PDA

Voir la version complète : Trixbox et TLS



kmta
30/03/2011, 08h31
Bonjour,

Arpès avoir généré un certificat SSL et l'avoir installé sur mon serveur Trixbox (/var/lib/asterisk/keys), et d'avoir configurer mon fichier sip.conf comme ceci :



tcpenable=yes
tcpbindaddr=0.0.0.0
tcpbindport=5060
tlsenable=yes
tlsbindaddr=0.0.0.0
tlsbindport=5061
tlscertfile=/var/lib/asterisk/keys/astmanagercertssl.pem
alwaysauthreject=yes


Mon serveur ne communique pas par le port 5061 (analyse avec wireshark)

Pouvez-vous me dire qu'es-ce qui me manque à mon configuration ?

Merci

celya
30/03/2011, 08h51
que donne la commande 'netstat -apn | grep 5061'

kmta
30/03/2011, 09h06
Merci de cette réactivité :)

Cette commande ne m'affiche rien. j'ai testé avec le 5060 et il m'indique bien que trixbox écoute sur celui-ci. Je n'ai pas de pare-feu d'activer et j'ai même créer une exception pour le port 5061 rien ne change.

Trixbox ne peut pas écouter deux port différents ? il écoute toujours le port 5060 ?

Merci

celya
30/03/2011, 10h53
Tu a vérifié dans tes log asterisk si tu n'a pas de probleme au démarage du SIP ?

Que dit la commande 'module reload chan-sip'

kmta
30/03/2011, 11h40
Dans mes logs j'ai bien mon certificat d'installé mais une erreur aussi :

SSL Certificat OK
Problem setting up SSL connection: error: 00000000 :lib(0) :func(0)

Comment interpréter cette erreur?

J'ai essayé d'ouvrir manuellement le port 5061 avec la commande suivante mais sans effet :
iptables -A INPUT -p tcp --dport 5061 -j ACCEPT

Merci

celya
30/03/2011, 11h50
Version d'asterisk et openssl ?

kmta
30/03/2011, 13h22
Version Astérisk 1.6.0.26 et Openssl 0.9.8

kmta
30/03/2011, 14h02
avec votre commande (module reload chan_sip), Astérisk me retourne l'erreur suivante :

SSL cert error (/var/lib/asterisk/keys/asrssl.pem) =Parsing /ect/asterisk/sip_notify.conf : == Found

kmta
30/03/2011, 14h57
J'ai tout recommencer depuis le début en suivant les instructions de ce forum anglais d'astérisk :

http://forums.asterisk.org/viewtopic.php?f=1&t=64445

L'erreur de "ssl cert error" n'apparait plus, par contre celle de "problem setting up ssl connetion" persiste

Maintenant mon port 5061 est ouvert alors que je ne lui est rien précisé dans sip.conf



tlsenable=yes
tlsbindaddr=<ip de mon serveur asterisk>
tlscertfile=/var/lib/asterisk/keys/astcertssl.pem
tlscafile=/var/lib/asterisk/keys/astcertssl.pem



Je vais tester si le cryptage est vraiement mis en place avec des sofphones et je reviendrai poster ici. Mais vu qu'une erreur persiste toujours j'ai peu d'espoir que sa marche

celya
30/03/2011, 16h20
Tu est obligé de rester surla branche 1.6.0 ? Tu ne veux pas passer sur la 1.6.2.

kmta
30/03/2011, 16h26
Pour l'erreur "SSL connection" cela venais d'un mauvais chemin de certificat dans manager.conf.

J'ai testé un appel avec X-lite 4 en le forcant à communiquer sur le port 5061 (Account setting -> Topology -> cocher "Range of ports used on local comuter" et rentrer les numéros de port à utiliser)

Capture avec wireshark, tout passe en clair et une erreur sur asterisk signal un protocole inconnu sur le port 5061. X-lite ne gère que l'UDP et le TCP (version gratuite en tout cas)

J'ai testé avec un softphone qui gère le tls en transport (phonerlite 1.8), tous les paquets de signalisation SIP sont bien cryptés, sa marche.

Merci celya de m'avoir donné des pistes de recherches :)

celya
30/03/2011, 16h54
Merci pour le retour, j'espère que ca aidera quelqu'un.