ВидеоКонф(ВКС)  ::   FAQ  ::   Поиск  ::   Регистрация  ::   Вход

Проходит аунтефикация екстеншена без пароля

Новичком считается только что прочитавший «Астериск - будущее телефонии»
http://asterisk.ru/knowledgebase/books
и пытающийся сделать большее

Модераторы: april22, Zavr2008

Проходит аунтефикация екстеншена без пароля

Сообщение Elektronik » 02 авг 2019, 14:22

Добрый день!

Восхитительно странная вещь творится, даже не знаю куда копать.
Есть тестовый телефон (Phonerlite)
ввожу в нем любой зарегистрированный добавочный, с любым паролем, он регистрируется и могу с него звонить.
например
Снимок.JPG
Снимок.JPG (74.64 KIB) Просмотров: 2738

Снимок2.JPG
Снимок2.JPG (70.79 KIB) Просмотров: 2738

нормально конектится, вообще без пароля.
как такое возможно? где тут собака порылась? я даже немного в шоке.

екстеншены заведены строкой [100](internal) secret=xxxxxxxxx callgroup= pickupgroup= . пробовал вместо пробелов перенос строки -- то же самое. вводишь любой пароль или не вводишь вообще, нормально конектится и можно с него звонить куда угодно. и не только с програмного телефона, завел в реальный телефон так же номер без пароля, они принимается и нормально звонит куда хочет.

у меня немного паника, не понимаю, что происходит.

Изменил номер с 150 на 300, что тот без пароля что этот (не вводил пароль, пароли есть на всех номерах)

-- Unregistered SIP '150'
-- Registered SIP '300' at 10.0.0.191:5060
> Saved useragent "SIPPER for PhonerLite" for peer 300
[Aug 2 13:32:57] NOTICE[630]: chan_sip.c:28410 handle_request_subscribe: Received SIP subs cribe for peer without mailbox: 300
-- Registered SIP '150' at 10.0.10.45:5060
[Aug 2 13:32:59] NOTICE[630]: chan_sip.c:24592 handle_response_peerpoke: Peer '150' is now Reachable. (9ms / 2000ms)


[Показать] Спойлер: sip.conf
[general]
language=ru
context=default ;контекст по умолчанию, он будет пустой
allowguest=no ;запрет гостевых вызовов
allowoverlap=no ;автоматический донабор запрещен
alwaysauthreject=yes ;Безопасности ради на любой неверный запрос отвечаем одинаково
useragent=SagaOffice ;Так представл¤емс¤ на уровне SIP-протокола
defaultexpiry=120 ;заставляем клиентов подтверждать свою регистрацию раз в 2 минуты
limitonpeer=yes ;считаем исход¤щие и вход¤щие вызовы для ограничения количества одновременных вызовов для клиента/абонента.
tcpenable=yes ;разрешаем TCP протокол для SIP.
bindport=5060 ;порт SIP по умолчанию.
bindaddr=0.0.0.0 ;На каком адресе слушаем. В данном случае на всех.
srvlookup=yes ;Позволяет звонить по именам днс

;кодеки по умолчанию для всех

disallow=all ;сначала запрещаем все
allow=alaw ;потом разрешаем нужные
allow=ulaw

relaxdtmf=yes

dtmfmode=rfc2833 ;режим передачи DTMF (Dual-Tone Multi-Frequency) - "писк", соответствующий нажатой цифре
tpholdtimeout=300 ;завершаем вызов через 300 секунд, если нет активности по RTP протоколу в режиме удержания линии (hold)
rtpkeepalive=5 ;как часто сервер должен посылать сообщения проверки активности установленного соединения для поддержания NAT открытым

canreinvite=no ;все вызовы проходят через нашу станцию, запрещено пр¤мое соединение

;externip=85.236.188.173 ;указываем наш внешний IP. требуется, если asterisk живет за NAT.
;localnet=10.0.0.0/8 ;указывает какие ип локальные и для них ненужно применять трансляцию


register => xxxxx: @sip.zadarma.com/xxxx ;регистрация транка на задарма
register => xxxxx: @xxx.xxx.xxx.xxx/xxxx ;регистрация транка на ntel

[zadarma] ;
type=friend ;
username=xxxxxxx ;
secret= xxxxxxxxxx ;
fromuser=xxxxxx ;
fromdomain=sip.zadarma.com ;
host=sip.zadarma.com ;
nat=force_rport,comedia ;
insecure=invite ;
context=incoming ;
canreinvite=no ;
qualify=yes
;
[ntel]
type=friend ;
username=xxxxxxx ;
secret= xxxxxxxxxx ;
fromuser=xxxxxx ;
fromdomain=xxx.xxx.xxx.xxx ;
host=xxx.xxx.xx ;
nat=force_rport,comedia ;
insecure=invite ;
context=incoming ;
canreinvite=no ;
qualify=yes


;задаем [шаблон](!) для номеров по дефолту, далее что бы подсосать из шаблона пишем [номер](имя шаблона)

[internal](!)
type=friend ;разрешаем двухстороннюю связь
directmedia=no ;направлять медиа поток (RTP трафик) через сервер или напрямую между каналами (пирами).
insecure=invite,port ;port: игнорировать номер порта, с которого пришла аутентификация. invite: не требовать начальное сообщение INVITE для аутентификации
context=outcoling ;контекст по умолчанию для внутренних по умолчанию
fromdomain=<10.0.10.15> ;адрес сервера Астериск
host=dynamic ;адрес определ¤ется регистрацией
call-limit=2 ;одновременных звонков - 1. если больше - отдавать "занято", по умолчанию на ip-телефоне 2 линии.
qualify=yes ;проверять связь до клиента
disallow=all ;запрещаем все кодеки
allow=alaw ;разрешаем кодек alaw (g711a)
allow=ulaw ;разрешаем кодек ulaw
qualify=yes ;проверка качества соединения с клиентом
canreinvite=no
nat=no ;клиент может быть за NAT, если за NAT есть клиенты, включаем yes
dtmfmode=auto ;стандарт передачи тональных звуков dtmf режим (auto|inband|info|rfc2833)
deny=0.0.0.0/0.0.0.0 ;запрещено подключаться со всех сетей
permit=10.0.0.0/255.0.0.0 ;разрешено подключаться с разрешенных сетей
;subscribemwi = yes ;Отсылает оповещение о почте, если телефон подписан на них (???????)

;создаем внутренние номера по шаблону, дописываем только пароль


[100](internal) secret=xxxxxxxxx callgroup= pickupgroup=
остальные номера по аналогии
Аватар пользователя
Elektronik
 
Сообщений: 56
Зарегистрирован: 16 окт 2017, 13:42
Откуда: Москва

Re: Проходит аунтефикация екстеншена без пароля

Сообщение Vlad1983 » 02 авг 2019, 15:07

убрать из шаблона internal
Код: выделить все
insecure=invite,port ;port: игнорировать номер порта, с которого пришла аутентификация. invite: не требовать начальное сообщение INVITE для аутентификации
ЛС: @rostel
Vlad1983
 
Сообщений: 4251
Зарегистрирован: 09 авг 2011, 11:51

Re: Проходит аунтефикация екстеншена без пароля

Сообщение Elektronik » 02 авг 2019, 15:42

Vlad1983 писал(а):убрать из шаблона internal
Код: выделить все
insecure=invite,port ;port: игнорировать номер порта, с которого пришла аутентификация. invite: не требовать начальное сообщение INVITE для аутентификации


Огромное спасибо!

Смотрю в книгу вижу фигу.
Я вообще по другому тактовал эту строку, то ли не правильно перевел, то ли пример чей то был больной...
Моя думал, что это относится к сети (например если клиент за nat, он обращается на порт 35400, который проброшен на локальный 5060), был уверен, что этот параметр отвечает за это, судя по описанию...

Спасибо!
Аватар пользователя
Elektronik
 
Сообщений: 56
Зарегистрирован: 16 окт 2017, 13:42
Откуда: Москва


Вернуться в Вопросы новичков

Кто сейчас на форуме

Сейчас этот форум просматривают: Google [Bot] и гости: 30

© 2008 — 2024 Asterisk.ru
Digium, Asterisk and AsteriskNOW are registered trademarks of Digium, Inc.
Design and development by PostMet-Netzwerk GmbH