Страница 1 из 2
Двойной нат, udp, чяднт? авторизация на сип-транке
Добавлено: 12 авг 2020, 22:21
EnergyDragon
Привет, сообщество. Направьте в верную сторону, если это еще возможно! - к сожалению не осталось ни логов, ни вывода sngrep, ничего.
Я новичок, прохожу обучение, читаю книгу.
Задание было следующее: офис компании, установлен микротик. нат. соответственно: внутренняя сеть, допустим 192.168.33.0/24 внешний айпишник 77.77.77.77
Я получаю еще один роутер, вешаю его первый интерфейс как dhcp-клиент, все оставшиеся интерфейсы объединяю в бридж. адрес бриджа, допустим, получается 192.168.88.1 и сеть моя собственно 192.168.88.0/24
делаю нат маскарад - и начинаю бегать через первый интерфейс. то есть 192.168.88.0/24 >> 192.168.33.0/24 >> внешний ip 77.77.77.77
Астериск 16 версии протокол chan_sip на адресе 192.168.88.8
Порт, разумеется проброшен.
Завожу транк, но при попытке регистрации ругается на неверный пароль.
К сожалению не осталось логов, скринов sngrep'a, поэтому вопрос скорее философский, но что могло пойти не так??)
Синтаксис везде верный. В астере я прописывал localnet=192.168.88.0/24 externaddr=тот, что прилетал на wan интерфейс, т.е. например 192.168.33.3
Старшие, в сущности по делу ничего не сказали, покачали головами, и я вместе с ними.
методом брутфорса - прописав transport=tcp - авторизация прошла.Но я хочу знать, что я делал не так и что вообще впринципе могло быть. ? По externadr были разногласия. Скоро экзамен..
Re: Двойной нат, udp, чяднт? авторизация на сип-транке
Добавлено: 13 авг 2020, 10:52
zzuz
неверный пароль
методом брутфорса - прописав transport=tcp
Вы сами ответили на свой вопрос.
Re: Двойной нат, udp, чяднт? авторизация на сип-транке
Добавлено: 13 авг 2020, 12:18
Zavr2008
Я новичок, прохожу обучение, читаю книгу.
Отлично!
внешний ip 77.77.77.77
А вот это пока рановато. Дозреть нужно, или хотя бы у наземного оператора отключить международку - написать заявление.
Re: Двойной нат, udp, чяднт? авторизация на сип-транке
Добавлено: 13 авг 2020, 13:33
EnergyDragon
Вы сами ответили на свой вопрос.
Конфиги брутфорсил не я; У меня не взлетело, и я до сих пор не понял в моей ли это было ответственности.
Из 33 подсети по udp все нормально авторизовывается. А здесь куда смотреть. ?
В двойном нате externaddr ясно должен определяться или опираясь на что-то живое - аля откуда возвращаться трафф должен? сложно.
Я человек простой - прописал в externaddr дцхпшный айпишник что мне на wan интерфейс прилетал. и пакеты, в sngrep, по мне, возвращались верно.
PS. насчет международки не переживайте
Re: Двойной нат, udp, чяднт? авторизация на сип-транке
Добавлено: 13 авг 2020, 15:29
ded
Почему используется термин
брутфорсил по отношению к конфигам? Что это имеется ввиду?
В криптографии на полном переборе основывается криптографическая атака методом «грубой силы», или брутфорс (англ. Brute-force attack) — взлом пароля путём перебора всех возможных вариантов ключа.
https://ru.wikipedia.org/wiki/Полный_пе ... рубой_силы»
Зачем нат маскарад (то есть 192.168.88.0/24 >> 192.168.33.0/24 >> внешний ip 77.77.77.77)?
Я получаю еще один роутер, вешаю его первый интерфейс как dhcp-клиент, все оставшиеся интерфейсы объединяю в бридж. адрес бриджа, допустим, получается 192.168.88.1 и сеть моя собственно 192.168.88.0/24
зачем?
Возможно поможет изучение вами ALG и как он реализован на микротике.. В двух словах - если включен - отключить. Если отключен - включить.
Возможно помог бы коннект на сторонний SIP сервер (где-то), где можно было бы сделать полный tcp dump для анализа.
Вы увидите, что кроме внешних source IP destination IP в пакетах на уровнях 3-4 модели OSI, внутри присутствует SIP информация на уровне 7 модели OSI. И если в пакетах будет всё правильно с точки зрения роутинга/НАТа, то содержимое SIP INVITE будет давать ложную информацию.
Re: Двойной нат, udp, чяднт? авторизация на сип-транке
Добавлено: 14 авг 2020, 10:12
EnergyDragon
Привет! Благодарю за содействие. Зачем - такого учебное задание. Брутфорсили конфиг старшие, прописывая дополнительные локалнет, меняя экстернадр и пр - понимания, значит, небыло. :S
sip alg я выключаю, да. я плюс-минус понимаю как он в механике.
благодарю за идею. пожалуй нужно поднять - посмотреть как выглядят прилетающие пакеты!
Зачем нат-маскарад? - ну как. Задание такого - что мутить бридж )
Re: Двойной нат, udp, чяднт? авторизация на сип-транке
Добавлено: 14 авг 2020, 10:47
ded
Использовать форум в качестве учебного пособия не очень правильно, точнее - совсем неправильно.
Есть у вас старшие - вот пусть и учат.
Выражение Брутфорсили конфиг лишено смысла. Вы вкладываете какое-то другое понятие в тот смысл, который используют все, приведёно определение из вики.
Re: Двойной нат, udp, чяднт? авторизация на сип-транке
Добавлено: 14 авг 2020, 11:04
zzuz
Да норм. Там просто сложный конфиг , приходится брутфорсить )
Re: Двойной нат, udp, чяднт? авторизация на сип-транке
Добавлено: 14 авг 2020, 11:16
EnergyDragon
ded писал(а):Использовать форум в качестве учебного пособия не очень правильно, точнее - совсем неправильно.
Есть у вас старшие - вот пусть и учат.
В качестве учебного пособия беру себе на вооружение sample-конфиги и книгу.
В качестве старших беру себе любого, кто имеют силу что-либо донести.
Ты свечку не держал, просто. Был вообще комичный момент: стирание моего сип.конф и писание ровно такого же своей рукой )) - но это все лирика. no flood плез
Re: Двойной нат, udp, чяднт? авторизация на сип-транке
Добавлено: 14 авг 2020, 12:09
ded
Мы не на ты, сохраняйте социальную дистанцию.