Билайн и авторизация по IP-адресу

Для начинающих.
Всем начинающим - сюда.

Модераторы: Admins, Модераторы

herznaet
Сообщения: 17
Зарегистрирован: 10 сен 2018, 10:08

Билайн и авторизация по IP-адресу

Сообщение herznaet » 10 сен 2018, 14:14

Доброго времени суток, уважаемые форумчане! Начну немного издалека. Как-то давно, в 2015 году, мы приобрели четырехканальный номер у билайна, получил логин и пароль, настроил астериск, и даже, хоть я не спец в этом, все работало, да и в принципе, продолжает работать. Не так давно у нашего провайдера погорел коммутатор, и они через какие-то неведомые костыли нас переключили так, что входящие вызовы у нас работают нормально, а вот исходящие приходится набирать полностью с кодом города, ибо исходящие вызовы у нас идут через Владивосток. Они предложили перевести нас на авторизацию по IP-адресу, чтоб избавиться от этой проблемы, но у меня не получается настроить. Получается, если я звоню на тестовый номер, то на аппарате, с которого звоню, идет вызов, но не проходит, просто обрывает, а сип-клиент, который подключен к астериску трубку берет. Специально для этого собрал машинку, установил CentOS 7, астериск брал 15, комп находится за натом, к нему проброшены порты 5065, 20000-21999. В iptables я открыл все исходящие и некоторые входящие. Вывод iptables-save:

:INPUT DROP [733:24540]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [9552:2704175]
-A INPUT -i lo -j ACCEPT
-A INPUT -p icmp -j ACCEPT
-A INPUT -p tcp -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p udp -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p tcp -m state --state NEW -m tcp --dport 22 -j ACCEPT
-A INPUT -p udp -m state --state NEW -m udp --dport 5060 -j ACCEPT
-A INPUT -p udp -m state --state NEW -m udp --dport 5071 -j ACCEPT
-A INPUT -p udp -m state --state NEW -m udp --dport 5065 -j ACCEPT
-A INPUT -p udp -m state --state NEW -m udp --dport 20000:21999 -j ACCEPT

Дополнительные 5071 и 5060 открыты, потому что с билайном еще игрались с портами.
В письме билайн указывал параметры подключения:

client ip adr 81.200.156.17
Sip-server 82.142.175.22, порт 5071, регистрации нет, кодек g711a
Голос будет ходить с ip 82.142.175.30, приходит голос на порт 5065

Я пока настроил для входящей связи, клиенты, которые 1000 и 1001 общаются друг с другом нормально

sip.conf
[general]
allowguest=no
allowoverlap=no
context=public
useragent=TEST PBX
alwaysauthreject=yes
bindport=5065
bindaddr=0.0.0.0
srvlookup=no
disallow=all
allow=alaw
canreinvite=no
language=ru
externaddr=81.200.156.17
localnet=192.168.1.0/24

[4233772801]
type=friend
host=82.142.175.22
port=5071
context=incoming
canreinvite=no
dtmfmode=inband
nat=force_rport,comedia
insecure=invite,port

[defaults](!)
type=peer
host=dynamic
qualify=yes
context=internal
disallow=all
allow=alaw
call-limit=2
busylevel=1
rtpkeepalive=5
canreinvite=no
nat=force_rport,comedia

[1000](defaults)
secret=пароль к первому клиенту

[1001](defaults)
secret=пароль ко второму клиенту


extensions.conf
[general]

[globals]

[public]

[internal]

exten => 1000,1,Dial(SIP/1000,30,Tt)
exten => 1001,1,Dial(SIP/1001,30Tt)

[incoming]

exten => 4233772801,1,Answer()
exten => 4233772801,n,Dial(SIP/1000,30,Tt)
exten => 4233772801,n,Hangup()


rtp.conf
[general]

rtpstart=20000
rtpend=21999

Подскажите, пожалуйста, где я накосячил, и что можно еще попробовать. Билайн говорит, что не видит ответа по сигнальному порту 5065, провайдер ничего не блочит

xelas
admin
Сообщения: 1141
Зарегистрирован: 05 мар 2007, 11:21

Re: Билайн и авторизация по IP-адресу

Сообщение xelas » 10 сен 2018, 15:25

Покажите как сконфигурированы сетевые интерфейсы машины и роутинг. Так же, хотелось бы увидеть лог звонка из консоли при включеном sip set debug host 82.142.175.22

herznaet
Сообщения: 17
Зарегистрирован: 10 сен 2018, 10:08

Re: Билайн и авторизация по IP-адресу

Сообщение herznaet » 10 сен 2018, 16:02

cat ifcfg-enp3s0
TYPE=Ethernet
PROXY_METHOD=none
BROWSER_ONLY=no
BOOTPROTO=none
DEFROUTE=yes
IPV4_FAILURE_FATAL=no
IPV6INIT=yes
IPV6_AUTOCONF=yes
IPV6_DEFROUTE=yes
IPV6_FAILURE_FATAL=no
IPV6_ADDR_GEN_MODE=stable-privacy
NAME=enp3s0
UUID=22f74e41-1b26-4af4-9d7f-9321e6ab5918
DEVICE=enp3s0
ONBOOT=yes
IPADDR=192.168.1.128
PREFIX=24
GATEWAY=192.168.1.1
DNS1=192.168.1.1
DOMAIN=
IPV6_PRIVACY=no

Дебаг во вложении
Вложения
sip set debug.doc
(67.5 КБ) 19 скачиваний

xelas
admin
Сообщения: 1141
Зарегистрирован: 05 мар 2007, 11:21

Re: Билайн и авторизация по IP-адресу

Сообщение xelas » 10 сен 2018, 16:16

То есть, на машине один сетевой интерфейс? И трафик к сип-серверу идет через промежуточный роутер? А на нем, собственно говоря, настроен нат и проброс портов?

herznaet
Сообщения: 17
Зарегистрирован: 10 сен 2018, 10:08

Re: Билайн и авторизация по IP-адресу

Сообщение herznaet » 10 сен 2018, 16:16

Да, именно так

xelas
admin
Сообщения: 1141
Зарегистрирован: 05 мар 2007, 11:21

Re: Билайн и авторизация по IP-адресу

Сообщение xelas » 10 сен 2018, 16:21

Проверте роутер. По всем данным у вас тупо заблокирован трафик от вашего сервера до сервера провайдера. И видимо происходит это на роутере.

herznaet
Сообщения: 17
Зарегистрирован: 10 сен 2018, 10:08

Re: Билайн и авторизация по IP-адресу

Сообщение herznaet » 10 сен 2018, 16:29

Хорошо, я завтра попробую и по результату отпишусь

herznaet
Сообщения: 17
Зарегистрирован: 10 сен 2018, 10:08

Re: Билайн и авторизация по IP-адресу

Сообщение herznaet » 10 сен 2018, 16:30

Хотя, я извне по порту 5065 подключаюсь к своему астериску

xelas
admin
Сообщения: 1141
Зарегистрирован: 05 мар 2007, 11:21

Re: Билайн и авторизация по IP-адресу

Сообщение xelas » 10 сен 2018, 17:50

Проверяйте не только подключение "из вне" но и правила разрешающие трафик до сервера провайдера от вашего сервера.
То есть, у вас на роутере должен быть настроен NAT 192.168.1.128-> 81.200.156.17, открыт доступ к порту 5065 протокол UDP, а так же должны быть правила разрешающие подключения на порт 5071/UDP хоста 82.142.175.22.
Ну и забегая вперед, должны так же открыты порт для RTP трафика, согласно ваших настроек.

herznaet
Сообщения: 17
Зарегистрирован: 10 сен 2018, 10:08

Re: Билайн и авторизация по IP-адресу

Сообщение herznaet » 11 сен 2018, 13:36

По поводу роутера: на сколько я понимаю, то у таких роутеров, типа Zyxel Keenetic, исходящие порты должны быть все открыты. Нашел еще в админке, помимо ната, такой пункт, как "Межсетевой экран", там я разрешил прохождение и до серверов билайна, и от серверов билайна трафик на любые UDP-порты. Результат аналогичный вчерашнему. Пытался nmap-ом проверить, вот что пишет:

nmap -sU -p U:5065 82.142.175.30

Starting Nmap 6.40 ( http://nmap.org ) at 2018-09-11 22:32 +10
Note: Host seems down. If it is really up, but blocking our ping probes, try -Pn
Nmap done: 1 IP address (0 hosts up) scanned in 3.10 seconds

но, я думаю, что это немного не то.
И еще, я ту машину засунул в DMZ

xelas
admin
Сообщения: 1141
Зарегистрирован: 05 мар 2007, 11:21

Re: Билайн и авторизация по IP-адресу

Сообщение xelas » 11 сен 2018, 17:53

В Кинетике перейдите на вкладку "Система"
Там откройте вкладку "Компоненты"
Если включено "Шлюз прикладного уровня (ALG) для SIP" -- отключите.

Ну и проверяете вы не то. Если уж, то тогда:

nmap -sU -p 5071 82.142.175.22

И еще, какая версия прошивки Кинетика у вас? Пришлите скриншоты настроек межсетевого экрана и НАТ или файл конфигурации.

herznaet
Сообщения: 17
Зарегистрирован: 10 сен 2018, 10:08

Re: Билайн и авторизация по IP-адресу

Сообщение herznaet » 12 сен 2018, 09:51

Доброго времени суток! Версия прошивки v2.07(AAKT.1)C4
Файл конфига во вложении
Вложения
startup-config.txt
(4.28 КБ) 25 скачиваний

xelas
admin
Сообщения: 1141
Зарегистрирован: 05 мар 2007, 11:21

Re: Билайн и авторизация по IP-адресу

Сообщение xelas » 12 сен 2018, 10:06

Как-то все у вас странно.
Вот это неправильно:
access-list _WEBADMIN_ISP
permit udp 82.142.175.22 255.255.255.255 port eq 5071 192.168.1.128 255.255.255.255 port eq 5071
permit udp 82.142.175.30 255.255.255.255 port eq 5065 192.168.1.128 255.255.255.255 port eq 5065
Правильно:

Код: Выделить всё

access-list _WEBADMIN_ISP
    permit udp 82.142.175.22 255.255.255.255 port eq 5071 192.168.1.128 255.255.255.255 port eq 5065
    permit udp 82.142.175.30 255.255.255.255 192.168.1.128 255.255.255.255
Вот эта запись мне тоже не понятна:
ip static ISP 192.168.1.128 !DMZ
Должно быть что-то вроде:

Код: Выделить всё

ip static udp ISP 5065 192.168.1.128 5065

herznaet
Сообщения: 17
Зарегистрирован: 10 сен 2018, 10:08

Re: Билайн и авторизация по IP-адресу

Сообщение herznaet » 12 сен 2018, 10:15

Код: Выделить всё

ip static ISP 192.168.1.128 !DMZ
Это весь входящий трафик по-умолчанию на адрес 192.168.1.128

xelas
admin
Сообщения: 1141
Зарегистрирован: 05 мар 2007, 11:21

Re: Билайн и авторизация по IP-адресу

Сообщение xelas » 12 сен 2018, 10:21

herznaet писал(а):
12 сен 2018, 10:15

Код: Выделить всё

ip static ISP 192.168.1.128 !DMZ
Это весь входящий трафик по-умолчанию на адрес 192.168.1.128
Ну, дело ваше. Я бы конечно так делать не стал. А вот файрвольные правила поправте.

herznaet
Сообщения: 17
Зарегистрирован: 10 сен 2018, 10:08

Re: Билайн и авторизация по IP-адресу

Сообщение herznaet » 12 сен 2018, 10:22

Уже поправил. Конечно я так делать не стану, это на время тестов. Проверил, результат тот же, что и ранее

herznaet
Сообщения: 17
Зарегистрирован: 10 сен 2018, 10:08

Re: Билайн и авторизация по IP-адресу

Сообщение herznaet » 12 сен 2018, 10:29

Что самое интересное: у меня в этой же сети стоит боевой сервер с астериском, но там идет авторизация по логину и паролю, порты я к нему не прокидываю и все работает, поскольку клиенты и сам сервер находятся в одной сети, а доступ сип-клиентам извне не нужен. Просто я в конце рабочего дня боевой сервер глушу, и перенастраиваю роутер

xelas
admin
Сообщения: 1141
Зарегистрирован: 05 мар 2007, 11:21

Re: Билайн и авторизация по IP-адресу

Сообщение xelas » 12 сен 2018, 10:36

Если боевой сервер у вас работает на порту 5060 и включен SIP ALG -- то тогда все будет работать без правки правил файрвола.
А вот если речь идет о нестандартных портах(как в вашем случае) и отсутствии регистрации по логину/паролю -- то необходимо отключать SIP ALG и прописывать статический нат и правила файрвола.

xelas
admin
Сообщения: 1141
Зарегистрирован: 05 мар 2007, 11:21

Re: Билайн и авторизация по IP-адресу

Сообщение xelas » 12 сен 2018, 10:37

herznaet писал(а):
12 сен 2018, 10:22
Уже поправил. Конечно я так делать не стану, это на время тестов. Проверил, результат тот же, что и ранее
Как определили? После правки правил - делали тестовый звонок? Покажите лог.

herznaet
Сообщения: 17
Зарегистрирован: 10 сен 2018, 10:08

Re: Билайн и авторизация по IP-адресу

Сообщение herznaet » 12 сен 2018, 10:44

После правки сделал тестовый звонок, роутер перезапускал, астериск на всякий тоже. Лог во вложении
Вложения
sip set debug 2.doc
(78.5 КБ) 15 скачиваний

xelas
admin
Сообщения: 1141
Зарегистрирован: 05 мар 2007, 11:21

Re: Билайн и авторизация по IP-адресу

Сообщение xelas » 12 сен 2018, 11:27

Ну, сдаюсь тогда. Вам лучше все таки поговорить с провайдером. Из всего выходит, что настройки на роутере и хосте верные. Пакеты от провадера до вас доходят, а вот от вас к провайдеру -- не уходят. На роутере вы их не блокируете, но до провайдера пакеты все же не доходят.
Попробуйте вот что.
запустите на хосте:

Код: Выделить всё

tcpdump -pni enp3s0 -s 0 -w res.dat host 82.142.175.22
Сделайте тестовый звонок. Завершите tcpdump и пришлите res.dat
Посмотрим, что реально уходит с интерфейса. Ну или сами проанализируйте файл в wireshark

herznaet
Сообщения: 17
Зарегистрирован: 10 сен 2018, 10:08

Re: Билайн и авторизация по IP-адресу

Сообщение herznaet » 12 сен 2018, 11:57

Сделал, дамп прикрепил
Вложения
res.zip
(2.09 КБ) 18 скачиваний

xelas
admin
Сообщения: 1141
Зарегистрирован: 05 мар 2007, 11:21

Re: Билайн и авторизация по IP-адресу

Сообщение xelas » 12 сен 2018, 12:01

Ну, тут все хорошо. То есть, проблема в том, что сервер вашего оператора 82.142.175.22 не получает от вас пакетов. Ищите, где и кто блокирует ваш трафик.

herznaet
Сообщения: 17
Зарегистрирован: 10 сен 2018, 10:08

Re: Билайн и авторизация по IP-адресу

Сообщение herznaet » 12 сен 2018, 12:09

Хорошо, завтра отзвонюсь нашему интернет-провайдеру. А есть ли смысл сменить роутер?

xelas
admin
Сообщения: 1141
Зарегистрирован: 05 мар 2007, 11:21

Re: Билайн и авторизация по IP-адресу

Сообщение xelas » 12 сен 2018, 12:17

Раз у вас боевой сервер работает хорошо -- то зачем? Правда, Lite II насколько я понимаю, уже снят с производства и не обновляется...
Но вообще, конечно, все эти кинетики -- это все таки больше для дома.

Ответить