Asterisk usa as variáveis ​​erradas do sip.conf

tag-icon tag-icon ssl asterisk rtp
Asterisk usa as variáveis ​​erradas do sip.conf

Concluí este tutorial para fazer chamadas seguras com asterisk.

Tutorial de chamadas seguras | Wiki do Projeto Asterisk

Estou executando o asterisk versão 13.19.2 no Ubuntu versão 16 (debian) e assim que adicionei TLS e SRTP tive problemas.

Leia isto apenas se desejar instalar o asterisk!Estas são apenas minhas notas caso você deseje instalar o asterisk com suporte TLS e SRTP para fazer chamadas seguras.A questão real está bem no fundo!

  1. Instale o asterisco 13.19.2 com libsrtp e SRTP:

{

# (1) make sure everything is up to date again
apt-get update
apt-get upgrade

# (2) Install dependencies that will be needed in order to install asterisk pjproject etc...
apt-get install aptitude -y
aptitude install build-essential -y
aptitude install git -y
aptitude install libssl-dev -y
aptitude install zlib1g-dev -y
aptitude install openssl  -y
aptitude install libxml2-dev -y
aptitude install libncurses5-dev -y
aptitude install uuid-dev -y
aptitude install sqlite3 -y
aptitude install libsqlite3-dev -y
aptitude install pkg-config -y
aptitude install libjansson-dev -y

# (3) make sure everything is up to date again
apt-get update
apt-get upgrade

# (4) Install libsrtp  (library used to encrypt rtp)
cd /root    
wget https://github.com/cisco/libsrtp/archive/v1.6.0.tar.gz
tar -xzf v1.6.0.tar.gz
cd libsrtp-1.6.0

./configure CFLAGS=-fPIC --prefix=/usr
make
make runtest
make install
cd ..

# (5) install pjproject 

git clone https://github.com/asterisk/pjproject pjproject
cd pjproject
 ./configure --prefix=/usr --enable-shared --disable-sound --disable-resample --disable-video --disable-opencore-amr --with-external-srtp
make dep
make

make install
cd ..


# (6) Install Asterisk  WITH SRTP AND PJPROJECT

wget http://downloads.asterisk.org/pub/telephony/asterisk/asterisk-13-current.tar.gz
tar xvf asterisk-13-current.tar.gz
cd  asterisk-13.19.2
./configure --with-pjproject --with-ssl --with-srtp

make
make install
make samples
make config

  1. Gere as chaves (certificados). Você também pode adquirir isso de uma autoridade de certificação.

    # GENERATE KEYS

    # make a place for our keys mkdir /etc/asterisk/keys

    cd /root/asterisk-13.19.2/contrib/scripts

    ./ast_tls_cert -C my_company.com -O "my_company" -d /etc/asterisk/keys

    # TODO later generate keys for clients (ip phones). This part is explained on first tutorial link and is not relevant to this question

  2. Crie sip.conf e extensions.conf

sip.conf:

[general]
  tcpenable=yes
  udpenable=yes
  udpbindaddr=0.0.0.0
  tcpbindaddr=0.0.0.0

  ; allow tls !
  tlsenable=yes
  tlsbindaddr=0.0.0.0:5868 ; <------------------------ note I am changing the default port 6061 to 5868
  tlscertfile=/etc/asterisk/keys/asterisk.pem ; key generated on step 2
  tlscafile=/etc/asterisk/keys/ca.crt ; certificate generated on step 2
  tlscipher=ALL
  tlsclientmethod=tlsv1
  encryption=yes
  tlsdontverifyserver=yes ; trust ublux more than godaddy!

  videosupport=yes
  nat=force_rport,comedia


; shared configuration used for ip phones
[base-config](!)
  type=peer
  ;type=friend
  disallow=all
  allow=ulaw,h264,vp8
  context=common ;<------------------ context used on extensions.conf
  dtmfmode=auto
  insecure=port,invite
  canreinvite=no
  host=dynamic
  directmedia=no
  registertrying=yes
  qualify=yes; monitof peer in order to know if its connected
  transport=tls ; Only allow secure transport!
  encryption=yes
  icesupport=yes
  dtlsenabled=yes
  dtlsverify=no

pares em sip.conf

; peer 1
[101](base-config)
  secret=password123
  setvar=ID=Tono 
  setvar=Foo=test101 

; peer 2
[102](base-config)
  secret=password123
  setvar=ID=Monir
  setvar=Foo=test102

extensões.conf

[general]
  static=yes
  writeprotect=no

[common]    
  exten => 101,1,NoOp(Calling 101)
  same => n,NoOp(Foo = ${Foo} )
  same => n,Dial(SIP/101)
  same => n,Hangup()

  exten => 102,1,NoOp(Calling 102)
  same => n,NoOp(Foo = ${Foo} )
  same => n,Dial(SIP/102)
  same => n,Hangup()

De qualquer forma aqui está a questão:

Depois de realizar essas etapas, posso fazer e receber chamadasmas algo muito estranho acontece! Asterisk usa as variáveis ​​​​incorretas. Por exemplo, quando ligo do telefone, 101o 102asterisco escolhe as variáveis ​​do peer 102!Observe que isso só acontece quando os dois telefones têm o mesmo endereço IP porque estão atrás de um NAT.

Aqui está a prova:

ubuntu*CLI> sip show peers
Name/username             Host                                    Dyn 
Forcerport Comedia    ACL Port     Status      Description
101                   170.55.7.131                             D  Yes        Yes            50178    Unmonitored
102                   170.55.7.131                             D  Yes        Yes            50137    Unmonitored
103                   170.55.7.132                             D  Yes        Yes            50212    Unmonitored

os pares 101 e 102 mostram o mesmo endereço IP porque estão atrás do mesmo roteador. Em outras palavras, 170.55.7.131 é um IP público. Se eles tiverem um endereço IP público diferente, isso não acontecerá. Em outras palavras, isso não acontece entre as extensões 101 e 103 por algum motivo estranho.

Quando ligo de 101 para 102, é isso que o log do asterisco mostra: (correto)

Executing [102@common:1] NoOp("SIP/101-00000095", "Calling 102") in new stack
Executing [102@common:2] NoOp("SIP/101-00000095", "Foo = test101 ") in new stack
Executing [102@common:3] Dial("SIP/101-00000095", "SIP/102") in new stack
Using SIP VIDEO CoS mark 6
 ....

Quando eu ligo de 102 para 101 é isso que o log do asterisco mostra!!: (incorreto)

Executing [101@common:1] NoOp("SIP/101-00000097", "Calling 101") in new stack
Executing [101@common:2] NoOp("SIP/101-00000097", "Foo = test101 ") in new stack
Executing [101@common:3] Dial("SIP/101-00000097", "SIP/101") in new stack

por que Foo= test101deveria ser igual test102!!! também a variável do canal 101-00000097contém 101que deveria ser 102-00000097porque o telefone 102iniciou a chamada!

Se eu reiniciar o serviço asterisk e fizer a mesma chamada de 102 para 101, é isso que o asterisco mostra:

Executing [101@common:1] NoOp("SIP/102-00000002", "Calling 101") in new stack
Executing [101@common:2] NoOp("SIP/102-00000002", "Foo = test102 ") in new stack
Executing [101@common:3] Dial("SIP/102-00000002", "SIP/101") in new stack

Agora está correto. O asterisco está mapeando as variáveis ​​para o endereço IP?????

Soluções temporárias que corrigem este problema:

  1. Por alguma razão, se eu colocar o telefone em um local diferente onde ele tenha um endereço IP diferente, isso não acontecerá. Esse problema só acontece quando os dois telefones estão na mesma rede e possuem o mesmo endereço IP público. Isso não faz sentido para mim porque o NAT atribuirá diferentes portas internas.

  2. Se eu remover a segurança (tls) e usar udp ou tcp como métodos de transporte. esse problema não ocorre mais.

Responder1

Finalmente descobri a solução depois de passar um dia inteiro. Isto é o que acontece quando você copia a configuração da internet!

De qualquer forma, o problema foi que no meu sip.conf eu tinha

insecure=port,invite

fazendo uma pesquisa no Google sobre rendimentos insecure=port:

inseguro=porta; Permitir correspondência de peer por endereço IP sem correspondência de número de porta

Isso explica por que a porta estava sendo ignorada. Então a solução foi fazer duas alterações no meu sip.conf:

  1. Alterado insecure=port,inviteparainsecure=invite

  2. Alterado type=peerparatype=friend

informação relacionada