AF
Asterisk Forum
обсуждения телефонии, VoIP и IP-PBX
12разделов
5 423тем
34 385сообщений
← К списку тем

связь двух астерисков более чем через один пир. Вопрос безопасности.

Newbies/FAQ Forum 5 сообщений -
#1

связь двух астерисков более чем через один пир. Вопрос безопасности.

Добрый день.
Есть задача: необходимо соединить два астериска, причём более чем одной сип регистрацией.
Оба сервера принадлежат разным лицам и друг-другу не доверяют.
На обоих астерисках есть внешние ip адреса, но в любой момент адрес "ведомого" может измениться. Поэтому необходимо использовать аутентификацию по логину и паролю и host=dynamic.
На первом сервере прописаны sip пиры:
Код:
[100]
user=100
type=peer
secret=pass1
port=5060
nat=never
host=dynamic
dtmfmode=inband
context=cont1
directmedia=no
callerid=100
allow=alaw

[200]
user=200
type=peer
secret=pass2
port=5060
nat=never
host=dynamic
dtmfmode=inband
context=cont1
directmedia=no
callerid=200
allow=alaw


На 2 ом астериске соответственно:
Код:
register => 200:pass2@1.1.1.1/mtest2
register => 100:pass1@1.1.1.1/mtest1

[mtest2]
defaultuser=200
type=peer
secret=pass2
fromuser=200
host=1.1.1.1
qualify=no
port=5060
nat=no
context=test1
canreinvite=no
callerid=200
callbackcontext=test1

[mtest1]
defaultuser=100
type=peer
secret=pass2
fromuser=100
host=1.1.1.1
qualify=no
port=5060
nat=no
context=test1
canreinvite=no
callerid=100
callbackcontext=test1


при звонке получаю такое:
username mismatch, have , digest has

При этом если на первом астериске регистрироваться шлюзом linksys spa8000, то всё работает. После изучения вопроса стало ясно, что шлюз регистрируется разными портами и видимо поэтому проблем не возникает.

Если использовать в настройках первого астериск тип friend вместо peer, то всё замечательно работает и с астериском.
Меня настораживает, что в интернетах пишут что тип friend использовать небезопасно. Но после изучения вопроса я пришёл к выводу, что тип friend не так уж и опасен, а в моём случае без него вообще не обойтись.

Вопрос: правильно ли мною решена задача с точки зрения безопасности? какие есть ещё варианты? предложения?
#2
Боитесь что взломают ? поставьти за место UDP - TLS

И имена, на серверах, должны быть разные.
#3
Да, боюсь что взломают. Спасибо, TLS покурю.
Про имена не понял, немного поконкретнее, пожалуйста.
#4
добавьте insecure=invite на принимающей стороне.
#5
Если на одно сервере нумерация начинается на 1хх, значит на втором 2хх
если так не прокатывает делайте через 11х на первом и 12х на втором
Нельзя делать 111,113,114 на первом и 112,115 на втором - устанете писать диалплан
В общий вывод - разделяйте группами и никаких одинаковых номеров на разных серверах.