Не могу понять почему обрываются звонки

[SolarW]

Уважаемые коллеги, пните пожалуйста в сторону решения проблемы.

Дано:
абонент 2802 - софт-фон PortGo на iPhone, зарегистрирован на астериске
абонент 2608 - телефон, подключенный к АТС Samsung которая соединена с астериском по SIP

Когда 2608 вызывает 2802 все замечательно - звук есть, говорим сколько хотим.
Дамп выглядит примерно так:

Good call

rb_done_001.png (22.13 КБ) 5961 просмотр

А вот когда 2802 вызывает 2608 - получается проблема.
Звук есть в обе стороны, но разговор обрывается через 15...120 сек от начала.
Дамп выглядит примерно так:

Bad call

rb_failed_001.png (32.34 КБ) 5961 просмотр

На нем вижу пачку странных запросов SDP в сторону мобильного клиента на которые астериск не получает ответа.
После них идет BYE на который мобильный клиент соглашается OK.
Подскажите пожалуйста, чем может быть вызвано такое поведение?

P.S.
192.168.13.8 - адрес астериска внутри сети
93.х.х.х - внешний адрес с которого настроен проброс портов на астериск и который прописан как externip
46.х.х.х - адрес с которого соединяется софт-фон через 3G.

[gosha]

ack на 200 ok с софтфона до астериска не долетает.

[ded]

Да, Астериск 5 раз посылает 200 OK SDP ожидая АСК. Не дождавшись - посылает BYE.
А вот почему? Сессионные ключи слетают. Во время разговора сеессионные ключи меняются вроде в процессе. Авторы софт-фона PortGo могли бы рассказать.
Пробуй поставить Linphone на iPhone, он тоже поддерживает SRTP. Если на нём всё будет ОК - претензии к PortGo.

[Zavr2008]

прикол и в том, что SRTP практически бесполезен с точки зрения безопасности - mitm атака легко разворачивает вспять всё шифрование..
Так, на заметку..

[SolarW]

Прошу прощения коллеги, что не отписался сразу - как-то замотался.

ack на 200 ok с софтфона до астериска не долетает.

Не дошел до снятия дампов на всех промежуточных точках, ситуация выровнялась о чем ниже.

Авторы софт-фона PortGo могли бы рассказать.

По факту получается что не только в них дело.
Звонки не рвались при активизации TLS.
И рвались в случае отключения SRTP тоже.
С какого-то момента рваться перестали - предполагаю из-за смены нестандартного внешнего порта на роутере с которого шла переадресация на астериск на обычный 5060.

прикол и в том, что SRTP практически бесполезен с точки зрения безопасности - mitm атака легко разворачивает вспять всё шифрование..
Так, на заметку..

Да по большому счету SRTP only только на этапе тестирования использовался, в перспективе подразумевается два вида внешних абонентов:
- без шифрования
- с TLS + SRTP
Вот со вторыми вылезла еще одна непонятка.
Заводится абонент (тот же PortGo)
Ему в настройках указывается TLS + SRTP.
Абонент соединяется, по sip show peer ext видно что транспорт у него TLS и регистрация по TLS.
Перехваченный дамп полностью зашифрован (и сигналка и медиа)
Но есть одно НО которое все портит - клиент это все делает БЕЗ ручного занесения на него ключа/сертификата.
Такое ощущение что динамически как-то вытаскивает...
Я пока не дошел до снятия полного дампа при первой регистрации абонента - дай думаю спрошу у знающих людей а есть ли у астериска параметры разрешающие/запрещающие вот так динамически ключ шифрования выдергивать?

[Vlad1983]

значит у клиента ваш сертификат доверенный по умолчанию
может галка где-то стоит "доверять всем"

безопасности с таким поведением больше не становится хоть обшифруйтесь

[MIKS]

Странно что при использовании TCP астериск делает ретрансмиты - согласно стандарта их быть не должно.
Может быть проблема с обработкой прогресса 183(SDP) т.к. очевидно по приведенной схеме взаимодействия что он содержит SDP