У провайдеров регистрацию сделаю

Терь затык с астериском

Его затолкаю в отдельный профайл

И получается его надо описывать как gateway?

Или с профилем internal подключить астериск как клиент

?

рабочая астериск как прикрутите без разницы хоть gw хоть user

Спасибо

Будем дальше искать

а трафика много ? смотрите чтоб астериск и fs за процессор не подрались

иначе потеряете в качестве голоса

почему?

думаю основной траффик в любом случае в passthrough

нечему там проц отжирать

Всем привет, наконец-то русский чатик по фс

Трафик не очень большой

В пике примерно 100 одновременных каналов

напомните, как отключить rport?

напомните, как отключить rport?

смотря где. а зачем вам? глючная железка?

циска на другом конце

старая

ios 12

отвечает с рандомного порта

хочу попробовать выключить rport, авось поможет

хочу попробовать выключить rport, авось поможет

скорее всего нет, да и FS не должен добавлять rport, если на той стороне его нет (особенно если вы сами его принудительно не включали)

к сожалению я не шибко контролирую ту сторону, у меня гейты

собственно и другую сторону не контролирую

а вырезать rport на каме... meh

можно попробовать "asterisk режим" включив aggressive nat detection

это только для 1 направления, тоесть в параметрах бриджа

боюсь так не выйдет

там циско гейт, не телефон

говорим на публичных ip-шниках

ладно, будем думать...

дамп можете показать?

секунду

https://i.imgur.com/IpY8mWp.png

вот как-то так это выглядит

на порт 5061 не смотрите, это udp

сейчас дам пример инвайта

https://i.imgur.com/IpY8mWp.png

жэсть какая - правая нога это cysco?

жэсть какая - правая нога это cysco?

угу

INVITE sip:BNUMBER@TARGET_CISCO_GATEWAY SIP/2.0 Via: SIP/2.0/UDP MY_FREESWITCH_GATEWAY:5061;rport;branch=z9hG4bKpD9g9DQQaZjDc Max-Forwards: 69 From: "ANUMBER" <sip:ANUMBER@MY_FREESWITCH_GATEWAY>;tag=m5j717BKrXt8c To: <sip:BNUMBER@TARGET_CISCO_GATEWAY> Call-ID: 64915d23-3ca2-1235-bd90-00505685dacc CSeq: 100524636 INVITE Contact: <sip:mod_sofia@MY_FREESWITCH_GATEWAY:5061> User-Agent: FreeSWITCH-mod_sofia/1.6.9-16-d574870~64bit Allow: INVITE, ACK, BYE, CANCEL, OPTIONS, MESSAGE, INFO, UPDATE, REGISTER, REFER, NOTIFY Supported: timer, path, replaces Allow-Events: talk, hold, conference, refer Content-Type: application/sdp Content-Disposition: session Content-Length: 244 X-FS-Support: update_display,send_info Remote-Party-ID: "ANUMBER" <sip:ANUMBER@MY_FREESWITCH_GATEWAY>;party=calling;screen=yes;privacy=off v=0 o=FreeSWITCH 1481690467 1481690468 IN IP4 MY_FREESWITCH_GATEWAY s=FreeSWITCH c=IN IP4 MY_FREESWITCH_GATEWAY t=0 0 m=audio 30934 RTP/AVP 18 8 101 a=rtpmap:18 G729/8000 a=rtpmap:8 PCMA/8000 a=rtpmap:101 telephone-event/8000 a=fmtp:101 0-16 a=ptime:20

жэсть какая - правая нога это cysco?

Server: Cisco-SIPGateway/IOS-12.x

ответ от циски еще можно?

ответ от циски еще можно?

SIP/2.0 100 Trying Via: SIP/2.0/UDP MY_FREESWITCH_GATEWAY:5061;rport;branch=z9hG4bKpD9g9DQQaZjDc From: "ANUMBER" <sip:ANUMBER@MY_FREESWITCH_GATEWAY>;tag=m5j717BKrXt8c To: <sip:BNUMBER@TARGET_CISCO_GATEWAY> Date: Wed, 14 Dec 2016 13:17:12 GMT Call-ID: 64915d23-3ca2-1235-bd90-00505685dacc CSeq: 100524636 INVITE Allow-Events: telephone-event Server: Cisco-SIPGateway/IOS-12.x Content-Length: 0

branch, cseq и call-id нормальные

tcp пробовали? пацаны пишут, что помогает

tcp на интерконнекте...

не факт что циска TCP держит

3pcc включен на профиле?

tcp на интерконнекте...

tcp вполне ок - h323 сигналку им шлёт

3pcc включен на профиле?

3pcc выключен проблема в том что я не разрешаю всем подряд стучаться на 5060

и я бы не хотел открывать им его

звонок они инициируют на каме

чем не разрешаете?

фаерволом

5060 открыт на sbc, на свиче -A INPUT -m state —state RELATED,ESTABLISHED -j ACCEPT

по хорошему все должно проходить обратно через sbc, но есть свои причины так не делать

под 5060 я имею в виду все открытые для сипа порты

не может быть такого что у вас фаервол не выпускает трафик на порты >50000 на эту циску?

outbound правила у меня мягкие, да и видно было бы на дампе

он просто не принимает его с тех портов

потому что соединение не established

потому что соединение не established

порт 5061 открыт на левой ноге? каким правилом?

порт 5061 открыт на левой ноге? каким правилом?

так говорюж, для них нет :) если открыть - то все хорошо

но черт возьми как я не хоче это делать

так говорюж, для них нет :) если открыть - то все хорошо

вы хотите принимать соединения на закрытый порт и недовольны тем, что это не работает, я правильно понимаю?

вы хотите принимать соединения на закрытый порт и недовольны тем, что это не работает, я правильно понимаю?

-A INPUT -m state —state RELATED,ESTABLISHED -j ACCEPT

если мне отвечают с того же порта куда я прислал - то все хорошо

-A INPUT -m state —state RELATED,ESTABLISHED -j ACCEPT

вы же вроде понимаете, что это правило нерелевантно в этой ситуации?

естественно

оно релевантно во всех остальных

если мне отвечают с того же порта куда я прислал - то все хорошо

вот именно, если они отвечают с того же порта, то соединение попадает в категорию ESTABLISHED, но их cisco настроена так, чтобы отвечать со случайного

вот именно, если они отвечают с того же порта, то соединение попадает в категорию ESTABLISHED, но их cisco настроена так, чтобы отвечать со случайного

это поведение по умолчанию к сожалению... и где-то я читал что убрав rport этого можно избежать

открывать фаерволы для сторонних компаний это плохая идея, по опыту знаю

ну впрочем видимо другого выбора нет

глянул rfc (страницы 142-143): поведение, которого вы ожидаете обязательно для TCP и TLS (reliable transports), в случае с UDP, cisco не должна отвечать с того же порта, и rport тут не при чём

да, в rfc этого нет, я тоже пытался найти :) но это просто common sense

server-client model

понятно что в стандарты это якобы вписывается

понятно что в стандарты это якобы вписывается

вполне. вам нужен нормальный l7-фаервол, который будет досматривать sip и открывать нужные порты. netfilter немного не дотягивает до этого уровня.

кхм.. зачем мне создавать дополнительную нагрузку? это оверинжиниринг я понимаю если бы это была PBX, но это провайдерский интерконнект

фаервол который смотрит на layer 7 - дополнительная нагрузка на cpu, меньше звонков

кхм.. зачем мне создавать дополнительную нагрузку? это оверинжиниринг я понимаю если бы это была PBX, но это провайдерский интерконнект

по-моему, у вас там кругом оверинжиниринг: asterisk, freeswitch, kamailio, необычные подходы к фаерволингу

у меня нет астерисков

фаервол который смотрит на layer 7 - дополнительная нагрузка на cpu, меньше звонков

я имел в виду отдельную железку (SRX, например), linux не годится под это дело

я имел в виду отдельную железку (SRX, например), linux не годится под это дело

зачем, если прекрасно живется с теми правилами что есть?

до того как эти ребята с циской появились все было хорошо

и не понимаю в чем мои подходы необычные - я ожидаю ответ с того же порта на который послал

считаю это вполне оправданным :)

ну в моём представлении ситуация выглядит так: вы не соответствовали стандартам, отбрасывая соединения с других портов, и проблема уже была на вашей стороне (просто не проявлялась, но уже была). с фаерволингом так: iptables должен пропускать все потенциально-релевантные соединения и отбрасывать гарантировано-нежелательные, дальше уже FS или SER должен определять, хотели вы это соединение или нет (ФВ - безмозглый первый рубеж, а на FS/SER уже настоящий анализ), как-то так. SIP - самый "complicated" стандарт из всех, что я видел, ему очень тяжело соответствовать, он постоянно подкладывает свинью, но, к сожалению, он победил.

ну в моём представлении ситуация выглядит так: вы не соответствовали стандартам, отбрасывая соединения с других портов, и проблема уже была на вашей стороне (просто не проявлялась, но уже была). с фаерволингом так: iptables должен пропускать все потенциально-релевантные соединения и отбрасывать гарантировано-нежелательные, дальше уже FS или SER должен определять, хотели вы это соединение или нет (ФВ - безмозглый первый рубеж, а на FS/SER уже настоящий анализ), как-то так. SIP - самый "complicated" стандарт из всех, что я видел, ему очень тяжело соответствовать, он постоянно подкладывает свинью, но, к сожалению, он победил.

основной фаервол у меня на ser, там же и первичный анализ sip-а до фрисвитча доходит только валидный трафик да, с точки зрения соответствия стандартам проблема на моей стороне, не отрицаю

иногда хочется сделать идеально, но всегда найдётся cysco/sonus или ещё что, с чем это не работает)

увы да это коробит но создавать умные правила и тратить на это неплохие деньги ради нескольких исключений и чувства собственной удовлетворенности... бизнес этого не простит :)

раздули проблему с пустого места -A INPUT -s cisco_ip -p udp --dport 5060 -j ACCEPT всё какая разница с какого порта оно отвечает, если к вам все летит на один известный порт?

-m state для UDP применим только в частных случаях