
igor
05.01.2017
06:16:08
У провайдеров регистрацию сделаю
Терь затык с астериском
Его затолкаю в отдельный профайл
И получается его надо описывать как gateway?

Google

igor
05.01.2017
06:18:02
Или с профилем internal подключить астериск как клиент
?

ros
05.01.2017
06:21:21
рабочая
астериск как прикрутите без разницы хоть gw хоть user

igor
05.01.2017
06:22:41
Спасибо
Будем дальше искать

Andrey
05.01.2017
08:21:26
а трафика много ?
смотрите чтоб астериск и fs за процессор не подрались
иначе потеряете в качестве голоса

Alexandru
05.01.2017
09:00:28
почему?
думаю основной траффик в любом случае в passthrough
нечему там проц отжирать

Igor
05.01.2017
09:18:35
Всем привет, наконец-то русский чатик по фс

igor
05.01.2017
09:32:31
Трафик не очень большой
В пике примерно 100 одновременных каналов

Google

Alexandru
05.01.2017
09:47:28
напомните, как отключить rport?

Alexey
05.01.2017
09:48:59

Alexandru
05.01.2017
09:49:09
циска на другом конце
старая
ios 12
отвечает с рандомного порта
хочу попробовать выключить rport, авось поможет

Alexey
05.01.2017
09:54:58

Alexandru
05.01.2017
09:55:25
к сожалению я не шибко контролирую ту сторону, у меня гейты
собственно и другую сторону не контролирую
а вырезать rport на каме... meh

Alexey
05.01.2017
09:55:47
можно попробовать "asterisk режим" включив aggressive nat detection

Alexandru
05.01.2017
09:56:07
это только для 1 направления, тоесть в параметрах бриджа
боюсь так не выйдет
там циско гейт, не телефон
говорим на публичных ip-шниках
ладно, будем думать...

Igor
05.01.2017
09:57:15
дамп можете показать?

Alexandru
05.01.2017
09:57:28
секунду
https://i.imgur.com/IpY8mWp.png

Google

Alexandru
05.01.2017
10:01:15
вот как-то так это выглядит
на порт 5061 не смотрите, это udp
сейчас дам пример инвайта

Alexey
05.01.2017
10:02:55


Alexandru
05.01.2017
10:03:28
INVITE sip:BNUMBER@TARGET_CISCO_GATEWAY SIP/2.0
Via: SIP/2.0/UDP MY_FREESWITCH_GATEWAY:5061;rport;branch=z9hG4bKpD9g9DQQaZjDc
Max-Forwards: 69
From: "ANUMBER" <sip:ANUMBER@MY_FREESWITCH_GATEWAY>;tag=m5j717BKrXt8c
To: <sip:BNUMBER@TARGET_CISCO_GATEWAY>
Call-ID: 64915d23-3ca2-1235-bd90-00505685dacc
CSeq: 100524636 INVITE
Contact: <sip:mod_sofia@MY_FREESWITCH_GATEWAY:5061>
User-Agent: FreeSWITCH-mod_sofia/1.6.9-16-d574870~64bit
Allow: INVITE, ACK, BYE, CANCEL, OPTIONS, MESSAGE, INFO, UPDATE, REGISTER, REFER, NOTIFY
Supported: timer, path, replaces
Allow-Events: talk, hold, conference, refer
Content-Type: application/sdp
Content-Disposition: session
Content-Length: 244
X-FS-Support: update_display,send_info
Remote-Party-ID: "ANUMBER" <sip:ANUMBER@MY_FREESWITCH_GATEWAY>;party=calling;screen=yes;privacy=off
v=0
o=FreeSWITCH 1481690467 1481690468 IN IP4 MY_FREESWITCH_GATEWAY
s=FreeSWITCH
c=IN IP4 MY_FREESWITCH_GATEWAY
t=0 0
m=audio 30934 RTP/AVP 18 8 101
a=rtpmap:18 G729/8000
a=rtpmap:8 PCMA/8000
a=rtpmap:101 telephone-event/8000
a=fmtp:101 0-16
a=ptime:20


Igor
05.01.2017
10:05:13
ответ от циски еще можно?

Alexandru
05.01.2017
10:05:37
ответ от циски еще можно?
SIP/2.0 100 Trying
Via: SIP/2.0/UDP MY_FREESWITCH_GATEWAY:5061;rport;branch=z9hG4bKpD9g9DQQaZjDc
From: "ANUMBER" <sip:ANUMBER@MY_FREESWITCH_GATEWAY>;tag=m5j717BKrXt8c
To: <sip:BNUMBER@TARGET_CISCO_GATEWAY>
Date: Wed, 14 Dec 2016 13:17:12 GMT
Call-ID: 64915d23-3ca2-1235-bd90-00505685dacc
CSeq: 100524636 INVITE
Allow-Events: telephone-event
Server: Cisco-SIPGateway/IOS-12.x
Content-Length: 0
branch, cseq и call-id нормальные

Alexey
05.01.2017
10:06:37
tcp пробовали? пацаны пишут, что помогает

Alexandru
05.01.2017
10:06:47
tcp на интерконнекте...

Igor
05.01.2017
10:07:23
не факт что циска TCP держит
3pcc включен на профиле?

Alexey
05.01.2017
10:08:59

Alexandru
05.01.2017
10:10:07
и я бы не хотел открывать им его
звонок они инициируют на каме

Igor
05.01.2017
10:10:37
чем не разрешаете?

Alexandru
05.01.2017
10:10:42
фаерволом

Google

Alexandru
05.01.2017
10:11:31
5060 открыт на sbc, на свиче
-A INPUT -m state —state RELATED,ESTABLISHED -j ACCEPT
по хорошему все должно проходить обратно через sbc, но есть свои причины так не делать
под 5060 я имею в виду все открытые для сипа порты

Igor
05.01.2017
10:13:32
не может быть такого что у вас фаервол не выпускает трафик на порты >50000 на эту циску?

Alexandru
05.01.2017
10:15:12
outbound правила у меня мягкие, да и видно было бы на дампе
он просто не принимает его с тех портов
потому что соединение не established

Alexey
05.01.2017
10:21:27

Alexandru
05.01.2017
10:21:47
но черт возьми как я не хоче это делать

Alexey
05.01.2017
10:22:49

Alexandru
05.01.2017
10:23:27
если мне отвечают с того же порта куда я прислал - то все хорошо

Alexey
05.01.2017
10:24:27

Alexandru
05.01.2017
10:24:38
естественно
оно релевантно во всех остальных

Alexey
05.01.2017
10:25:16

Alexandru
05.01.2017
10:25:43
открывать фаерволы для сторонних компаний это плохая идея, по опыту знаю
ну впрочем видимо другого выбора нет

Google

Alexey
05.01.2017
10:34:22
глянул rfc (страницы 142-143): поведение, которого вы ожидаете обязательно для TCP и TLS (reliable transports), в случае с UDP, cisco не должна отвечать с того же порта, и rport тут не при чём

Alexandru
05.01.2017
10:34:58
да, в rfc этого нет, я тоже пытался найти :) но это просто common sense
server-client model
понятно что в стандарты это якобы вписывается

Alexey
05.01.2017
10:37:31

Alexandru
05.01.2017
10:39:47
кхм.. зачем мне создавать дополнительную нагрузку? это оверинжиниринг
я понимаю если бы это была PBX, но это провайдерский интерконнект
фаервол который смотрит на layer 7 - дополнительная нагрузка на cpu, меньше звонков

Alexey
05.01.2017
10:42:43

Alexandru
05.01.2017
10:43:00
у меня нет астерисков

Alexey
05.01.2017
10:43:13

Alexandru
05.01.2017
10:45:24
до того как эти ребята с циской появились все было хорошо
и не понимаю в чем мои подходы необычные - я ожидаю ответ с того же порта на который послал
считаю это вполне оправданным :)

Alexey
05.01.2017
10:54:44
ну в моём представлении ситуация выглядит так: вы не соответствовали стандартам, отбрасывая соединения с других портов, и проблема уже была на вашей стороне (просто не проявлялась, но уже была). с фаерволингом так: iptables должен пропускать все потенциально-релевантные соединения и отбрасывать гарантировано-нежелательные, дальше уже FS или SER должен определять, хотели вы это соединение или нет (ФВ - безмозглый первый рубеж, а на FS/SER уже настоящий анализ), как-то так. SIP - самый "complicated" стандарт из всех, что я видел, ему очень тяжело соответствовать, он постоянно подкладывает свинью, но, к сожалению, он победил.


Alexandru
05.01.2017
10:57:49
ну в моём представлении ситуация выглядит так: вы не соответствовали стандартам, отбрасывая соединения с других портов, и проблема уже была на вашей стороне (просто не проявлялась, но уже была). с фаерволингом так: iptables должен пропускать все потенциально-релевантные соединения и отбрасывать гарантировано-нежелательные, дальше уже FS или SER должен определять, хотели вы это соединение или нет (ФВ - безмозглый первый рубеж, а на FS/SER уже настоящий анализ), как-то так. SIP - самый "complicated" стандарт из всех, что я видел, ему очень тяжело соответствовать, он постоянно подкладывает свинью, но, к сожалению, он победил.
основной фаервол у меня на ser, там же и первичный анализ sip-а
до фрисвитча доходит только валидный трафик
да, с точки зрения соответствия стандартам проблема на моей стороне, не отрицаю

Alexey
05.01.2017
10:58:50
иногда хочется сделать идеально, но всегда найдётся cysco/sonus или ещё что, с чем это не работает)

Alexandru
05.01.2017
11:00:24
увы да
это коробит
но создавать умные правила и тратить на это неплохие деньги ради нескольких исключений и чувства собственной удовлетворенности...
бизнес этого не простит :)

ros
05.01.2017
11:38:17
раздули проблему с пустого места
-A INPUT -s cisco_ip -p udp --dport 5060 -j ACCEPT
всё
какая разница с какого порта оно отвечает, если к вам все летит на один известный порт?
-m state для UDP применим только в частных случаях