我完成本教學是為了使用星號進行安全呼叫。
我在 Ubuntu 版本 16 (debian) 上運行星號版本 13.19.2,一旦新增 TLS 和 SRTP,我就遇到了問題。
只有在您想安裝星號時才閱讀本文!這只是我的註釋,以防您希望安裝支援 TLS 和 SRTP 的 asterisk 來進行安全呼叫。真正的問題在最底部!
- 使用 libsrtp 和 SRTP 安裝 asterisk 13.19.2:
{
# (1) make sure everything is up to date again
apt-get update
apt-get upgrade
# (2) Install dependencies that will be needed in order to install asterisk pjproject etc...
apt-get install aptitude -y
aptitude install build-essential -y
aptitude install git -y
aptitude install libssl-dev -y
aptitude install zlib1g-dev -y
aptitude install openssl -y
aptitude install libxml2-dev -y
aptitude install libncurses5-dev -y
aptitude install uuid-dev -y
aptitude install sqlite3 -y
aptitude install libsqlite3-dev -y
aptitude install pkg-config -y
aptitude install libjansson-dev -y
# (3) make sure everything is up to date again
apt-get update
apt-get upgrade
# (4) Install libsrtp (library used to encrypt rtp)
cd /root
wget https://github.com/cisco/libsrtp/archive/v1.6.0.tar.gz
tar -xzf v1.6.0.tar.gz
cd libsrtp-1.6.0
./configure CFLAGS=-fPIC --prefix=/usr
make
make runtest
make install
cd ..
# (5) install pjproject
git clone https://github.com/asterisk/pjproject pjproject
cd pjproject
./configure --prefix=/usr --enable-shared --disable-sound --disable-resample --disable-video --disable-opencore-amr --with-external-srtp
make dep
make
make install
cd ..
# (6) Install Asterisk WITH SRTP AND PJPROJECT
wget http://downloads.asterisk.org/pub/telephony/asterisk/asterisk-13-current.tar.gz
tar xvf asterisk-13-current.tar.gz
cd asterisk-13.19.2
./configure --with-pjproject --with-ssl --with-srtp
make
make install
make samples
make config
產生密鑰(證書)。您也可以從證書頒發機構購買。
# GENERATE KEYS# make a place for our keys mkdir /etc/asterisk/keyscd /root/asterisk-13.19.2/contrib/scripts./ast_tls_cert -C my_company.com -O "my_company" -d /etc/asterisk/keys# TODO later generate keys for clients (ip phones). This part is explained on first tutorial link and is not relevant to this question建立sip.conf和extensions.conf
sip.conf:
[general]
tcpenable=yes
udpenable=yes
udpbindaddr=0.0.0.0
tcpbindaddr=0.0.0.0
; allow tls !
tlsenable=yes
tlsbindaddr=0.0.0.0:5868 ; <------------------------ note I am changing the default port 6061 to 5868
tlscertfile=/etc/asterisk/keys/asterisk.pem ; key generated on step 2
tlscafile=/etc/asterisk/keys/ca.crt ; certificate generated on step 2
tlscipher=ALL
tlsclientmethod=tlsv1
encryption=yes
tlsdontverifyserver=yes ; trust ublux more than godaddy!
videosupport=yes
nat=force_rport,comedia
; shared configuration used for ip phones
[base-config](!)
type=peer
;type=friend
disallow=all
allow=ulaw,h264,vp8
context=common ;<------------------ context used on extensions.conf
dtmfmode=auto
insecure=port,invite
canreinvite=no
host=dynamic
directmedia=no
registertrying=yes
qualify=yes; monitof peer in order to know if its connected
transport=tls ; Only allow secure transport!
encryption=yes
icesupport=yes
dtlsenabled=yes
dtlsverify=no
sip.conf 上的對等點
; peer 1
[101](base-config)
secret=password123
setvar=ID=Tono
setvar=Foo=test101
; peer 2
[102](base-config)
secret=password123
setvar=ID=Monir
setvar=Foo=test102
擴展.conf
[general]
static=yes
writeprotect=no
[common]
exten => 101,1,NoOp(Calling 101)
same => n,NoOp(Foo = ${Foo} )
same => n,Dial(SIP/101)
same => n,Hangup()
exten => 102,1,NoOp(Calling 102)
same => n,NoOp(Foo = ${Foo} )
same => n,Dial(SIP/102)
same => n,Hangup()
無論如何,這是一個問題:
執行這些步驟後,我可以撥打電話、接聽電話但奇怪的事情發生了! Asterisk 使用了不正確的變數。例如,當我從電話撥打101asterisk時102,會從peer 中選擇變數102!請注意,只有當兩部電話具有相同的 IP 位址時才會發生這種情況,因為它們位於 NAT 之後。
這是證明:
ubuntu*CLI> sip show peers
Name/username Host Dyn
Forcerport Comedia ACL Port Status Description
101 170.55.7.131 D Yes Yes 50178 Unmonitored
102 170.55.7.131 D Yes Yes 50137 Unmonitored
103 170.55.7.132 D Yes Yes 50212 Unmonitored
對等點 101 和 102 顯示相同的 IP 位址,因為它們位於同一路由器後面。換句話說170.55.7.131是一個公共IP。如果他們有不同的公用 IP 位址,則不會發生這種情況。換句話說,由於某些奇怪的原因,這種情況不會發生在分機 101 和 103 之間。
當我從 101 撥打 102 時,星號日誌顯示如下:(正確)
Executing [102@common:1] NoOp("SIP/101-00000095", "Calling 102") in new stack
Executing [102@common:2] NoOp("SIP/101-00000095", "Foo = test101 ") in new stack
Executing [102@common:3] Dial("SIP/101-00000095", "SIP/102") in new stack
Using SIP VIDEO CoS mark 6
....
當我從 102 撥打 101 時,這就是星號日誌顯示的內容!
Executing [101@common:1] NoOp("SIP/101-00000097", "Calling 101") in new stack
Executing [101@common:2] NoOp("SIP/101-00000097", "Foo = test101 ") in new stack
Executing [101@common:3] Dial("SIP/101-00000097", "SIP/101") in new stack
為什麼 Foo=test101它應該等於test102!頻道變數也101-00000097包含101它應該是102-00000097因為電話102發起了電話通話!
如果我重新啟動 asterisk 服務並從 102 到 101 進行相同的調用,這就是 asterisk 顯示的內容:
Executing [101@common:1] NoOp("SIP/102-00000002", "Calling 101") in new stack
Executing [101@common:2] NoOp("SIP/102-00000002", "Foo = test102 ") in new stack
Executing [101@common:3] Dial("SIP/102-00000002", "SIP/101") in new stack
現在是正確的。星號是將變數對應到 IP 位址嗎?
解決此問題的臨時解決方案:
由於某種原因,如果我將手機放在具有不同 IP 位址的不同位置,則不會發生這種情況。只有當兩部電話位於同一網路且具有相同的公共 IP 位址時,才會出現此問題。這對我來說沒有意義,因為 NAT 會分配不同的內部連接埠。
如果我刪除安全性 (tls) 並使用 udp 或 tcp 作為傳輸方法。這個問題不會再發生了。
答案1
花了一整天的時間終於找到了解決方法。這就是當您從互聯網複製配置時會發生的情況!
無論如何,問題是在我的 sip.conf 上我有
insecure=port,invite
在 insecure=port 上進行Google搜尋會產生:
不安全=連接埠;允許透過 IP 位址匹配對等方,無需匹配連接埠號
這解釋了為什麼該連接埠被忽略。所以解決方案是對我的 sip.conf 進行兩處更改:
insecure=port,invite變成insecure=invitetype=peer變成type=friend