tls://....... не нужна, установить параметр tlsdontverifyserver=yes, tlsclientmethod=tlsv1
Если я правильно все понял, в данном случае обе стороны будут запрашивать друг у друга открытые ключи, шифровать данные и пересылать друг другу внутри tls сессии.
У себя настраиваю TLS
PRIME_BBCODE_SPOILER_SHOW PRIME_BBCODE_SPOILER:
tlsenable=yes
tlsbindaddr=0.0.0.0
tlscafile=/etc/asterisk/keys/ca.crt
tlscertfile=/etc/asterisk/keys/asterisk.pem
tlscipher=ALL
tlsclientmethod=tlsv1
tlsdontverifyserver=yes
tlsbindaddr=0.0.0.0
tlscafile=/etc/asterisk/keys/ca.crt
tlscertfile=/etc/asterisk/keys/asterisk.pem
tlscipher=ALL
tlsclientmethod=tlsv1
tlsdontverifyserver=yes
PRIME_BBCODE_SPOILER_SHOW PRIME_BBCODE_SPOILER:
[38056XXXXXXX]
disallow=all
type=friend
allow=ulaw
allow=alaw
allow=g729
host=212.58.XXX.XX6
defaultuser=38056XXXXXXX
insecure=port,invite
port=5071
transport=tls
fromuser=38056XXXXXXX
canreinvite=no
canredirect=no
qualify=yes
encryption=yes
nat=force_rport,comedia
registerattempts=0
rtpkeepalive=45
context=from-life
disallow=all
type=friend
allow=ulaw
allow=alaw
allow=g729
host=212.58.XXX.XX6
defaultuser=38056XXXXXXX
insecure=port,invite
port=5071
transport=tls
fromuser=38056XXXXXXX
canreinvite=no
canredirect=no
qualify=yes
encryption=yes
nat=force_rport,comedia
registerattempts=0
rtpkeepalive=45
context=from-life
Name/username Host Dyn Forcerport Comedia ACL Port Status
38056XXXXXXX/38056XXXXXXX 212.58.XXX.XX6 Yes Yes 5071 OK (9 ms)
При звонке на номер 38056XXXXXXX, дебаг выдает SIP/2.0 401 Unauthorized, видно что приходит на 10.0.10.1, т.е. на внутренний адрес роутера и вроде правильно так как tlsbindaddr=0.0.0.0 будет слушать с шлюза. Короче говоря запутался, пробовал ставить туда и внешний IP роутера и адрес Asterisk`а - либо ругается либо вообще перезагружает Астериск.
PRIME_BBCODE_SPOILER_SHOW PRIME_BBCODE_SPOILER:
<--- SIP read from TLS:10.0.10.1:34105 --->
INVITE sip:38056XXXXXXX@WAN_ASTERISK:5061;transport=TLS SIP/2.0
Record-Route: <sip:212.58.XXX.XX6:5071;transport=tls;r2=on;lr;ftag=15003392085886;did=728.4e91;vsf=AAAAAAcABwwODggDCHB+eAkYeGcHYn16HxpoCW cFCmN4Oj5lcj1waG9uZQ--;vst=AAAAAAYOBwwBAQkBA3BlexMaHn0FGWgJZwUKY3g6Pl4HThUaUh4Nb25l;nat=yes>
Record-Route: <sip:127.0.0.8;line=sr-BRwEk.dED.sRD.TSD.dLk2aSxuf0kRjSkRe71uBfzpsEzhzLkpaEkhs8kh1veVwMxpBSkU87epMjk2eLe.qnTsXnTsX.TsF2P7fd eRPdT7AU-RYnQqwwZRGauu8jGMA8BVfhYRGVTRqkGdfNGuj.Q.X21sBoPY9ZDW7vPbG7xsXnTsXnTYwxTbP2TMXZQ7Fnz7FterAG1sA0zdegYRP-ubPYWqMLeLeTyhZaYVAY1YYCG do3z.YtkRoAPhqoerz*>
From: <sip:38048MYPHONE@KIIS1.TSS.LIFE.COM>;tag=15003392085886
To: <sip:38056XXXXXXX@SNSIP.LIFE.COM;user=phone>
Max-Forwards: 69
Via: SIP/2.0/TLS 212.58.XXX.XX6:5071;branch=z9hG4bK9937.e5cc98f2d29238f88d45590b68830a51.0
Via: SIP/2.0/UDP 127.0.0.8;branch=z9hG4bKsr-s7wTDLa0zUfYZXl5adcFWYzjDwZpsSozWseXDMGxppCqzh1Ek2FEy2F7xpsEG.lvBJY.euwReuTfzpl0Gp10zLa0zplvY d5feVwRkRFS1uo.QhqKkuAgGVFDzhlEzhlEzp1Lz.MoGpTqG.dRz.5*
Record-Route: <sip:127.0.0.8;line=sr-BRwEkMcFWYzjDwZpsSozWseXDMGxppCqzh1Ek2ZS1uoLBVfSPhqYZXlvyga*>
Call-ID: A5dY9382811310oLbcGhEfChFmd@KIIS1.TSS.LIFE.COM
CSeq: 25797697 INVITE
P-Asserted-Identity: <sip:487869051@KIIS1.TSS.LIFE.COM;user=phone>
Accept: application/sdp
Allow: INVITE,ACK,OPTIONS,BYE,CANCEL,PRACK,UPDATE
P-Charging-Vector: icid-value=B13072FF00-0831-11283808;icid-generated-at=KIIS1.TSS.LIFE.COM;orig-ioi=KIIS1.TSS.LIFE.COM
Supported: 100rel
Content-Type: application/sdp
Contact: <sip:127.0.0.8;line=sr-BRwEk.dED.sRD.zSD.dEk.sEG.lvPgFAybGEy2F7xYYdsl**>
Content-Length: 423
Expires: 180
v=0
o=- 6256967 6256967 IN IP4 212.58.XXX.XX8
s=-
c=IN IP4 212.58.XXX.XX8
t=0 0
m=audio 59584 RTP/AVP 96 8 0 97
c=IN IP4 212.58.XXX.XX8
b=RR:0
b=RS:0
a=rtpmap:96 AMR/8000
a=fmtp:96 mode-set=0,2,4,7;mode-change-period=2;mode-change-capability=2;mode-change-neighbor=1;max-red=0
a=rtpmap:8 PCMA/8000
a=rtpmap:0 PCMU/8000
a=rtpmap:97 telephone-event/8000
a=fmtp:97 0-15
a=maxptime:40
a=sendrecv
a=rtcp:59585
<------------->
--- (20 headers 18 lines) ---
Sending to 10.0.10.1:34105 (NAT)
Sending to 10.0.10.1:34105 (NAT)
Using INVITE request as basis request - A5dY9382811310oLbcGhEfChFmd@KIIS1.TSS.LIFE.COM
No matching peer for '38048MYPHONE' from '10.0.10.1:34105'
<--- Reliably Transmitting (NAT) to 10.0.10.1:34105 --->
SIP/2.0 401 Unauthorized
Via: SIP/2.0/TLS 212.58.XXX.XX6:5071;branch=z9hG4bK9937.e5cc98f2d29238f88d45590b68830a51.0;received=10.0.10.1;rport=34105
Via: SIP/2.0/UDP 127.0.0.8;branch=z9hG4bKsr-s7wTDLa0zUfYZXl5adcFWYzjDwZpsSozWseXDMGxppCqzh1Ek2FEy2F7xpsEG.lvBJY.euwReuTfzpl0Gp10zLa0zplvY d5feVwRkRFS1uo.QhqKkuAgGVFDzhlEzhlEzp1Lz.MoGpTqG.dRz.5*
From: <sip:38048MYPHONE@KIIS1.TSS.LIFE.COM>;tag=15003392085886
To: <sip:38056XXXXXXX@SNSIP.LIFE.COM;user=phone>;tag=as1253f5eb
Call-ID: A5dY9382811310oLbcGhEfChFmd@KIIS1.TSS.LIFE.COM
CSeq: 25797697 INVITE
Server: FPBX-13.0.143(13.9.1)
Allow: INVITE, ACK, CANCEL, OPTIONS, BYE, REFER, SUBSCRIBE, NOTIFY, INFO, PUBLISH, MESSAGE
Supported: replaces, timer
WWW-Authenticate: Digest algorithm=MD5, realm="asterisk", nonce="56c5c811"
Content-Length: 0
<------------>
Scheduling destruction of SIP dialog 'A5dY9382811310oLbcGhEfChFmd@KIIS1.TSS.LIFE.COM' in 32000 ms (Method: INVITE)
<--- SIP read from TLS:10.0.10.1:34105 --->
ACK sip:38056XXXXXXX@WAN_ASTERISK:5061;transport=TLS SIP/2.0
From: <sip:38048MYPHONE@KIIS1.TSS.LIFE.COM>;tag=15003392085886
To: <sip:38056XXXXXXX@SNSIP.LIFE.COM;user=phone>;tag=as1253f5eb
Max-Forwards: 69
Via: SIP/2.0/TLS 212.58.XXX.XX6:5071;branch=z9hG4bK9937.e5cc98f2d29238f88d45590b68830a51.0
Call-ID: A5dY9382811310oLbcGhEfChFmd@KIIS1.TSS.LIFE.COM
CSeq: 25797697 ACK
Content-Length: 0
INVITE sip:38056XXXXXXX@WAN_ASTERISK:5061;transport=TLS SIP/2.0
Record-Route: <sip:212.58.XXX.XX6:5071;transport=tls;r2=on;lr;ftag=15003392085886;did=728.4e91;vsf=AAAAAAcABwwODggDCHB+eAkYeGcHYn16HxpoCW cFCmN4Oj5lcj1waG9uZQ--;vst=AAAAAAYOBwwBAQkBA3BlexMaHn0FGWgJZwUKY3g6Pl4HThUaUh4Nb25l;nat=yes>
Record-Route: <sip:127.0.0.8;line=sr-BRwEk.dED.sRD.TSD.dLk2aSxuf0kRjSkRe71uBfzpsEzhzLkpaEkhs8kh1veVwMxpBSkU87epMjk2eLe.qnTsXnTsX.TsF2P7fd eRPdT7AU-RYnQqwwZRGauu8jGMA8BVfhYRGVTRqkGdfNGuj.Q.X21sBoPY9ZDW7vPbG7xsXnTsXnTYwxTbP2TMXZQ7Fnz7FterAG1sA0zdegYRP-ubPYWqMLeLeTyhZaYVAY1YYCG do3z.YtkRoAPhqoerz*>
From: <sip:38048MYPHONE@KIIS1.TSS.LIFE.COM>;tag=15003392085886
To: <sip:38056XXXXXXX@SNSIP.LIFE.COM;user=phone>
Max-Forwards: 69
Via: SIP/2.0/TLS 212.58.XXX.XX6:5071;branch=z9hG4bK9937.e5cc98f2d29238f88d45590b68830a51.0
Via: SIP/2.0/UDP 127.0.0.8;branch=z9hG4bKsr-s7wTDLa0zUfYZXl5adcFWYzjDwZpsSozWseXDMGxppCqzh1Ek2FEy2F7xpsEG.lvBJY.euwReuTfzpl0Gp10zLa0zplvY d5feVwRkRFS1uo.QhqKkuAgGVFDzhlEzhlEzp1Lz.MoGpTqG.dRz.5*
Record-Route: <sip:127.0.0.8;line=sr-BRwEkMcFWYzjDwZpsSozWseXDMGxppCqzh1Ek2ZS1uoLBVfSPhqYZXlvyga*>
Call-ID: A5dY9382811310oLbcGhEfChFmd@KIIS1.TSS.LIFE.COM
CSeq: 25797697 INVITE
P-Asserted-Identity: <sip:487869051@KIIS1.TSS.LIFE.COM;user=phone>
Accept: application/sdp
Allow: INVITE,ACK,OPTIONS,BYE,CANCEL,PRACK,UPDATE
P-Charging-Vector: icid-value=B13072FF00-0831-11283808;icid-generated-at=KIIS1.TSS.LIFE.COM;orig-ioi=KIIS1.TSS.LIFE.COM
Supported: 100rel
Content-Type: application/sdp
Contact: <sip:127.0.0.8;line=sr-BRwEk.dED.sRD.zSD.dEk.sEG.lvPgFAybGEy2F7xYYdsl**>
Content-Length: 423
Expires: 180
v=0
o=- 6256967 6256967 IN IP4 212.58.XXX.XX8
s=-
c=IN IP4 212.58.XXX.XX8
t=0 0
m=audio 59584 RTP/AVP 96 8 0 97
c=IN IP4 212.58.XXX.XX8
b=RR:0
b=RS:0
a=rtpmap:96 AMR/8000
a=fmtp:96 mode-set=0,2,4,7;mode-change-period=2;mode-change-capability=2;mode-change-neighbor=1;max-red=0
a=rtpmap:8 PCMA/8000
a=rtpmap:0 PCMU/8000
a=rtpmap:97 telephone-event/8000
a=fmtp:97 0-15
a=maxptime:40
a=sendrecv
a=rtcp:59585
<------------->
--- (20 headers 18 lines) ---
Sending to 10.0.10.1:34105 (NAT)
Sending to 10.0.10.1:34105 (NAT)
Using INVITE request as basis request - A5dY9382811310oLbcGhEfChFmd@KIIS1.TSS.LIFE.COM
No matching peer for '38048MYPHONE' from '10.0.10.1:34105'
<--- Reliably Transmitting (NAT) to 10.0.10.1:34105 --->
SIP/2.0 401 Unauthorized
Via: SIP/2.0/TLS 212.58.XXX.XX6:5071;branch=z9hG4bK9937.e5cc98f2d29238f88d45590b68830a51.0;received=10.0.10.1;rport=34105
Via: SIP/2.0/UDP 127.0.0.8;branch=z9hG4bKsr-s7wTDLa0zUfYZXl5adcFWYzjDwZpsSozWseXDMGxppCqzh1Ek2FEy2F7xpsEG.lvBJY.euwReuTfzpl0Gp10zLa0zplvY d5feVwRkRFS1uo.QhqKkuAgGVFDzhlEzhlEzp1Lz.MoGpTqG.dRz.5*
From: <sip:38048MYPHONE@KIIS1.TSS.LIFE.COM>;tag=15003392085886
To: <sip:38056XXXXXXX@SNSIP.LIFE.COM;user=phone>;tag=as1253f5eb
Call-ID: A5dY9382811310oLbcGhEfChFmd@KIIS1.TSS.LIFE.COM
CSeq: 25797697 INVITE
Server: FPBX-13.0.143(13.9.1)
Allow: INVITE, ACK, CANCEL, OPTIONS, BYE, REFER, SUBSCRIBE, NOTIFY, INFO, PUBLISH, MESSAGE
Supported: replaces, timer
WWW-Authenticate: Digest algorithm=MD5, realm="asterisk", nonce="56c5c811"
Content-Length: 0
<------------>
Scheduling destruction of SIP dialog 'A5dY9382811310oLbcGhEfChFmd@KIIS1.TSS.LIFE.COM' in 32000 ms (Method: INVITE)
<--- SIP read from TLS:10.0.10.1:34105 --->
ACK sip:38056XXXXXXX@WAN_ASTERISK:5061;transport=TLS SIP/2.0
From: <sip:38048MYPHONE@KIIS1.TSS.LIFE.COM>;tag=15003392085886
To: <sip:38056XXXXXXX@SNSIP.LIFE.COM;user=phone>;tag=as1253f5eb
Max-Forwards: 69
Via: SIP/2.0/TLS 212.58.XXX.XX6:5071;branch=z9hG4bK9937.e5cc98f2d29238f88d45590b68830a51.0
Call-ID: A5dY9382811310oLbcGhEfChFmd@KIIS1.TSS.LIFE.COM
CSeq: 25797697 ACK
Content-Length: 0