При соединении 2х * ошибка 403 Forbidden

[wolverin]

Настроил через FreePBX 2 транка в офисе и филиале, регистрация прошла, из офиса в филиал звонки идут, а обратно нет, при этом настройки все одинаковые, разница только в том, что в офисе FPBX 2.9 и * 1.6, а в филиале FPBX 2.11 и * 1.8
конфиг офиса

Код: Выделить всё

Trunk Name:filial

type=friend
username=filial
secret=132
context=from-internal
host=dynamic
nat=yes
insecure=invite,port
canreinvite=no

Register String: office:132@filialip/filial

конфиг филиала

Код: Выделить всё

Trunk Name:office

type=friend
username=office
secret=132
context=from-internal
host=dynamic
nat=yes
insecure=invite,port
canreinvite=no

Register String: filial:132@officeip/office

при звонке с филиала вижу такие ошибки в дебаге при звонке из филиала с номера 10004 на офисный номер 90031
в филиале

Код: Выделить всё

    -- Executing [s@macro-dialout-trunk:22] Dial("SIP/10004-00000183", "SIP/office/90031,300,Ttr") in new stack
  == Using SIP RTP TOS bits 184
  == Using SIP RTP CoS mark 5
Audio is at 18016
Adding codec 0x4 (ulaw) to SDP
Adding codec 0x8 (alaw) to SDP
Adding codec 0x2 (gsm) to SDP
Adding non-codec 0x1 (telephone-event) to SDP
Reliably Transmitting (NAT) to officeip:5060:
INVITE sip:90031@officeip SIP/2.0
Via: SIP/2.0/UDP filialip:5060;branch=z9hG4bK5f165e0b;rport
Max-Forwards: 70
From: "Dispetcher 1" <sip:10004@filialip>;tag=as529e86d2
To: <sip:90031@officeip>
Contact: <sip:10004@filialip:5060>
Call-ID: 6c2e8c540ca35c2a6fac3ea51b551a7b@filialip:5060
CSeq: 102 INVITE
User-Agent: FPBX-2.11.0(1.8.13.1)
Date: Tue, 03 Jun 2014 07:21:29 GMT
Allow: INVITE, ACK, CANCEL, OPTIONS, BYE, REFER, SUBSCRIBE, NOTIFY, INFO, PUBLISH
Supported: replaces, timer
Content-Type: application/sdp
Content-Length: 303

v=0
o=root 194525798 194525798 IN IP4 filialip
s=Asterisk PBX 1.8.13.1~dfsg1-3+deb7u3
c=IN IP4 filialip
t=0 0
m=audio 18016 RTP/AVP 0 8 3 101
a=rtpmap:0 PCMU/8000
a=rtpmap:8 PCMA/8000
a=rtpmap:3 GSM/8000
a=rtpmap:101 telephone-event/8000
a=fmtp:101 0-16
a=ptime:20
a=sendrecv

---
    -- Called SIP/office/90031

<--- SIP read from UDP:officeip:5060 --->
SIP/2.0 401 Unauthorized
Via: SIP/2.0/UDP filialip:5060;branch=z9hG4bK5f165e0b;received=filialip;rport=5060
From: "Dispetcher 1" <sip:10004@filialip>;tag=as529e86d2
To: <sip:90031@officeip>;tag=as79445bbf
Call-ID: 6c2e8c540ca35c2a6fac3ea51b551a7b@filialip:5060
CSeq: 102 INVITE
Server: FPBX-2.9.0(1.6.2.9)
Allow: INVITE, ACK, CANCEL, OPTIONS, BYE, REFER, SUBSCRIBE, NOTIFY, INFO
Supported: replaces, timer
WWW-Authenticate: Digest algorithm=MD5, realm="asterisk", nonce="4c2ae67b"
Content-Length: 0

<------------->
--- (11 headers 0 lines) ---
set_destination: Parsing <sip:90031@officeip> for address/port to send to
set_destination: set destination to officeip:5060
Transmitting (NAT) to officeip:5060:
ACK sip:90031@officeip SIP/2.0
Via: SIP/2.0/UDP filialip:5060;branch=z9hG4bK5f165e0b;rport
Max-Forwards: 70
From: "Dispetcher 1" <sip:10004@filialip>;tag=as529e86d2
To: <sip:90031@officeip>;tag=as79445bbf
Contact: <sip:10004@filialip:5060>
Call-ID: 6c2e8c540ca35c2a6fac3ea51b551a7b@filialip:5060
CSeq: 102 ACK
User-Agent: FPBX-2.11.0(1.8.13.1)
Content-Length: 0


---
Audio is at 18016
Adding codec 0x4 (ulaw) to SDP
Adding codec 0x8 (alaw) to SDP
Adding codec 0x2 (gsm) to SDP
Adding non-codec 0x1 (telephone-event) to SDP
Reliably Transmitting (NAT) to officeip:5060:
INVITE sip:90031@officeip SIP/2.0
Via: SIP/2.0/UDP filialip:5060;branch=z9hG4bK7de64492;rport
Max-Forwards: 70
From: "Dispetcher 1" <sip:10004@filialip>;tag=as529e86d2
To: <sip:90031@officeip>
Contact: <sip:10004@filialip:5060>
Call-ID: 6c2e8c540ca35c2a6fac3ea51b551a7b@filialip:5060
CSeq: 103 INVITE
User-Agent: FPBX-2.11.0(1.8.13.1)
Authorization: Digest username="office", realm="asterisk", algorithm=MD5, uri="sip:90031@officeip", nonce="4c2ae67b", response="df103ca6ce7459aa4f1dc34f935cee99"
Date: Tue, 03 Jun 2014 07:21:29 GMT
Allow: INVITE, ACK, CANCEL, OPTIONS, BYE, REFER, SUBSCRIBE, NOTIFY, INFO, PUBLISH
Supported: replaces, timer
Content-Type: application/sdp
Content-Length: 303

v=0
o=root 194525798 194525799 IN IP4 filialip
s=Asterisk PBX 1.8.13.1~dfsg1-3+deb7u3
c=IN IP4 filialip
t=0 0
m=audio 18016 RTP/AVP 0 8 3 101
a=rtpmap:0 PCMU/8000
a=rtpmap:8 PCMA/8000
a=rtpmap:3 GSM/8000
a=rtpmap:101 telephone-event/8000
a=fmtp:101 0-16
a=ptime:20
a=sendrecv

---

<--- SIP read from UDP:officeip:5060 --->
SIP/2.0 403 Forbidden
Via: SIP/2.0/UDP filialip:5060;branch=z9hG4bK7de64492;received=filialip;rport=5060
From: "Dispetcher 1" <sip:10004@filialip>;tag=as529e86d2
To: <sip:90031@officeip>;tag=as79445bbf
Call-ID: 6c2e8c540ca35c2a6fac3ea51b551a7b@filialip:5060
CSeq: 103 INVITE
Server: FPBX-2.9.0(1.6.2.9)
Allow: INVITE, ACK, CANCEL, OPTIONS, BYE, REFER, SUBSCRIBE, NOTIFY, INFO
Supported: replaces, timer
Content-Length: 0

<------------->
--- (10 headers 0 lines) ---
set_destination: Parsing <sip:90031@officeip> for address/port to send to
set_destination: set destination to officeip:5060
Transmitting (NAT) to officeip:5060:
ACK sip:90031@officeip SIP/2.0
Via: SIP/2.0/UDP filialip:5060;branch=z9hG4bK7de64492;rport
Max-Forwards: 70
From: "Dispetcher 1" <sip:10004@filialip>;tag=as529e86d2
To: <sip:90031@officeip>;tag=as79445bbf
Contact: <sip:10004@filialip:5060>
Call-ID: 6c2e8c540ca35c2a6fac3ea51b551a7b@filialip:5060
CSeq: 103 ACK
User-Agent: FPBX-2.11.0(1.8.13.1)
Content-Length: 0


---
[2014-06-03 14:21:29] WARNING[26892]: chan_sip.c:20366 handle_response_invite: Received response: "Forbidden" from '"Dispetcher 1" <sip:10004@filialip>;tag=as529e86d2'
Scheduling destruction of SIP dialog '6c2e8c540ca35c2a6fac3ea51b551a7b@filialip:5060' in 32000 ms (Method: INVITE)

[wolverin]

officeip находится за нат-шлюзом, через который перенаправляются udp пакеты на портах.

[ded]

Переведу на русский язык.
При попытке звонка второй Астериск говорит - ты кто такой? SIP/2.0 401 Unauthorized - авторизуйся (через username & secret)
Тот посылает дайджест (который содержит зашифрованные username & secret), на что второй Астериск отвечает
SIP/2.0 403 Forbidden
то есть - знать не знаю такого юзера (и/или пароля).
Рекомендации
1) Используйте IAX2 для соединения между Астерисками
или
2) разберитесь с авторизацией по SIP

[wolverin]

ded
1. почему лучше IAX2 ?
2. это то я понял в чем ошибка, куда смотреть не могу понять, все же идентично в авторизации
спасибо.

[ded]

1. Очень надеюсь, что со временем Вы будете отвечать на такие вопросы, а не задавать.
2. Смотреть в авторизацию, узнать что такое user, peer, friend, почиать про то как авторизуется внешний SIP вызов на астериске. Если даже после всего этого остаётся фраза "не могу понять", то - платный суппорт ждёт Вас!

[wolverin]

ded
1.
2. да вроде бы внимательно уже несколько раз пересмотрел оба варианта настроек авторизации, в одном случае работает, в другом нет, как будто в новой версии * что то делается по другому.
спасибо и на этом.

[Vlad1983]

два пира с type=friend на друг друга натравить низя

[wolverin]

Vlad1983
странно, в примерах везде указано оба френд и по иах2 на хабре (пример который советуют тут на форуме) тоже френд в обеих.

[wolverin]

переделал все через IAX2 с типом френд - все заработало, чудеса

[ded]

Спасибо, что следуете рекомендациям, а не пережигаете кислород в бессмысленных полемиках.