SIP от Life SIP/2.0 403 Forbidden (Bad auth)

[DmitrySyrov]

Помогите, пожалуйста, победить Life:-) и выяснить кто виноват и что делать))) История, почти как у всех: сделали заявку, получили рег. данные от них. Чтоб вкратце, настраиваю SIP транк:
/etc/asterisk/sip.conf

PRIME_BBCODE_SPOILER_SHOW PRIME_BBCODE_SPOILER:

Код: Выделить всё

[general]
#include sip_general_additional.conf
#include sip_general_custom.conf
#include sip_nat.conf
#include sip_registrations_custom.conf
#include sip_registrations.conf
#include sip_custom.conf
#include sip_additional.conf
#include sip_custom_post.conf
#include additional_a2billing_sip.conf

/etc/asterisk/sip_general_custom.conf

PRIME_BBCODE_SPOILER_SHOW PRIME_BBCODE_SPOILER:

Код: Выделить всё

allowguest=no
tlsenable=yes
match_auth_username=yes
pedantic=yes
udpbindaddr=85.10.xxx.xxx
tcpbindaddr=85.10.xxx.xxx
tlsbindaddr=85.10.xxx.xxx
tlscafile=/etc/asterisk/tls/ca.pem
tlscertfile=/etc/asterisk/tls/cert.pem
tlscipher=ALL
tlsclientmethod=tlsv1
tlsdontverifyserver=no

/etc/asterisk/sip_additional.conf

PRIME_BBCODE_SPOILER_SHOW PRIME_BBCODE_SPOILER:

Код: Выделить всё

[093xxxxxxx]
disallow=all
host=212.58.166.54
username=093xxxxxxx
secret=password
port=5061
dtmfmode=rfc2833
type=friend
fromuser=093xxxxxxx
transport=tls
encryption=yes
allow=ulaw
canreinvite=no
allow=alaw
insecure=port,invite
context=from-sip-external

SRTP

Код: Выделить всё

[Aug 30 16:52:35] VERBOSE[25472] loader.c:  res_srtp.so => (Secure RTP (SRTP))

/etc/asterisk/sip_registrations.conf

Код: Выделить всё

register=tls://093xxxxxxx:password@212.58.166.54:5061/093xxxxxxx

В дебаге вижу такое:

PRIME_BBCODE_SPOILER_SHOW PRIME_BBCODE_SPOILER:

Код: Выделить всё

[Aug 30 16:57:41] NOTICE[25504]: chan_sip.c:14995 sip_reregister:    -- Re-registration for  093xxxxxxx@212.58.166.54
REGISTER 10 headers, 0 lines
Reliably Transmitting (no NAT) to 212.58.166.54:5061:
REGISTER sip:212.58.166.54:5061 SIP/2.0
Via: SIP/2.0/TLS 85.10.xxx.xxx:5061;branch=z9hG4bK61fac244
Max-Forwards: 70
From: <sip:093xxxxxxx@212.58.166.54>;tag=as30506612
To: <sip:093xxxxxxx@212.58.166.54>
Call-ID: 1a2a67a314d06a68144b8cf71299bec7@85.10.xxx.xxx
CSeq: 102 REGISTER
User-Agent: FPBX-2.8.1(1.8.20.0)
Expires: 120
Contact: <sip:093xxxxxxx@85.10.xxx.xxx:5061;transport=TLS>
Content-Length: 0


---
Really destroying SIP dialog '511a78905cb28cc32cda56fb3a034c42@85.10.xxx.xxx:5061' Method: OPTIONS

<--- SIP read from TLS:212.58.166.54:5061 --->
SIP/2.0 100 Trying
Via: SIP/2.0/TLS 85.10.xxx.xxx:5061;branch=z9hG4bK61fac244;received=85.10.xxx.xxx
From: <sip:093xxxxxxx@212.58.166.54>;tag=as30506612
To: <sip:093xxxxxxx@212.58.166.54>
Call-ID: 1a2a67a314d06a68144b8cf71299bec7@85.10.xxx.xxx
CSeq: 102 REGISTER
Server: Asterisk PBX 1.8.7.1
Allow: INVITE, ACK, CANCEL, OPTIONS, BYE, REFER, SUBSCRIBE, NOTIFY, INFO, PUBLISH
Supported: replaces, timer
Content-Length: 0

<------------->
--- (10 headers 0 lines) ---

<--- SIP read from TLS:212.58.166.54:5061 --->
SIP/2.0 401 Unauthorized
Via: SIP/2.0/TLS 85.10.xxx.xxx:5061;branch=z9hG4bK61fac244;received=85.10.xxx.xxx
From: <sip:093xxxxxxx@212.58.166.54>;tag=as30506612
To: <sip:093xxxxxxx@212.58.166.54>;tag=as07db9782
Call-ID: 1a2a67a314d06a68144b8cf71299bec7@85.10.xxx.xxx
CSeq: 102 REGISTER
Server: Asterisk PBX 1.8.7.1
Allow: INVITE, ACK, CANCEL, OPTIONS, BYE, REFER, SUBSCRIBE, NOTIFY, INFO, PUBLISH
Supported: replaces, timer
WWW-Authenticate: Digest algorithm=MD5, realm="asterisk", nonce="75f2f6b9"
Content-Length: 0

<------------->
--- (11 headers 0 lines) ---
Responding to challenge, registration to domain/host name 212.58.166.54
REGISTER 11 headers, 0 lines
Reliably Transmitting (no NAT) to 212.58.166.54:5061:
REGISTER sip:212.58.166.54 SIP/2.0
Via: SIP/2.0/TLS 85.10.xxx.xxx:5061;branch=z9hG4bK76454125
Max-Forwards: 70
From: <sip:093xxxxxxx@212.58.166.54>;tag=as255b6696
To: <sip:093xxxxxxx@212.58.166.54>
Call-ID: 1a2a67a314d06a68144b8cf71299bec7@85.10.xxx.xxx
CSeq: 103 REGISTER
User-Agent: FPBX-2.8.1(1.8.20.0)
Authorization: Digest username="093xxxxxxx", realm="asterisk", algorithm=MD5, uri="sip:212.58.166.54:5061", nonce="75f2f6b9", response="3335a4284fc805e45ede8b4ce1c600cc"
Expires: 120
Contact: <sip:093xxxxxxx@85.10.xxx.xxx:5061;transport=TLS>
Content-Length: 0


---

<--- SIP read from TLS:212.58.166.54:5061 --->
SIP/2.0 100 Trying
Via: SIP/2.0/TLS 85.10.xxx.xxx:5061;branch=z9hG4bK76454125;received=85.10.xxx.xxx
From: <sip:093xxxxxxx@212.58.166.54>;tag=as255b6696
To: <sip:093xxxxxxx@212.58.166.54>
Call-ID: 1a2a67a314d06a68144b8cf71299bec7@85.10.xxx.xxx
CSeq: 103 REGISTER
Server: Asterisk PBX 1.8.7.1
Allow: INVITE, ACK, CANCEL, OPTIONS, BYE, REFER, SUBSCRIBE, NOTIFY, INFO, PUBLISH
Supported: replaces, timer
Content-Length: 0

<------------->
--- (10 headers 0 lines) ---

<--- SIP read from TLS:212.58.166.54:5061 --->
SIP/2.0 401 Unauthorized
Via: SIP/2.0/TLS 85.10.xxx.xxx:5061;branch=z9hG4bK76454125;received=85.10.xxx.xxx
From: <sip:093xxxxxxx@212.58.166.54>;tag=as255b6696
To: <sip:093xxxxxxx@212.58.166.54>;tag=as03bffa43
Call-ID: 1a2a67a314d06a68144b8cf71299bec7@85.10.xxx.xxx
CSeq: 103 REGISTER
Server: Asterisk PBX 1.8.7.1
Allow: INVITE, ACK, CANCEL, OPTIONS, BYE, REFER, SUBSCRIBE, NOTIFY, INFO, PUBLISH
Supported: replaces, timer
WWW-Authenticate: Digest algorithm=MD5, realm="asterisk", nonce="1446bd1e"
Content-Length: 0

<------------->
--- (11 headers 0 lines) ---
Responding to challenge, registration to domain/host name 212.58.166.54
REGISTER 11 headers, 0 lines
Reliably Transmitting (no NAT) to 212.58.166.54:5061:
REGISTER sip:212.58.166.54 SIP/2.0
Via: SIP/2.0/TLS 85.10.xxx.xxx:5061;branch=z9hG4bK1749470b
Max-Forwards: 70
From: <sip:093xxxxxxx@212.58.166.54>;tag=as3d35cc13
To: <sip:093xxxxxxx@212.58.166.54>
Call-ID: 1a2a67a314d06a68144b8cf71299bec7@85.10.xxx.xxx
CSeq: 104 REGISTER
User-Agent: FPBX-2.8.1(1.8.20.0)
Authorization: Digest username="093xxxxxxx", realm="asterisk", algorithm=MD5, uri="sip:212.58.166.54", nonce="1446bd1e", response="e5f729a16fa2dfd9e0a0dc629aeed47d"
Expires: 120
Contact: <sip:093xxxxxxx@85.10.xxx.xxx:5061;transport=TLS>
Content-Length: 0


---

<--- SIP read from TLS:212.58.166.54:5061 --->
SIP/2.0 100 Trying
Via: SIP/2.0/TLS 85.10.xxx.xxx:5061;branch=z9hG4bK1749470b;received=85.10.xxx.xxx
From: <sip:093xxxxxxx@212.58.166.54>;tag=as3d35cc13
To: <sip:093xxxxxxx@212.58.166.54>
Call-ID: 1a2a67a314d06a68144b8cf71299bec7@85.10.xxx.xxx
CSeq: 104 REGISTER
Server: Asterisk PBX 1.8.7.1
Allow: INVITE, ACK, CANCEL, OPTIONS, BYE, REFER, SUBSCRIBE, NOTIFY, INFO, PUBLISH
Supported: replaces, timer
Content-Length: 0

<------------->
--- (10 headers 0 lines) ---

<--- SIP read from TLS:212.58.166.54:5061 --->
SIP/2.0 403 Forbidden (Bad auth)
Via: SIP/2.0/TLS 85.10.xxx.xxx:5061;branch=z9hG4bK1749470b;received=85.10.xxx.xxx
From: <sip:093xxxxxxx@212.58.166.54>;tag=as3d35cc13
To: <sip:093xxxxxxx@212.58.166.54>;tag=as03bffa43
Call-ID: 1a2a67a314d06a68144b8cf71299bec7@85.10.xxx.xxx
CSeq: 104 REGISTER
Server: Asterisk PBX 1.8.7.1
Allow: INVITE, ACK, CANCEL, OPTIONS, BYE, REFER, SUBSCRIBE, NOTIFY, INFO, PUBLISH
Supported: replaces, timer
Content-Length: 0

<------------->
--- (10 headers 0 lines) ---
[Aug 30 16:57:41] WARNING[25505]: chan_sip.c:23291 handle_response_register: Forbidden - wrong password on authentication for REGISTER for '093xxxxxxx' to '212.58.166.54'
Really destroying SIP dialog '1a2a67a314d06a68144b8cf71299bec7@85.10.xxx.xxx' Method: REGISTER

Сервер имеет единственный сетевой интерфейс, которым напрямую смотрит "наружу".
Не могу понять где я накосячил (или они накосячили)... Огромное спасибо всем кто откликнется!

[Zavr2008]

может стоит добавить fromdomain= и временно убрать insecure?

[ded]

Zavr2008, у ТС 403 Forbidden (Bad auth) при регистрации. При чём тут fromdomain= и insecure?

[Zavr2008]

403 возможно уже как следствие.
fromdomain часто нужно - но походу не для этого запущенного случая..

Нашел инструкцию
ТС - Вы по ней делали? Ключи все прописали что выслали?

С insecure я был прав;)

Еще заметил, у ТС:
Pedantic=yes
Это нужно?

[Zavr2008]

8. Ожидаем когда тех поддержка вас подклюючит (обычно в течении дня)

[ded]

403 возможно уже как следствие.

Следствие чего?
Zavr2008, человек приводит диалог REGISTER, где он получает SIP/2.0 403 Forbidden (Bad auth)
я процитирую:

Код: Выделить всё

[Aug 30 16:57:41] NOTICE[25504]: chan_sip.c:14995 sip_reregister:    -- Re-registration for  093xxxxxxx@212.58.166.54
REGISTER 10 headers, 0 lines
Reliably Transmitting (no NAT) to 212.58.166.54:5061:
REGISTER sip:212.58.166.54:5061 SIP/2.0
Via: SIP/2.0/TLS 85.10.xxx.xxx:5061;branch=z9hG4bK61fac244
Max-Forwards: 70
From: <sip:093xxxxxxx@212.58.166.54>;tag=as30506612
To: <sip:093xxxxxxx@212.58.166.54>
Call-ID: 1a2a67a314d06a68144b8cf71299bec7@85.10.xxx.xxx
CSeq: 102 REGISTER
User-Agent: FPBX-2.8.1(1.8.20.0)
Expires: 120
Contact: <sip:093xxxxxxx@85.10.xxx.xxx:5061;transport=TLS>
Content-Length: 0


---
Really destroying SIP dialog '511a78905cb28cc32cda56fb3a034c42@85.10.xxx.xxx:5061' Method: OPTIONS

<--- SIP read from TLS:212.58.166.54:5061 --->
SIP/2.0 100 Trying
Via: SIP/2.0/TLS 85.10.xxx.xxx:5061;branch=z9hG4bK61fac244;received=85.10.xxx.xxx
From: <sip:093xxxxxxx@212.58.166.54>;tag=as30506612
To: <sip:093xxxxxxx@212.58.166.54>
Call-ID: 1a2a67a314d06a68144b8cf71299bec7@85.10.xxx.xxx
CSeq: 102 REGISTER
Server: Asterisk PBX 1.8.7.1
Allow: INVITE, ACK, CANCEL, OPTIONS, BYE, REFER, SUBSCRIBE, NOTIFY, INFO, PUBLISH
Supported: replaces, timer
Content-Length: 0
<------------->
--- (10 headers 0 lines) ---

<--- SIP read from TLS:212.58.166.54:5061 --->
SIP/2.0 401 Unauthorized
Via: SIP/2.0/TLS 85.10.xxx.xxx:5061;branch=z9hG4bK61fac244;received=85.10.xxx.xxx
From: <sip:093xxxxxxx@212.58.166.54>;tag=as30506612
To: <sip:093xxxxxxx@212.58.166.54>;tag=as07db9782
Call-ID: 1a2a67a314d06a68144b8cf71299bec7@85.10.xxx.xxx
CSeq: 102 REGISTER
Server: Asterisk PBX 1.8.7.1
Allow: INVITE, ACK, CANCEL, OPTIONS, BYE, REFER, SUBSCRIBE, NOTIFY, INFO, PUBLISH
Supported: replaces, timer
WWW-Authenticate: Digest algorithm=MD5, realm="asterisk", nonce="75f2f6b9"
Content-Length: 0

теперь скажите, какое значение для диалога REGISTER могут иметь параметры insecure & fromdomain, указанные в пире? Правильный ответ: НИКАКОГО.
Если пир вообще не прописать, а дать только одну строку
register =>
то при хорошем раскладе статус будет Registered, а при плохом - 403 Forbidden (Bad auth)

Еще заметил, у ТС:
Pedantic=yes
Это нужно?

А Вы почитайте про этот параметр!

ТС: Вам нужно решать проблемы с операторорм Лайф, и больше ни с кем. Вы же им деньги платите? Или фантики?
Сколько бы ни помогали тут на форуме человекам из техподдержки недобросовестных операторов, им по барабану.

[Zavr2008]

ded, да Вы - буквоед) да еще сам оверквоттиш

Речь не только про register - речь чтоп пользоваться можно было..

Там в инструкции: http://forum.asterisk.ru/viewtopic.php?p=24328
всё вроде расписано...

[DmitrySyrov]

403 возможно уже как следствие.
fromdomain часто нужно - но походу не для этого запущенного случая..

Чем случай запущен?

Нашел инструкцию
ТС - Вы по ней делали? Ключи все прописали что выслали?

Там где-то в дебаге есть строка:

Код: Выделить всё

SSL Certificate Ok

Еще заметил, у ТС:
Pedantic=yes
Это нужно?

Я не понимаю как

Включить медленную, педантичную проверку полей Call-ID и всех строк в многострочном заголовке SIP сообщения и кодированных URI заголовков

может так повлиять на процесс авторизации чтобы получить 403-ю ошибку. К слову, я пробовал и без pedantic, и без insecure - эффект тот же.

[Vlad1983]

insecure влияет только на обработку входящих INVITE
дело не в нем однозначно

мочите саппорт Life
возможно придется кружить секцию [authentication]
может регистрация и не требуется
может регистрация и одновременная проверка по IP, а IP забит криво

[ded]

Возможно причина в выбираемом алоритме шифрования. У Вас
tlscipher=ALL
а у zoleg в примере конкретно указан 3DES c конкретной длиной ключа.
Там не ясно кто чей proposal должен предлагать а кто акцептить. Алгоритмов много, и если договорной процесс по умному настроен, то один пир выдвигает другому целую кучу proposals, а другой принимает тот, на который он согласен, а их много, например

Код: Выделить всё

000 algorithm ESP encrypt: id=2, name=ESP_DES, ivlen=8, keysizemin=64, keysizemax=64
000 algorithm ESP encrypt: id=3, name=ESP_3DES, ivlen=8, keysizemin=192, keysizemax=192
000 algorithm ESP encrypt: id=6, name=ESP_CAST, ivlen=8, keysizemin=40, keysizemax=128
000 algorithm ESP encrypt: id=7, name=ESP_BLOWFISH, ivlen=8, keysizemin=40, keysizemax=448
000 algorithm ESP encrypt: id=11, name=ESP_NULL, ivlen=0, keysizemin=0, keysizemax=0
000 algorithm ESP encrypt: id=12, name=ESP_AES, ivlen=8, keysizemin=128, keysizemax=256
000 algorithm ESP encrypt: id=13, name=ESP_AES_CTR, ivlen=8, keysizemin=128, keysizemax=256
000 algorithm ESP encrypt: id=14, name=ESP_AES_CCM_A, ivlen=8, keysizemin=128, keysizemax=256
000 algorithm ESP encrypt: id=15, name=ESP_AES_CCM_B, ivlen=8, keysizemin=128, keysizemax=256
000 algorithm ESP encrypt: id=16, name=ESP_AES_CCM_C, ivlen=8, keysizemin=128, keysizemax=256
000 algorithm ESP encrypt: id=18, name=ESP_AES_GCM_A, ivlen=8, keysizemin=128, keysizemax=256
000 algorithm ESP encrypt: id=19, name=ESP_AES_GCM_B, ivlen=8, keysizemin=128, keysizemax=256
000 algorithm ESP encrypt: id=20, name=ESP_AES_GCM_C, ivlen=8, keysizemin=128, keysizemax=256
000 algorithm ESP encrypt: id=252, name=ESP_SERPENT, ivlen=8, keysizemin=128, keysizemax=256
000 algorithm ESP encrypt: id=253, name=ESP_TWOFISH, ivlen=8, keysizemin=128, keysizemax=256
000 algorithm ESP auth attr: id=1, name=AUTH_ALGORITHM_HMAC_MD5, keysizemin=128, keysizemax=128
000 algorithm ESP auth attr: id=2, name=AUTH_ALGORITHM_HMAC_SHA1, keysizemin=160, keysizemax=160
000 algorithm ESP auth attr: id=5, name=AUTH_ALGORITHM_HMAC_SHA2_256, keysizemin=256, keysizemax=256
000 algorithm ESP auth attr: id=8, name=AUTH_ALGORITHM_HMAC_RIPEMD, keysizemin=160, keysizemax=160
000 algorithm ESP auth attr: id=9, name=AUTH_ALGORITHM_AES_CBC, keysizemin=128, keysizemax=128
000 algorithm ESP auth attr: id=251, name=(null), keysizemin=0, keysizemax=0