Отваливается регистрация одного провайдера

[Yazov]

Приветствую вас, коллеги!

Сегодня Я заменил свой Asterisk, как версию, так и сам сервер. Используется последняя версия FreePBX с Asterisk 13.22.0.
После замены сервера, по прошествии 30 минут, отливалась регистрация транка одного провайдера. Транки других провайдеров (один с регистрацией, другой без) работают стабильно.
Сервер выступает так же шлюзом, то есть в одной сетевой карточке локалка, в другой - инет, со статичным белым ip.

При отвале регистрации Я в логах вижу это:

Код: выделить все

[2019-02-21 11:22:36] NOTICE[2658] chan_sip.c: -- Registration for 'user@217.76.78.17' timed out, trying again (Attempt #2)

Ребут сервера не помогает. В саппорте провайдера говорят следующее:

[Показать] Спойлер:

Тут по регистрациям видно, что вы запрашиваете регистрацию, мы вам отвечаем 401, но не отвечаете на наш 401, а снова просите регистрацию, вновь и вновь, пока не попадаете в черный список.
Похожее было у одного клиента. Решилось заменой роутера на входе. Погонял иногда.
Еще может быть что вы трафик не выдерживаете и оборудование на время загибается.

Код: выделить все

Feb 21 2019 13:43:20.590.1+06:00 AST_SBC01 SIP/7/debug:Slot=4/1,Vcpu=15;

<Info>

Trace: Sip Message is received from ***.***.29.18:5060 vpn 0, local ***.**.71.17:5060 vpn 0



Feb 21 2019 13:43:20.590.2+06:00 AST_SBC01 SIP/7/debug:Slot=4/1,Vcpu=15;

<Info>REGISTER sip:217.76.71.17 SIP/2.0

Via: SIP/2.0/UDP 195.189.29.18:5060;branch=z9hG4bK58c85067

Max-Forwards: 70

From: <sip:7470941234@217.76.71.17>;tag=as509f43a2

To: <sip:7470941234@217.76.71.17>

Call-ID: 344fe61a38728435682519c909982098@127.0.0.1

CSeq: 128 REGISTER

Supported: replaces, timer

User-Agent: Cisco-SIPGateway/IOS-12.x

Authorization: Digest username="7470941234", realm="TELE2", algorithm=MD5, uri="sip:pbx.tele2.kz", nonce="ebc11252f429a9bad8f8064f003ce57d", response="e3c8dde41427d79d9e93c8453ad58d38", opaque="d4fa301abd64e1d2a0cc9fa0b84f8347", qop=auth, cnonce="1fa724be", nc=00000002

Expires: 120

Contact: <sip:+77470941234-60@195.189.29.18:5060>

Content-Length: 0



Feb 21 2019 13:43:20.620.3+06:00 AST_SBC01 SIP/7/debug:Slot=4/1,Vcpu=15;

<Info>

Trace: Sip Message is going to be sent to ***.***.29.18:5060 vpn 0, local ***.**.71.17:5060 vpn 0



Feb 21 2019 13:43:20.620.4+06:00 AST_SBC01 SIP/7/debug:Slot=4/1,Vcpu=15;

<Info>SIP/2.0 401 Unauthorized

Via: SIP/2.0/UDP 195.189.29.18:5060;branch=z9hG4bK58c85067

Call-ID: 344fe61a38728435682519c909982098@127.0.0.1

From: <sip:7470941234@217.76.71.17>;tag=as509f43a2

To: <sip:7470941234@217.76.71.17>;tag=AUTH_LOGIC

CSeq: 128 REGISTER

WWW-Authenticate: Digest realm="TELE2",nonce="950def6d5c4ae9d39b128e597a6223ec",domain="pbx.tele2.kz",opaque="d4fa301abd64e1d2a0cc9fa0b84f8347",algorithm=MD5,qop="auth"

Content-Length: 0





Feb 21 2019 13:43:21.90.1+06:00 AST_SBC01 SIP/7/debug:Slot=4/1,Vcpu=15;

<Info>

Trace: Sip Message is received from ***.***.29.18:5060 vpn 0, local ***.**.71.17:5060 vpn 0



Feb 21 2019 13:43:21.90.2+06:00 AST_SBC01 SIP/7/debug:Slot=4/1,Vcpu=15;

<Info>REGISTER sip:217.76.71.17 SIP/2.0

Via: SIP/2.0/UDP 195.189.29.18:5060;branch=z9hG4bK58c85067

Max-Forwards: 70

From: <sip:7470941234@217.76.71.17>;tag=as509f43a2

To: <sip:7470941234@217.76.71.17>

Call-ID: 344fe61a38728435682519c909982098@127.0.0.1

CSeq: 128 REGISTER

Supported: replaces, timer

User-Agent: Cisco-SIPGateway/IOS-12.x

Authorization: Digest username="7470941234", realm="TELE2", algorithm=MD5, uri="sip:pbx.tele2.kz", nonce="ebc11252f429a9bad8f8064f003ce57d", response="e3c8dde41427d79d9e93c8453ad58d38", opaque="d4fa301abd64e1d2a0cc9fa0b84f8347", qop=auth, cnonce="1fa724be", nc=00000002

Expires: 120

Contact: <sip:+77470941234-60@195.189.29.18:5060>

Content-Length: 0





Feb 21 2019 13:43:21.90.3+06:00 AST_SBC01 SIP/7/debug:Slot=4/1,Vcpu=15;

<Info>

Trace: Sip Message is going to be sent to ***.***.29.18:5060 vpn 0, local ***.**.71.17:5060 vpn 0



Feb 21 2019 13:43:21.90.4+06:00 AST_SBC01 SIP/7/debug:Slot=4/1,Vcpu=15;

<Info>SIP/2.0 401 Unauthorized

Via: SIP/2.0/UDP 195.189.29.18:5060;branch=z9hG4bK58c85067

Call-ID: 344fe61a38728435682519c909982098@127.0.0.1

From: <sip:7470941234@217.76.71.17>;tag=as509f43a2

To: <sip:7470941234@217.76.71.17>;tag=AUTH_LOGIC

CSeq: 128 REGISTER

WWW-Authenticate: Digest realm="TELE2",nonce="950def6d5c4ae9d39b128e597a6223ec",domain="pbx.tele2.kz",opaque="d4fa301abd64e1d2a0cc9fa0b84f8347",algorithm=MD5,qop="auth"

Content-Length: 0

Говорят, что их платформа считает мои регистрации за атаку.
Однако при этом другие транки работают, а так же один транк этого провайдера на другом сервере.

Прикладываю конфиг транка:

[Показать] Спойлер:

Код: выделить все

username=user
type=friend
secret=pass
qualify=yes
port=5060
nat=force_rport,comedia
insecure=invite,port
host=217.76.71.17
fromuser=user
fromdomain=217.76.71.17
dtmfmode=rfc2833
disallow=all
context=from-trunk
canreinvite=no
allow=alaw&ulaw


sip.conf:

[Показать] Спойлер:

Код: выделить все

faxdetect=no
vmexten=*97
useragent=FPBX-14.0.5.25(13.22.0)
language=ru
disallow=all
allow=alaw
allow=g729
allow=ulaw
allow=g722
context=from-sip-external
callerid=Unknown
notifyringing=yes
notifyhold=yes
tos_sip=cs3
tos_audio=ef
tos_video=af41
alwaysauthreject=yes
limitonpeers=yes
rtpend=20000
context=from-sip-external
callerid=Unknown
rtpstart=10000
tcpenable=no
callevents=yes
bindport=5060
jbenable=no
checkmwi=10
maxexpiry=3600
minexpiry=60
srvlookup=no
tlsenable=no
allowguest=no
notifyhold=yes
rtptimeout=30
canreinvite=no
tlsbindaddr=[::]:5161
rtpkeepalive=0
videosupport=no
defaultexpiry=600
notifyringing=yes
maxcallbitrate=384
rtpholdtimeout=300
g726nonstandard=no
registertimeout=20
tlsclientmethod=tlsv1
registerattempts=0
nat=no
ALLOW_SIP_ANON=no
tlscafile=/etc/pki/tls/certs/ca-bundle.crt
externip=внешний ip
localnet=192.168.100.0/24

Во FreePBX все настроено через chan_sip.
Почему мой астер не отвечает им на этапе регистрации, есть ли идеи? Раньше была версия астериска 11.
Причем регистрация может нормально висеть час, а потом в рандомный момент отвалиться.

[ded]

Риторический вопрос: зачем нужно было обновляться? Правило: работает? Не трогай.

1) не увидел строк регистрации
register = user:pass@ip_addr_prov

2) Убирайте
nat=force_rport,comedia
ваш провайдер не за NAT

Диалог регистрации верный, на запрос регистрации провайдер отвечает 401 и требует авторизовываться через дайджест:
Authorization: Digest username="7470941234", realm="TELE2", algorithm=MD5, uri="sip:pbx.tele2.kz", nonce="ebc11252f429a9bad8f8064f003ce57d",

А до вашего Астериска не доходит, и он повторно пытается без дайджеста регистрироватья.

[Yazov]

Строка регистрации стандартная:

Код: выделить все

user:pass@217.76.78.17/+77470941234

Установил nat=no. Через два часа снова отвалился транк.
На старом freepbx у меня те же самые настройки во всем, Я просто копировал их, ничего не меняя. Тоже самое было с правилами iptables.
Обновился, так как стало не хватать места. Нужно хранить довольно длительно переговоры, а так как сервер был уже довольно старым, было решено не просто заменить диски.

То есть мне нужно указать в регистрации pbx.tele2.kz, а не ip? Немного не понял о регистрации через дайджест.

[zzuz]

"Обновился, так как стало не хватать места. " - вот это логика.

[Yazov]

Хорошо, обновился, так как древнее железо совсем и умирали диски. Такой ответ подойдет?)

[ded]

Давайте смотреть
tcpdump host 217.76.78.17 and port 5060 -s0 -A

внимательно к диалогу регистрации.

Немного не понял о регистрации через дайджест.

Значит надо поискать в интернете и почитать, прояснить.

[Yazov]

Значит надо поискать в интернете и почитать, прояснить

Да, безусловно.

Скидываю дамп, при отвале. https://yazov.kz/dump.cap

[Zavr2008]

917 SIP сообщений в pcap это видимо от большого уважения к остальным.
Также явно Будущее телефонии ни страницы не открывал.

Какого хрена пишем insecure=port,invite если оператор требует авторизации от вас? Заменяйте на insecure=invite.
Также ТС совсем не вкуривает что Астер ему в консоли пишет что нет больше username в данном Астере, есть только defaultuser и fromuser..

Чтобы выбраться из бана стоит пока задать qualify=no и еще отключить сей транк на полчаса, потом и пробовать.

[Yazov]

Дело в том, что отваливается транк в рандомное время. Сегодня он вообще с 9 утра до обеда работал и ни разу не отвалился. Я не могу каждую минуту же сидеть и запускать дамп.
Просто в данном дампе есть в начале вариант с успешной регистрацией, а в конце уже с неудавшейся.

Какого хрена пишем insecure=port,invite если оператор требует авторизации от вас? Заменяйте на insecure=invite.

Мне такие рекомендации скинул провайдер. Изменил.

username в данном Астере, есть только defaultuser и fromuser

Спасибо, убрал.

qualify=no и еще отключить сей транк на полчаса

Сделал.

[Zavr2008]

ТС, а точно сетевуха прямо смотрит в оператора? Не через роутик какой пусть и в режиме бриджа?
Просто часто по пути всякая жесть с SIP ALG пусть и типо "стоящим в стороне"..

про "рандомное время" - для вас может оно и такое, но не для антифрода оператора. учитесь и читайте книжки..