Проходит аунтефикация екстеншена без пароля
Добавлено: 02 авг 2019, 14:22Добрый день!
Восхитительно странная вещь творится, даже не знаю куда копать.
Есть тестовый телефон (Phonerlite)
ввожу в нем любой зарегистрированный добавочный, с любым паролем, он регистрируется и могу с него звонить.
например
нормально конектится, вообще без пароля.
как такое возможно? где тут собака порылась? я даже немного в шоке.
екстеншены заведены строкой [100](internal) secret=xxxxxxxxx callgroup= pickupgroup= . пробовал вместо пробелов перенос строки -- то же самое. вводишь любой пароль или не вводишь вообще, нормально конектится и можно с него звонить куда угодно. и не только с програмного телефона, завел в реальный телефон так же номер без пароля, они принимается и нормально звонит куда хочет.
у меня немного паника, не понимаю, что происходит.
Изменил номер с 150 на 300, что тот без пароля что этот (не вводил пароль, пароли есть на всех номерах)
-- Unregistered SIP '150'
-- Registered SIP '300' at 10.0.0.191:5060
> Saved useragent "SIPPER for PhonerLite" for peer 300
[Aug 2 13:32:57] NOTICE[630]: chan_sip.c:28410 handle_request_subscribe: Received SIP subs cribe for peer without mailbox: 300
-- Registered SIP '150' at 10.0.10.45:5060
[Aug 2 13:32:59] NOTICE[630]: chan_sip.c:24592 handle_response_peerpoke: Peer '150' is now Reachable. (9ms / 2000ms)
Восхитительно странная вещь творится, даже не знаю куда копать.
Есть тестовый телефон (Phonerlite)
ввожу в нем любой зарегистрированный добавочный, с любым паролем, он регистрируется и могу с него звонить.
например
- Снимок.JPG (74.64 KIB) Просмотров: 2771
- Снимок2.JPG (70.79 KIB) Просмотров: 2771
нормально конектится, вообще без пароля.
как такое возможно? где тут собака порылась? я даже немного в шоке.
екстеншены заведены строкой [100](internal) secret=xxxxxxxxx callgroup= pickupgroup= . пробовал вместо пробелов перенос строки -- то же самое. вводишь любой пароль или не вводишь вообще, нормально конектится и можно с него звонить куда угодно. и не только с програмного телефона, завел в реальный телефон так же номер без пароля, они принимается и нормально звонит куда хочет.
у меня немного паника, не понимаю, что происходит.
Изменил номер с 150 на 300, что тот без пароля что этот (не вводил пароль, пароли есть на всех номерах)
-- Unregistered SIP '150'
-- Registered SIP '300' at 10.0.0.191:5060
> Saved useragent "SIPPER for PhonerLite" for peer 300
[Aug 2 13:32:57] NOTICE[630]: chan_sip.c:28410 handle_request_subscribe: Received SIP subs cribe for peer without mailbox: 300
-- Registered SIP '150' at 10.0.10.45:5060
[Aug 2 13:32:59] NOTICE[630]: chan_sip.c:24592 handle_response_peerpoke: Peer '150' is now Reachable. (9ms / 2000ms)
[Показать] Спойлер: sip.conf
[general]
language=ru
context=default ;контекст по умолчанию, он будет пустой
allowguest=no ;запрет гостевых вызовов
allowoverlap=no ;автоматический донабор запрещен
alwaysauthreject=yes ;Безопасности ради на любой неверный запрос отвечаем одинаково
useragent=SagaOffice ;Так представл¤емс¤ на уровне SIP-протокола
defaultexpiry=120 ;заставляем клиентов подтверждать свою регистрацию раз в 2 минуты
limitonpeer=yes ;считаем исход¤щие и вход¤щие вызовы для ограничения количества одновременных вызовов для клиента/абонента.
tcpenable=yes ;разрешаем TCP протокол для SIP.
bindport=5060 ;порт SIP по умолчанию.
bindaddr=0.0.0.0 ;На каком адресе слушаем. В данном случае на всех.
srvlookup=yes ;Позволяет звонить по именам днс
;кодеки по умолчанию для всех
disallow=all ;сначала запрещаем все
allow=alaw ;потом разрешаем нужные
allow=ulaw
relaxdtmf=yes
dtmfmode=rfc2833 ;режим передачи DTMF (Dual-Tone Multi-Frequency) - "писк", соответствующий нажатой цифре
tpholdtimeout=300 ;завершаем вызов через 300 секунд, если нет активности по RTP протоколу в режиме удержания линии (hold)
rtpkeepalive=5 ;как часто сервер должен посылать сообщения проверки активности установленного соединения для поддержания NAT открытым
canreinvite=no ;все вызовы проходят через нашу станцию, запрещено пр¤мое соединение
;externip=85.236.188.173 ;указываем наш внешний IP. требуется, если asterisk живет за NAT.
;localnet=10.0.0.0/8 ;указывает какие ип локальные и для них ненужно применять трансляцию
register => xxxxx: @sip.zadarma.com/xxxx ;регистрация транка на задарма
register => xxxxx: @xxx.xxx.xxx.xxx/xxxx ;регистрация транка на ntel
[zadarma] ;
type=friend ;
username=xxxxxxx ;
secret= xxxxxxxxxx ;
fromuser=xxxxxx ;
fromdomain=sip.zadarma.com ;
host=sip.zadarma.com ;
nat=force_rport,comedia ;
insecure=invite ;
context=incoming ;
canreinvite=no ;
qualify=yes
;
[ntel]
type=friend ;
username=xxxxxxx ;
secret= xxxxxxxxxx ;
fromuser=xxxxxx ;
fromdomain=xxx.xxx.xxx.xxx ;
host=xxx.xxx.xx ;
nat=force_rport,comedia ;
insecure=invite ;
context=incoming ;
canreinvite=no ;
qualify=yes
;задаем [шаблон](!) для номеров по дефолту, далее что бы подсосать из шаблона пишем [номер](имя шаблона)
[internal](!)
type=friend ;разрешаем двухстороннюю связь
directmedia=no ;направлять медиа поток (RTP трафик) через сервер или напрямую между каналами (пирами).
insecure=invite,port ;port: игнорировать номер порта, с которого пришла аутентификация. invite: не требовать начальное сообщение INVITE для аутентификации
context=outcoling ;контекст по умолчанию для внутренних по умолчанию
fromdomain=<10.0.10.15> ;адрес сервера Астериск
host=dynamic ;адрес определ¤ется регистрацией
call-limit=2 ;одновременных звонков - 1. если больше - отдавать "занято", по умолчанию на ip-телефоне 2 линии.
qualify=yes ;проверять связь до клиента
disallow=all ;запрещаем все кодеки
allow=alaw ;разрешаем кодек alaw (g711a)
allow=ulaw ;разрешаем кодек ulaw
qualify=yes ;проверка качества соединения с клиентом
canreinvite=no
nat=no ;клиент может быть за NAT, если за NAT есть клиенты, включаем yes
dtmfmode=auto ;стандарт передачи тональных звуков dtmf режим (auto|inband|info|rfc2833)
deny=0.0.0.0/0.0.0.0 ;запрещено подключаться со всех сетей
permit=10.0.0.0/255.0.0.0 ;разрешено подключаться с разрешенных сетей
;subscribemwi = yes ;Отсылает оповещение о почте, если телефон подписан на них (???????)
;создаем внутренние номера по шаблону, дописываем только пароль
[100](internal) secret=xxxxxxxxx callgroup= pickupgroup=
остальные номера по аналогии
language=ru
context=default ;контекст по умолчанию, он будет пустой
allowguest=no ;запрет гостевых вызовов
allowoverlap=no ;автоматический донабор запрещен
alwaysauthreject=yes ;Безопасности ради на любой неверный запрос отвечаем одинаково
useragent=SagaOffice ;Так представл¤емс¤ на уровне SIP-протокола
defaultexpiry=120 ;заставляем клиентов подтверждать свою регистрацию раз в 2 минуты
limitonpeer=yes ;считаем исход¤щие и вход¤щие вызовы для ограничения количества одновременных вызовов для клиента/абонента.
tcpenable=yes ;разрешаем TCP протокол для SIP.
bindport=5060 ;порт SIP по умолчанию.
bindaddr=0.0.0.0 ;На каком адресе слушаем. В данном случае на всех.
srvlookup=yes ;Позволяет звонить по именам днс
;кодеки по умолчанию для всех
disallow=all ;сначала запрещаем все
allow=alaw ;потом разрешаем нужные
allow=ulaw
relaxdtmf=yes
dtmfmode=rfc2833 ;режим передачи DTMF (Dual-Tone Multi-Frequency) - "писк", соответствующий нажатой цифре
tpholdtimeout=300 ;завершаем вызов через 300 секунд, если нет активности по RTP протоколу в режиме удержания линии (hold)
rtpkeepalive=5 ;как часто сервер должен посылать сообщения проверки активности установленного соединения для поддержания NAT открытым
canreinvite=no ;все вызовы проходят через нашу станцию, запрещено пр¤мое соединение
;externip=85.236.188.173 ;указываем наш внешний IP. требуется, если asterisk живет за NAT.
;localnet=10.0.0.0/8 ;указывает какие ип локальные и для них ненужно применять трансляцию
register => xxxxx: @sip.zadarma.com/xxxx ;регистрация транка на задарма
register => xxxxx: @xxx.xxx.xxx.xxx/xxxx ;регистрация транка на ntel
[zadarma] ;
type=friend ;
username=xxxxxxx ;
secret= xxxxxxxxxx ;
fromuser=xxxxxx ;
fromdomain=sip.zadarma.com ;
host=sip.zadarma.com ;
nat=force_rport,comedia ;
insecure=invite ;
context=incoming ;
canreinvite=no ;
qualify=yes
;
[ntel]
type=friend ;
username=xxxxxxx ;
secret= xxxxxxxxxx ;
fromuser=xxxxxx ;
fromdomain=xxx.xxx.xxx.xxx ;
host=xxx.xxx.xx ;
nat=force_rport,comedia ;
insecure=invite ;
context=incoming ;
canreinvite=no ;
qualify=yes
;задаем [шаблон](!) для номеров по дефолту, далее что бы подсосать из шаблона пишем [номер](имя шаблона)
[internal](!)
type=friend ;разрешаем двухстороннюю связь
directmedia=no ;направлять медиа поток (RTP трафик) через сервер или напрямую между каналами (пирами).
insecure=invite,port ;port: игнорировать номер порта, с которого пришла аутентификация. invite: не требовать начальное сообщение INVITE для аутентификации
context=outcoling ;контекст по умолчанию для внутренних по умолчанию
fromdomain=<10.0.10.15> ;адрес сервера Астериск
host=dynamic ;адрес определ¤ется регистрацией
call-limit=2 ;одновременных звонков - 1. если больше - отдавать "занято", по умолчанию на ip-телефоне 2 линии.
qualify=yes ;проверять связь до клиента
disallow=all ;запрещаем все кодеки
allow=alaw ;разрешаем кодек alaw (g711a)
allow=ulaw ;разрешаем кодек ulaw
qualify=yes ;проверка качества соединения с клиентом
canreinvite=no
nat=no ;клиент может быть за NAT, если за NAT есть клиенты, включаем yes
dtmfmode=auto ;стандарт передачи тональных звуков dtmf режим (auto|inband|info|rfc2833)
deny=0.0.0.0/0.0.0.0 ;запрещено подключаться со всех сетей
permit=10.0.0.0/255.0.0.0 ;разрешено подключаться с разрешенных сетей
;subscribemwi = yes ;Отсылает оповещение о почте, если телефон подписан на них (???????)
;создаем внутренние номера по шаблону, дописываем только пароль
[100](internal) secret=xxxxxxxxx callgroup= pickupgroup=
остальные номера по аналогии