Início / server / Perguntas / 902132
Accepted
Tono Nam
Asked: 2018-03-17 20:17:21 +0800 CST

Asterisk usa as variáveis ​​erradas do sip.conf

  • 772

Eu completei este tutorial para fazer chamadas seguras com asterisco.

Tutorial de Chamada Segura | Wiki do Projeto Asterisk

Estou executando o asterisk versão 13.19.2 no Ubuntu versão 16 (debian) e assim que adicionei o TLS e o SRTP, tive problemas.

Apenas leia isto se você deseja instalar o asterisk! Estas são apenas minhas notas caso você queira instalar o asterisk com suporte a TLS e SRTP para fazer chamadas seguras. A questão real está no fundo!

  1. Instale o asterisk 13.19.2 com libsrtp e SRTP:

{ 

# (1) make sure everything is up to date again
apt-get update
apt-get upgrade

# (2) Install dependencies that will be needed in order to install asterisk pjproject etc...
apt-get install aptitude -y
aptitude install build-essential -y
aptitude install git -y
aptitude install libssl-dev -y
aptitude install zlib1g-dev -y
aptitude install openssl  -y
aptitude install libxml2-dev -y
aptitude install libncurses5-dev -y
aptitude install uuid-dev -y
aptitude install sqlite3 -y
aptitude install libsqlite3-dev -y
aptitude install pkg-config -y
aptitude install libjansson-dev -y

# (3) make sure everything is up to date again
apt-get update
apt-get upgrade

# (4) Install libsrtp  (library used to encrypt rtp)
cd /root    
wget https://github.com/cisco/libsrtp/archive/v1.6.0.tar.gz
tar -xzf v1.6.0.tar.gz
cd libsrtp-1.6.0

./configure CFLAGS=-fPIC --prefix=/usr
make
make runtest
make install
cd ..

# (5) install pjproject 

git clone https://github.com/asterisk/pjproject pjproject
cd pjproject
 ./configure --prefix=/usr --enable-shared --disable-sound --disable-resample --disable-video --disable-opencore-amr --with-external-srtp
make dep
make

make install
cd ..


# (6) Install Asterisk  WITH SRTP AND PJPROJECT

wget http://downloads.asterisk.org/pub/telephony/asterisk/asterisk-13-current.tar.gz
tar xvf asterisk-13-current.tar.gz
cd  asterisk-13.19.2
./configure --with-pjproject --with-ssl --with-srtp

make
make install
make samples
make config

  1. Gere as chaves (certificados). Você também pode comprá-lo de uma autoridade de certificação.

    # GENERATE KEYS

    # make a place for our keys mkdir /etc/asterisk/keys

    cd /root/asterisk-13.19.2/contrib/scripts

    ./ast_tls_cert -C my_company.com -O "my_company" -d /etc/asterisk/keys

    # TODO later generate keys for clients (ip phones). This part is explained on first tutorial link and is not relevant to this question

  2. Crie sip.conf e extensions.conf

sip.conf:

[general]
  tcpenable=yes
  udpenable=yes
  udpbindaddr=0.0.0.0
  tcpbindaddr=0.0.0.0

  ; allow tls !
  tlsenable=yes
  tlsbindaddr=0.0.0.0:5868 ; <------------------------ note I am changing the default port 6061 to 5868
  tlscertfile=/etc/asterisk/keys/asterisk.pem ; key generated on step 2
  tlscafile=/etc/asterisk/keys/ca.crt ; certificate generated on step 2
  tlscipher=ALL
  tlsclientmethod=tlsv1
  encryption=yes
  tlsdontverifyserver=yes ; trust ublux more than godaddy!

  videosupport=yes
  nat=force_rport,comedia


; shared configuration used for ip phones
[base-config](!)
  type=peer
  ;type=friend
  disallow=all
  allow=ulaw,h264,vp8
  context=common ;<------------------ context used on extensions.conf
  dtmfmode=auto
  insecure=port,invite
  canreinvite=no
  host=dynamic
  directmedia=no
  registertrying=yes
  qualify=yes; monitof peer in order to know if its connected
  transport=tls ; Only allow secure transport!
  encryption=yes
  icesupport=yes
  dtlsenabled=yes
  dtlsverify=no

colegas no sip.conf

; peer 1
[101](base-config)
  secret=password123
  setvar=ID=Tono 
  setvar=Foo=test101 

; peer 2
[102](base-config)
  secret=password123
  setvar=ID=Monir
  setvar=Foo=test102

extensions.conf

[general]
  static=yes
  writeprotect=no

[common]    
  exten => 101,1,NoOp(Calling 101)
  same => n,NoOp(Foo = ${Foo} )
  same => n,Dial(SIP/101)
  same => n,Hangup()

  exten => 102,1,NoOp(Calling 102)
  same => n,NoOp(Foo = ${Foo} )
  same => n,Dial(SIP/102)
  same => n,Hangup()

De qualquer forma fica a pergunta:

Depois de executar essas etapas, consigo fazer chamadas, receber chamadas, mas algo muito estranho acontece! O Asterisk usa as variáveis ​​incorretas . Por exemplo quando eu ligo do telefone 101para 102o asterisco pega as variáveis ​​do peer 102! Observe que isso só acontece quando os dois telefones têm o mesmo endereço IP porque estão atrás de um NAT.

Aqui está a prova:

ubuntu*CLI> sip show peers
Name/username             Host                                    Dyn 
Forcerport Comedia    ACL Port     Status      Description
101                   170.55.7.131                             D  Yes        Yes            50178    Unmonitored
102                   170.55.7.131                             D  Yes        Yes            50137    Unmonitored
103                   170.55.7.132                             D  Yes        Yes            50212    Unmonitored

os peers 101 e 102 mostram o mesmo endereço IP porque estão atrás do mesmo roteador. Em outras palavras 170.55.7.131 é um ip público. Se eles tiverem um endereço IP público diferente, isso não acontece. Em outras palavras, isso não acontece entre as extensões 101 e 103 por algum motivo estranho.

Quando ligo de 101 para 102, é isso que o log de asterisco mostra: (correto)

Executing [102@common:1] NoOp("SIP/101-00000095", "Calling 102") in new stack
Executing [102@common:2] NoOp("SIP/101-00000095", "Foo = test101 ") in new stack
Executing [102@common:3] Dial("SIP/101-00000095", "SIP/102") in new stack
Using SIP VIDEO CoS mark 6
 ....

Quando eu chamo de 102 para 101 é isso que o log de asterisco mostra!!: (incorreto)

Executing [101@common:1] NoOp("SIP/101-00000097", "Calling 101") in new stack
Executing [101@common:2] NoOp("SIP/101-00000097", "Foo = test101 ") in new stack
Executing [101@common:3] Dial("SIP/101-00000097", "SIP/101") in new stack

por que Foo= test101deve ser igual test102!!! também a variável de canal 101-00000097contém 101deve ser 102-00000097porque 102o telefone iniciou a chamada!

Se eu reiniciar o serviço asterisk e fizer a mesma chamada de 102 para 101, é isso que o asterisco mostra:

Executing [101@common:1] NoOp("SIP/102-00000002", "Calling 101") in new stack
Executing [101@common:2] NoOp("SIP/102-00000002", "Foo = test102 ") in new stack
Executing [101@common:3] Dial("SIP/102-00000002", "SIP/101") in new stack

Agora está correto. O asterisco está mapeando as variáveis ​​para o endereço IP?????

Soluções temporárias que corrigem esse problema:

  1. Por algum motivo, se eu colocar o telefone em um local diferente onde ele tenha um endereço IP diferente, isso não acontece. Esse problema só acontece quando os dois telefones estão na mesma rede e têm o mesmo endereço IP público. Isso não faz sentido para mim porque o NAT atribuirá diferentes portas internas.

  2. Se eu remover segurança (tls) e usar udp ou tcp como métodos de transporte. esse problema não ocorre mais.

ssl

1 respostas

  1. Best Answer

    Finalmente descobri a solução depois de passar um dia inteiro. Isso é o que acontece quando você copia a configuração da internet!

    De qualquer forma, o problema era que no meu sip.conf eu tinha

    insecure=port,invite

    fazendo uma pesquisa no google sobre insecure=port yields:

    inseguro=porta ; Permitir correspondência de peer por endereço IP sem número de porta correspondente

    Isso explica por que a porta estava sendo ignorada. Então a solução foi fazer duas alterações no meu sip.conf:

    1. Alterado insecure=port,inviteparainsecure=invite

    2. Alterado type=peerparatype=friend

    • 3

relate perguntas