SIp от Life Шифрование голоса SRTP
Ребята повернутые на безопасности, после долгих препирательств с технической поддержкой мне наконец то генерировали пароль без знаков #@ посередине, я понял наконец зачем мне в первом письме прислали крипто-ключи и сервер зарегистрировался.
Все бы хорошо но при попытке звонка как от меня так и на меня в логах следующее
| Код: |
| Unsupported SDP media type in offer: audio 18204 RTP/SAVP 8 0 101 |
Понять что за кодека не хватает не могу , в карте абонента кодеки стандартные g711ulaw, g711alaw
в акаутнте прописал
transport=tls
encryption=yes
disallow=all
allow=ulaw&alaw
куда дальше смотреть идеи закончились, может кто подскажет ?
Added after 24 minutes:
Догадываюсь... что нужен res_srtp.so , но у меня его в системе нет, (стоит elastix 2.0 Asterisk 1.6.2.13), собствено вопрос можно ли это дело как-то запустить не пере собирая астериск ?
SAVP поддерживатся начали совсем недавно
На работу не влияет.
Просто AVP:
| Код: |
| WARNING[26443]: chan_sip.c:8719 process_sdp: Unsupported SDP media type in offer: video 0 RTP/AVP 31 34 98 99 104 |
_________________
Gentoo Linux || Asterisk 11.2-cert3
Решения телефонии на базе Asterisk || http://it-need.ru
Последний раз редактировалось: aven (Ср Фев 08, 2012 07:29)
) Они без шифрования не работают? Я вроде бы в описании видел возможность подключения по ipsec туннелю.
_________________
e=mc^2
в general
tlsenable=yes
tlsbindaddr=X.X.X.X ;(тут понятно на каком IP слушаем)
tlscafile=/etc/asterisk/tls/key.pem ;(Ключик от лайфа)
tlscertfile=/etc/asterisk/tls/blah.pem;(Ваш приватный ключик)
tlscipher=ALL
tlsclientmethod=tlsv1
register => tls://ваш_акк:ваш_пароль@ип_регистрации:5061
;Сам пир
[life-peer]
disallow=all
allow=ulaw
host=ип_регистрации
username=ваш_акк
secret=ваш_пароль
port=5061
type=peer
callreinvite=no
fromuser=ваш_акк
transport=tls
encryption=yes
context=life-test
Должно работать.
Прошло несколько месяцев - думаю стоит поделится опытом эксплуатации этого добра.
Работает стабильно, настраивал так как у указано в ответе выше, правда ответа не дождался нарыл все сам. Там ничего сложного - немного нестандартно правда.
Что нравится
1 работает стабильно(за три мес было замечено только 1 или два падения на несколько сек)
2 DTMF ходит на ура(собственно ради него и брал)
2 достаточно дешево (брал только ради входящих соответственно плачу только абонентку)
Что не нравится
1 полное отсутствие тех поддержки, она вернее есть но только через менеджера который вас ведет - т е вы ему пол дня описываете в письменном виде что случилось, потом ждете 1- 2 дня (у меня получалось не меньше недели так как менеджер периодически уезжал по делам и не мог читать почту ), пока он перешлет это на тех департамент потом те еще 2 дня будут мусолить, потом придет ответ с расплывчатым да мы лоханулись- проверяйте уже должно работать. Хоте этот же вопрос в телефонном режиме можно было бы решить за 15 минут. Если вы берете услугу и вам нужна бесперебойность - рекомендую раз 10 подумать - простои в 2 недели для Life нормально, и не считается проблемой. \
2 Ребята похоже живут в 90-x и у них до сих пор политика что за ними должны бегать, они не понимают что клиент не может взять услугу за 30 гр мес., и при этом потратить на ip-sec 200- 300 $ (или на услуги админа). По этому услуга у них и не продается, в своем регионе я похоже был первым кто взял услугу больше чем на 1 канал ( собственно на счет второго канала и были разборки с их ТП- они н могли понять почему не работает)
3 Из-за сложности реализации услуги пришлось ставить отдельный выделенный сервер схема Life - SIP (SRTP) -- ASterisk-- IAX2-- Asterisk считаю излишком но другого варианта не вижу Elastix с этим делом не работает, а клиент привык работаnm в Elastix...
Вот собственно так...
А вот насчет тех. поддержки - чистая правда, похоже у них по всей Украине так. Если что-то упало, то стучаться некуда, только письмо менеджеру, время реакции от нескольких часов, время устранения проблемы - от суток.
_________________
Better simpler than clever
| Цитата: |
| Что не нравится 1 полное отсутствие тех поддержки, она вернее есть но только через менеджера который вас ведет - т е вы ему пол дня описываете в письменном виде что случилось, потом ждете 1- 2 дня (у меня получалось не меньше недели так как менеджер периодически уезжал по делам и не мог читать почту ), пока он перешлет это на тех департамент потом те еще 2 дня будут мусолить, потом придет ответ с расплывчатым да мы лоханулись- проверяйте уже должно работать. Хоте этот же вопрос в телефонном режиме можно было бы решить за 15 минут. Если вы берете услугу и вам нужна бесперебойность - рекомендую раз 10 подумать - простои в 2 недели для Life нормально, и не считается проблемой. \ 2 Ребята похоже живут в 90-x и у них до сих пор политика что за ними должны бегать, они не понимают что клиент не может взять услугу за 30 гр мес., и при этом потратить на ip-sec 200- 300 $ (или на услуги админа). По этому услуга у них и не продается, в своем регионе я похоже был первым кто взял услугу больше чем на 1 канал ( собственно на счет второго канала и были разборки с их ТП- они н могли понять почему не работает) 3 Из-за сложности реализации услуги пришлось ставить отдельный выделенный сервер схема Life - SIP (SRTP) -- ASterisk-- IAX2-- Asterisk считаю излишком но другого варианта не вижу Elastix с этим делом не работает, а клиент привык работаnm в Elastix... |
Брал для уменьшения затрат на лайф, при моем трафике минусы перебивают плюсы.
1. Полностью согласен. Работаю со всеми крупными операторами напрямую. Счета и бренд заставляют всех идти на встречу. С Астелитом - "только так, как описано в мануале". Тех.поддержка - только через манагера, на любой нестандартный запрос ответ - "НЕТ". В разговоре с манагером и начальником отдела продаж все время слышишь "мы бизнесориентированы" при этом на объяснения, что тебе нужно взять транк на 15 конкурентных звонков, который будет делится между всеми твоими номерами, заканчивался историей из совка про полезность "номерных" и "безномерных линий".
2. IPSEC дали, но crypto map, что нам не подходит из-за загруженности шифрующего роутера. Попросили cisco vti,ответ - "НЕТ". Пришлось ставить дополнительный девайс.
3. Пока все остальное вроде норм, но все еще трестируется.
Короче, даже если брать всю неразбериху Киевтар/Голден(после объединения), продолжающееся 3 года тестирование медиашлюза МТСом, несговорчивость Укртелекома, и изредка проскакивающей Оптимой, саппорт пока ниже всех.
_________________
e=mc^2
Новый перл от Астелита: "Мы не можем предоставить Вам услугу в Одессе, поскольку у Вас юрлицо в Киеве зарегистрировано, так в лицензии написано".
Короче, мой Вам совет - не связывайтесь с ними, если есть другой вариант. А если компания большая, то лучше вообще стороной обходить эту контору.
_________________
e=mc^2
Письмо:
| Цитата: |
| Проблема проявляется следующим образом: При звонке абонента, который физически находится в Белой Цекви или Фастове, на симкарту, которая физически находится в Житомирской области (в частности в Коростене, Житомире и Бердичеве), ДТМФ сигнал приходит неполный или искаженный. Соответственно ИВР настроенная на АТС корпорации не может обработать полученный код ДТМФ и естественно то, что абоненту из Белой Церкви меню самообслуживания не может быт качественно предоставлено. |
Ответ Лайф:
| Цитата: |
| Сайты в указанных Вами городах работают корректно. Жалоб от пользователей не поступало. Для корректного использования SIM-карты оператора life:) в Ваших устройствах предлагается специальная услуга «VoIP — телефония (Единая Сеть Премиум)» — это услуга, позволяющая корпоративным клиентам business life:) значительно оптимизировать свои расходы на мобильную и офисную связь за счет объединения офисных и мобильных телефонов своих филиалов, структурных подразделений и отделений в единую сеть. Услугой могут пользоваться юридические лица. |
Выводы о возможной связи "Сайты в указанных Вами городах" и " ДТМФ сигнал приходит неполный или искаженный" - делайте сами, а я просто в шоке
Ну, да ладно, хрен с ними - Заказали тестовый номер VoIP — телефония (Единая Сеть Премиум). На вопрос "А где можно получить инструкции по подключению?" получили не менее шокирующий ответ "У нас нет возможности предоставить Вам инструкции. Рекомендуем обратиться к дилеру, который оформлял вам продажу услуги."
Все, песец, круг замкнулся.
"Пилите, Шура, гири. Они золотые." И ЭТО В КОНЦЕ РАБОЧЕГО ДНЯ ПЯТНИЦЫ, ЧЕРЕЗ ДВАДЦАТЬ МИНУТ ПОСЛЕ ПОЛУЧЕНИЯ ПИСЬМА С ПАРОЛЕМ, КОТОРОЕ ЖДАЛИ ТРИ ДНЯ! И что делать, когда на тест выделено два дня (пятница и субота), причем пятница, по факту, уже закончилась
У кого есть step by step инструкция (настройки racoon и конфигов астера) - скиньте пожалуйста. (Времени на "хождение по граблям" не осталось )
.
_________________
"Все для такси": специальные бесшумные серверы (1U-3U 12 вольт, 8-35 ват), АТС Астериск, автоматизация диспетчерских,
УНИКАЛЬНАЯ ТЕХНОЛОГИЯ "ТАКСИ БЕЗ ДИСПЕТЧЕРОВ" - без Java и/или Интренет (только телефоны)
_________________
e=mc^2
Они не выслали файл ca.pe, и плюс к этому , с их слов: " айти специалисты, не совсем корректно и не до конца, активизировали аккаунт" _________________
"Все для такси": специальные бесшумные серверы (1U-3U 12 вольт, 8-35 ват), АТС Астериск, автоматизация диспетчерских,
УНИКАЛЬНАЯ ТЕХНОЛОГИЯ "ТАКСИ БЕЗ ДИСПЕТЧЕРОВ" - без Java и/или Интренет (только телефоны)
Попросил многоканальный, за 2 дня сделали, выслали сертификат, инструкцию (даже в картинках)
включил - работает)
Могу дать контакты Андрея Рыбальченко(всегда идет навстречу, все вопросы решаются)
insecure=very
без этого параметра входящие не шли.
/etc/asterisk/sip.conf
| Код: |
| [general] #include sip_general_additional.conf #include sip_general_custom.conf #include sip_nat.conf #include sip_registrations_custom.conf #include sip_registrations.conf #include sip_custom.conf #include sip_additional.conf #include sip_custom_post.conf #include additional_a2billing_sip.conf |
/etc/asterisk/sip_general_custom.conf
| Код: |
| allowguest=no tlsenable=yes match_auth_username=yes pedantic=yes udpbindaddr=85.10.xxx.xxx tcpbindaddr=85.10.xxx.xxx tlsbindaddr=85.10.xxx.xxx tlscafile=/etc/asterisk/tls/ca.pem tlscertfile=/etc/asterisk/tls/cert.pem tlscipher=ALL tlsclientmethod=tlsv1 tlsdontverifyserver=no |
/etc/asterisk/sip_additional.conf
| Код: |
| [093xxxxxxx] disallow=all host=212.58.166.54 username=093xxxxxxx secret=password port=5061 dtmfmode=rfc2833 type=friend fromuser=093xxxxxxx transport=tls encryption=yes allow=ulaw qualify=yes canreinvite=no allow=alaw insecure=port,invite context=from-sip-external |
SRTP
| Код: |
| [Aug 30 16:52:35] VERBOSE[25472] loader.c: res_srtp.so => (Secure RTP (SRTP)) |
/etc/asterisk/sip_registrations.conf
| Код: |
| register=tls://093xxxxxxx:password@212.58.166.54:5061/093xxxxxxx |
В дебаге вижу такое:
| Код: |
| [Aug 30 16:57:41] NOTICE[25504]: chan_sip.c:14995 sip_reregister: -- Re-registration for 093xxxxxxx@212.58.166.54 REGISTER 10 headers, 0 lines Reliably Transmitting (no NAT) to 212.58.166.54:5061: REGISTER sip:212.58.166.54:5061 SIP/2.0 Via: SIP/2.0/TLS 85.10.xxx.xxx:5061;branch=z9hG4bK61fac244 Max-Forwards: 70 From: ;tag=as30506612 To: Call-ID: 1a2a67a314d06a68144b8cf71299bec7@85.10.xxx.xxx CSeq: 102 REGISTER User-Agent: FPBX-2.8.1(1.8.20.0) Expires: 120 Contact: Content-Length: 0 --- Really destroying SIP dialog '511a78905cb28cc32cda56fb3a034c42@85.10.xxx.xxx:5061' Method: OPTIONS SIP/2.0 100 Trying Via: SIP/2.0/TLS 85.10.xxx.xxx:5061;branch=z9hG4bK61fac244;received=85.10.xxx.xxx From: ;tag=as30506612 To: Call-ID: 1a2a67a314d06a68144b8cf71299bec7@85.10.xxx.xxx CSeq: 102 REGISTER Server: Asterisk PBX 1.8.7.1 Allow: INVITE, ACK, CANCEL, OPTIONS, BYE, REFER, SUBSCRIBE, NOTIFY, INFO, PUBLISH Supported: replaces, timer Content-Length: 0 --- (10 headers 0 lines) --- SIP/2.0 401 Unauthorized Via: SIP/2.0/TLS 85.10.xxx.xxx:5061;branch=z9hG4bK61fac244;received=85.10.xxx.xxx From: ;tag=as30506612 To: ;tag=as07db9782 Call-ID: 1a2a67a314d06a68144b8cf71299bec7@85.10.xxx.xxx CSeq: 102 REGISTER Server: Asterisk PBX 1.8.7.1 Allow: INVITE, ACK, CANCEL, OPTIONS, BYE, REFER, SUBSCRIBE, NOTIFY, INFO, PUBLISH Supported: replaces, timer WWW-Authenticate: Digest algorithm=MD5, realm="asterisk", nonce="75f2f6b9" Content-Length: 0 --- (11 headers 0 lines) --- Responding to challenge, registration to domain/host name 212.58.166.54 REGISTER 11 headers, 0 lines Reliably Transmitting (no NAT) to 212.58.166.54:5061: REGISTER sip:212.58.166.54 SIP/2.0 Via: SIP/2.0/TLS 85.10.xxx.xxx:5061;branch=z9hG4bK76454125 Max-Forwards: 70 From: ;tag=as255b6696 To: Call-ID: 1a2a67a314d06a68144b8cf71299bec7@85.10.xxx.xxx CSeq: 103 REGISTER User-Agent: FPBX-2.8.1(1.8.20.0) Authorization: Digest username="093xxxxxxx", realm="asterisk", algorithm=MD5, uri="sip:212.58.166.54:5061", nonce="75f2f6b9", response="3335a4284fc805e45ede8b4ce1c600cc" Expires: 120 Contact: Content-Length: 0 --- SIP/2.0 100 Trying Via: SIP/2.0/TLS 85.10.xxx.xxx:5061;branch=z9hG4bK76454125;received=85.10.xxx.xxx From: ;tag=as255b6696 To: Call-ID: 1a2a67a314d06a68144b8cf71299bec7@85.10.xxx.xxx CSeq: 103 REGISTER Server: Asterisk PBX 1.8.7.1 Allow: INVITE, ACK, CANCEL, OPTIONS, BYE, REFER, SUBSCRIBE, NOTIFY, INFO, PUBLISH Supported: replaces, timer Content-Length: 0 --- (10 headers 0 lines) --- SIP/2.0 401 Unauthorized Via: SIP/2.0/TLS 85.10.xxx.xxx:5061;branch=z9hG4bK76454125;received=85.10.xxx.xxx From: ;tag=as255b6696 To: ;tag=as03bffa43 Call-ID: 1a2a67a314d06a68144b8cf71299bec7@85.10.xxx.xxx CSeq: 103 REGISTER Server: Asterisk PBX 1.8.7.1 Allow: INVITE, ACK, CANCEL, OPTIONS, BYE, REFER, SUBSCRIBE, NOTIFY, INFO, PUBLISH Supported: replaces, timer WWW-Authenticate: Digest algorithm=MD5, realm="asterisk", nonce="1446bd1e" Content-Length: 0 --- (11 headers 0 lines) --- Responding to challenge, registration to domain/host name 212.58.166.54 REGISTER 11 headers, 0 lines Reliably Transmitting (no NAT) to 212.58.166.54:5061: REGISTER sip:212.58.166.54 SIP/2.0 Via: SIP/2.0/TLS 85.10.xxx.xxx:5061;branch=z9hG4bK1749470b Max-Forwards: 70 From: ;tag=as3d35cc13 To: Call-ID: 1a2a67a314d06a68144b8cf71299bec7@85.10.xxx.xxx CSeq: 104 REGISTER User-Agent: FPBX-2.8.1(1.8.20.0) Authorization: Digest username="093xxxxxxx", realm="asterisk", algorithm=MD5, uri="sip:212.58.166.54", nonce="1446bd1e", response="e5f729a16fa2dfd9e0a0dc629aeed47d" Expires: 120 Contact: Content-Length: 0 --- SIP/2.0 100 Trying Via: SIP/2.0/TLS 85.10.xxx.xxx:5061;branch=z9hG4bK1749470b;received=85.10.xxx.xxx From: ;tag=as3d35cc13 To: Call-ID: 1a2a67a314d06a68144b8cf71299bec7@85.10.xxx.xxx CSeq: 104 REGISTER Server: Asterisk PBX 1.8.7.1 Allow: INVITE, ACK, CANCEL, OPTIONS, BYE, REFER, SUBSCRIBE, NOTIFY, INFO, PUBLISH Supported: replaces, timer Content-Length: 0 --- (10 headers 0 lines) --- SIP/2.0 403 Forbidden (Bad auth) Via: SIP/2.0/TLS 85.10.xxx.xxx:5061;branch=z9hG4bK1749470b;received=85.10.xxx.xxx From: ;tag=as3d35cc13 To: ;tag=as03bffa43 Call-ID: 1a2a67a314d06a68144b8cf71299bec7@85.10.xxx.xxx CSeq: 104 REGISTER Server: Asterisk PBX 1.8.7.1 Allow: INVITE, ACK, CANCEL, OPTIONS, BYE, REFER, SUBSCRIBE, NOTIFY, INFO, PUBLISH Supported: replaces, timer Content-Length: 0 --- (10 headers 0 lines) --- [Aug 30 16:57:41] WARNING[25505]: chan_sip.c:23291 handle_response_register: Forbidden - wrong password on authentication for REGISTER for '093xxxxxxx' to '212.58.166.54' Really destroying SIP dialog '1a2a67a314d06a68144b8cf71299bec7@85.10.xxx.xxx' Method: REGISTER |
Сервер имеет единственный сетевой интерфейс, которым напрямую смотрит "наружу".
Не могу понять где я накосячил (или они накосячили)... Огромное спасибо всем кто откликнется!
_________________
FreeBSD X.XX - Asterisk X.XX
Проблема была у поставщика услуг, все уже работает.