@ru_freeswitch

Страница 37 из 430
igor
05.01.2017
06:16:08
У провайдеров регистрацию сделаю

Терь затык с астериском

Его затолкаю в отдельный профайл

И получается его надо описывать как gateway?

Google
igor
05.01.2017
06:18:02
Или с профилем internal подключить астериск как клиент

?

ros
05.01.2017
06:21:21
рабочая астериск как прикрутите без разницы хоть gw хоть user

igor
05.01.2017
06:22:41
Спасибо

Будем дальше искать

Andrey
05.01.2017
08:21:26
а трафика много ? смотрите чтоб астериск и fs за процессор не подрались

иначе потеряете в качестве голоса

Alexandru
05.01.2017
09:00:28
почему?

думаю основной траффик в любом случае в passthrough

нечему там проц отжирать

Igor
05.01.2017
09:18:35
Всем привет, наконец-то русский чатик по фс

igor
05.01.2017
09:32:31
Трафик не очень большой

В пике примерно 100 одновременных каналов

Google
Alexandru
05.01.2017
09:47:28
напомните, как отключить rport?

Alexey
05.01.2017
09:48:59
напомните, как отключить rport?
смотря где. а зачем вам? глючная железка?

Alexandru
05.01.2017
09:49:09
циска на другом конце

старая

ios 12

отвечает с рандомного порта

хочу попробовать выключить rport, авось поможет

Alexey
05.01.2017
09:54:58
хочу попробовать выключить rport, авось поможет
скорее всего нет, да и FS не должен добавлять rport, если на той стороне его нет (особенно если вы сами его принудительно не включали)

Alexandru
05.01.2017
09:55:25
к сожалению я не шибко контролирую ту сторону, у меня гейты

собственно и другую сторону не контролирую

а вырезать rport на каме... meh

Alexey
05.01.2017
09:55:47
можно попробовать "asterisk режим" включив aggressive nat detection

Alexandru
05.01.2017
09:56:07
это только для 1 направления, тоесть в параметрах бриджа

боюсь так не выйдет

там циско гейт, не телефон

говорим на публичных ip-шниках

ладно, будем думать...

Igor
05.01.2017
09:57:15
дамп можете показать?

Alexandru
05.01.2017
09:57:28
секунду

https://i.imgur.com/IpY8mWp.png

Google
Alexandru
05.01.2017
10:01:15
вот как-то так это выглядит

на порт 5061 не смотрите, это udp

сейчас дам пример инвайта

Alexey
05.01.2017
10:02:55
https://i.imgur.com/IpY8mWp.png
жэсть какая - правая нога это cysco?

Alexandru
05.01.2017
10:03:28
INVITE sip:BNUMBER@TARGET_CISCO_GATEWAY SIP/2.0 Via: SIP/2.0/UDP MY_FREESWITCH_GATEWAY:5061;rport;branch=z9hG4bKpD9g9DQQaZjDc Max-Forwards: 69 From: "ANUMBER" <sip:ANUMBER@MY_FREESWITCH_GATEWAY>;tag=m5j717BKrXt8c To: <sip:BNUMBER@TARGET_CISCO_GATEWAY> Call-ID: 64915d23-3ca2-1235-bd90-00505685dacc CSeq: 100524636 INVITE Contact: <sip:mod_sofia@MY_FREESWITCH_GATEWAY:5061> User-Agent: FreeSWITCH-mod_sofia/1.6.9-16-d574870~64bit Allow: INVITE, ACK, BYE, CANCEL, OPTIONS, MESSAGE, INFO, UPDATE, REGISTER, REFER, NOTIFY Supported: timer, path, replaces Allow-Events: talk, hold, conference, refer Content-Type: application/sdp Content-Disposition: session Content-Length: 244 X-FS-Support: update_display,send_info Remote-Party-ID: "ANUMBER" <sip:ANUMBER@MY_FREESWITCH_GATEWAY>;party=calling;screen=yes;privacy=off v=0 o=FreeSWITCH 1481690467 1481690468 IN IP4 MY_FREESWITCH_GATEWAY s=FreeSWITCH c=IN IP4 MY_FREESWITCH_GATEWAY t=0 0 m=audio 30934 RTP/AVP 18 8 101 a=rtpmap:18 G729/8000 a=rtpmap:8 PCMA/8000 a=rtpmap:101 telephone-event/8000 a=fmtp:101 0-16 a=ptime:20

Igor
05.01.2017
10:05:13
ответ от циски еще можно?

Alexandru
05.01.2017
10:05:37
ответ от циски еще можно?
SIP/2.0 100 Trying Via: SIP/2.0/UDP MY_FREESWITCH_GATEWAY:5061;rport;branch=z9hG4bKpD9g9DQQaZjDc From: "ANUMBER" <sip:ANUMBER@MY_FREESWITCH_GATEWAY>;tag=m5j717BKrXt8c To: <sip:BNUMBER@TARGET_CISCO_GATEWAY> Date: Wed, 14 Dec 2016 13:17:12 GMT Call-ID: 64915d23-3ca2-1235-bd90-00505685dacc CSeq: 100524636 INVITE Allow-Events: telephone-event Server: Cisco-SIPGateway/IOS-12.x Content-Length: 0

branch, cseq и call-id нормальные

Alexey
05.01.2017
10:06:37
tcp пробовали? пацаны пишут, что помогает

Alexandru
05.01.2017
10:06:47
tcp на интерконнекте...

Igor
05.01.2017
10:07:23
не факт что циска TCP держит

3pcc включен на профиле?

Alexey
05.01.2017
10:08:59
tcp на интерконнекте...
tcp вполне ок - h323 сигналку им шлёт

Alexandru
05.01.2017
10:10:07
3pcc включен на профиле?
3pcc выключен проблема в том что я не разрешаю всем подряд стучаться на 5060

и я бы не хотел открывать им его

звонок они инициируют на каме

Igor
05.01.2017
10:10:37
чем не разрешаете?

Alexandru
05.01.2017
10:10:42
фаерволом

Google
Alexandru
05.01.2017
10:11:31
5060 открыт на sbc, на свиче -A INPUT -m state —state RELATED,ESTABLISHED -j ACCEPT

по хорошему все должно проходить обратно через sbc, но есть свои причины так не делать

под 5060 я имею в виду все открытые для сипа порты

Igor
05.01.2017
10:13:32
не может быть такого что у вас фаервол не выпускает трафик на порты >50000 на эту циску?

Alexandru
05.01.2017
10:15:12
outbound правила у меня мягкие, да и видно было бы на дампе

он просто не принимает его с тех портов

потому что соединение не established

Alexey
05.01.2017
10:21:27
потому что соединение не established
порт 5061 открыт на левой ноге? каким правилом?

Alexandru
05.01.2017
10:21:47
порт 5061 открыт на левой ноге? каким правилом?
так говорюж, для них нет :) если открыть - то все хорошо

но черт возьми как я не хоче это делать

Alexey
05.01.2017
10:22:49
так говорюж, для них нет :) если открыть - то все хорошо
вы хотите принимать соединения на закрытый порт и недовольны тем, что это не работает, я правильно понимаю?

Alexandru
05.01.2017
10:23:27
если мне отвечают с того же порта куда я прислал - то все хорошо

Alexey
05.01.2017
10:24:27
-A INPUT -m state —state RELATED,ESTABLISHED -j ACCEPT
вы же вроде понимаете, что это правило нерелевантно в этой ситуации?

Alexandru
05.01.2017
10:24:38
естественно

оно релевантно во всех остальных

Alexey
05.01.2017
10:25:16
если мне отвечают с того же порта куда я прислал - то все хорошо
вот именно, если они отвечают с того же порта, то соединение попадает в категорию ESTABLISHED, но их cisco настроена так, чтобы отвечать со случайного

Alexandru
05.01.2017
10:25:43
открывать фаерволы для сторонних компаний это плохая идея, по опыту знаю

ну впрочем видимо другого выбора нет

Google
Alexey
05.01.2017
10:34:22
глянул rfc (страницы 142-143): поведение, которого вы ожидаете обязательно для TCP и TLS (reliable transports), в случае с UDP, cisco не должна отвечать с того же порта, и rport тут не при чём

Alexandru
05.01.2017
10:34:58
да, в rfc этого нет, я тоже пытался найти :) но это просто common sense

server-client model

понятно что в стандарты это якобы вписывается

Alexey
05.01.2017
10:37:31
понятно что в стандарты это якобы вписывается
вполне. вам нужен нормальный l7-фаервол, который будет досматривать sip и открывать нужные порты. netfilter немного не дотягивает до этого уровня.

Alexandru
05.01.2017
10:39:47
кхм.. зачем мне создавать дополнительную нагрузку? это оверинжиниринг я понимаю если бы это была PBX, но это провайдерский интерконнект

фаервол который смотрит на layer 7 - дополнительная нагрузка на cpu, меньше звонков

Alexey
05.01.2017
10:42:43
кхм.. зачем мне создавать дополнительную нагрузку? это оверинжиниринг я понимаю если бы это была PBX, но это провайдерский интерконнект
по-моему, у вас там кругом оверинжиниринг: asterisk, freeswitch, kamailio, необычные подходы к фаерволингу

Alexandru
05.01.2017
10:43:00
у меня нет астерисков

Alexey
05.01.2017
10:43:13
фаервол который смотрит на layer 7 - дополнительная нагрузка на cpu, меньше звонков
я имел в виду отдельную железку (SRX, например), linux не годится под это дело

Alexandru
05.01.2017
10:45:24
я имел в виду отдельную железку (SRX, например), linux не годится под это дело
зачем, если прекрасно живется с теми правилами что есть?

до того как эти ребята с циской появились все было хорошо

и не понимаю в чем мои подходы необычные - я ожидаю ответ с того же порта на который послал

считаю это вполне оправданным :)

Alexey
05.01.2017
10:54:44
ну в моём представлении ситуация выглядит так: вы не соответствовали стандартам, отбрасывая соединения с других портов, и проблема уже была на вашей стороне (просто не проявлялась, но уже была). с фаерволингом так: iptables должен пропускать все потенциально-релевантные соединения и отбрасывать гарантировано-нежелательные, дальше уже FS или SER должен определять, хотели вы это соединение или нет (ФВ - безмозглый первый рубеж, а на FS/SER уже настоящий анализ), как-то так. SIP - самый "complicated" стандарт из всех, что я видел, ему очень тяжело соответствовать, он постоянно подкладывает свинью, но, к сожалению, он победил.

Alexey
05.01.2017
10:58:50
иногда хочется сделать идеально, но всегда найдётся cysco/sonus или ещё что, с чем это не работает)

Alexandru
05.01.2017
11:00:24
увы да это коробит но создавать умные правила и тратить на это неплохие деньги ради нескольких исключений и чувства собственной удовлетворенности... бизнес этого не простит :)

ros
05.01.2017
11:38:17
раздули проблему с пустого места -A INPUT -s cisco_ip -p udp --dport 5060 -j ACCEPT всё какая разница с какого порта оно отвечает, если к вам все летит на один известный порт?

-m state для UDP применим только в частных случаях

Страница 37 из 430