Я выполнил это руководство, чтобы совершать безопасные звонки с помощью звездочки.
Учебное пособие по безопасному вызову | Вики проекта Asterisk
Я использую звездочку версии 13.19.2 на Ubuntu версии 16 (debian), и как только я добавил TLS и SRTP, у меня возникли проблемы.
Прочтите это, только если вы хотите установить звездочку! Это всего лишь мои заметки на тот случай, если вы хотите установить звездочку с поддержкой TLS и SRTP для безопасных вызовов. Собственно вопрос в самом низу!
{
# (1) make sure everything is up to date again
apt-get update
apt-get upgrade
# (2) Install dependencies that will be needed in order to install asterisk pjproject etc...
apt-get install aptitude -y
aptitude install build-essential -y
aptitude install git -y
aptitude install libssl-dev -y
aptitude install zlib1g-dev -y
aptitude install openssl -y
aptitude install libxml2-dev -y
aptitude install libncurses5-dev -y
aptitude install uuid-dev -y
aptitude install sqlite3 -y
aptitude install libsqlite3-dev -y
aptitude install pkg-config -y
aptitude install libjansson-dev -y
# (3) make sure everything is up to date again
apt-get update
apt-get upgrade
# (4) Install libsrtp (library used to encrypt rtp)
cd /root
wget https://github.com/cisco/libsrtp/archive/v1.6.0.tar.gz
tar -xzf v1.6.0.tar.gz
cd libsrtp-1.6.0
./configure CFLAGS=-fPIC --prefix=/usr
make
make runtest
make install
cd ..
# (5) install pjproject
git clone https://github.com/asterisk/pjproject pjproject
cd pjproject
./configure --prefix=/usr --enable-shared --disable-sound --disable-resample --disable-video --disable-opencore-amr --with-external-srtp
make dep
make
make install
cd ..
# (6) Install Asterisk WITH SRTP AND PJPROJECT
wget http://downloads.asterisk.org/pub/telephony/asterisk/asterisk-13-current.tar.gz
tar xvf asterisk-13-current.tar.gz
cd asterisk-13.19.2
./configure --with-pjproject --with-ssl --with-srtp
make
make install
make samples
make config
Сгенерируйте ключи (сертификаты). Вы также можете приобрести это в центре сертификации.
# GENERATE KEYS
# make a place for our keys
mkdir /etc/asterisk/keys
cd /root/asterisk-13.19.2/contrib/scripts
./ast_tls_cert -C my_company.com -O "my_company" -d /etc/asterisk/keys
# TODO later generate keys for clients (ip phones). This part is explained on first tutorial link and is not relevant to this question
Создайте sip.conf и extensions.conf
sip.conf:
[general]
tcpenable=yes
udpenable=yes
udpbindaddr=0.0.0.0
tcpbindaddr=0.0.0.0
; allow tls !
tlsenable=yes
tlsbindaddr=0.0.0.0:5868 ; <------------------------ note I am changing the default port 6061 to 5868
tlscertfile=/etc/asterisk/keys/asterisk.pem ; key generated on step 2
tlscafile=/etc/asterisk/keys/ca.crt ; certificate generated on step 2
tlscipher=ALL
tlsclientmethod=tlsv1
encryption=yes
tlsdontverifyserver=yes ; trust ublux more than godaddy!
videosupport=yes
nat=force_rport,comedia
; shared configuration used for ip phones
[base-config](!)
type=peer
;type=friend
disallow=all
allow=ulaw,h264,vp8
context=common ;<------------------ context used on extensions.conf
dtmfmode=auto
insecure=port,invite
canreinvite=no
host=dynamic
directmedia=no
registertrying=yes
qualify=yes; monitof peer in order to know if its connected
transport=tls ; Only allow secure transport!
encryption=yes
icesupport=yes
dtlsenabled=yes
dtlsverify=no
сверстники на sip.conf
; peer 1
[101](base-config)
secret=password123
setvar=ID=Tono
setvar=Foo=test101
; peer 2
[102](base-config)
secret=password123
setvar=ID=Monir
setvar=Foo=test102
extension.conf
[general]
static=yes
writeprotect=no
[common]
exten => 101,1,NoOp(Calling 101)
same => n,NoOp(Foo = ${Foo} )
same => n,Dial(SIP/101)
same => n,Hangup()
exten => 102,1,NoOp(Calling 102)
same => n,NoOp(Foo = ${Foo} )
same => n,Dial(SIP/102)
same => n,Hangup()
В любом случае вот вопрос:
После выполнения этих шагов я могу звонить, принимать звонки но происходит что-то очень странное! Asterisk использует неверные переменные. Например, когда я звоню с телефона 101 к 102 звездочка выбирает переменные от однорангового узла 102! Обратите внимание, что это происходит только тогда, когда два телефона имеют одинаковый IP-адрес, потому что они находятся за NAT.
Вот доказательство:
ubuntu*CLI> sip show peers
Name/username Host Dyn
Forcerport Comedia ACL Port Status Description
101 170.55.7.131 D Yes Yes 50178 Unmonitored
102 170.55.7.131 D Yes Yes 50137 Unmonitored
103 170.55.7.132 D Yes Yes 50212 Unmonitored
одноранговые узлы 101 и 102 показывают один и тот же IP-адрес, потому что они находятся за одним и тем же маршрутизатором. Другими словами, 170.55.7.131 - это публичный IP-адрес. Если у них есть другой публичный IP-адрес, этого не произойдет. Другими словами, этого не происходит между расширениями 101 и 103 по какой-то странной причине.
Когда я звоню с 101 на 102, это то, что показывает журнал звездочки: (правильно)
Executing [102@common:1] NoOp("SIP/101-00000095", "Calling 102") in new stack
Executing [102@common:2] NoOp("SIP/101-00000095", "Foo = test101 ") in new stack
Executing [102@common:3] Dial("SIP/101-00000095", "SIP/102") in new stack
Using SIP VIDEO CoS mark 6
....
Когда я звоню с 102 на 101, это то, что показывает журнал звездочки !!: (неверно)
Executing [101@common:1] NoOp("SIP/101-00000097", "Calling 101") in new stack
Executing [101@common:2] NoOp("SIP/101-00000097", "Foo = test101 ") in new stack
Executing [101@common:3] Dial("SIP/101-00000097", "SIP/101") in new stack
почему Foo =test101 он должен равняться test102!!! также переменная канала 101-00000097 содержит 101 так должно быть 102-00000097 потому что телефон 102 инициировал телефонный звонок!
Если я перезапущу службу звездочки и сделаю тот же вызов с 102 на 101, звездочка покажет следующее:
Executing [101@common:1] NoOp("SIP/102-00000002", "Calling 101") in new stack
Executing [101@common:2] NoOp("SIP/102-00000002", "Foo = test102 ") in new stack
Executing [101@common:3] Dial("SIP/102-00000002", "SIP/101") in new stack
Теперь это правильно. Asterisk отображает переменные в IP-адрес ?????
Временные решения, устраняющие эту проблему:
По какой-то причине, если я помещаю телефон в другое место, где у него другой IP-адрес, этого не происходит. Эта проблема возникает только тогда, когда оба телефона находятся в одной сети и имеют одинаковый общедоступный IP-адрес. Для меня это не имеет смысла, потому что NAT будет назначать разные внутренние порты.
Если я удалю безопасность (tls) и использую udp или tcp в качестве транспортных методов. эта проблема больше не возникает.
Наконец-то нашел решение, потратив целый день. Вот что происходит, когда вы копируете конфигурацию из Интернета!
В любом случае проблема заключалась в том, что на моем sip.conf у меня было
insecure=port,invite
поиск в Google по insecure = port дает:
небезопасный = порт; Разрешить сопоставление пира по IP-адресу без сопоставления номера порта
Это объясняет, почему порт игнорировался. Итак, решение заключалось в том, чтобы внести два изменения в мой sip.conf:
Изменено insecure=port,invite к insecure=invite
Изменено type=peer к type=friend