Aide pour grand débutant...

**ojal** · 27/11/2010, 01h07

Pour mes connexions depuis mon réseau local, c'est OK. Merci

Je voudrais maintenant connecter un téléphone situé en dehors de mon réseau local...
ASTERISK tourne sur un petit netbook en LINPUS - sorte de FEDORA - à l'adresse locale 192.168.0.14
J'imagine qu'il faut que je fasse un transfert de port pour accéder depuis l'extérieur à 192.168.0.14.
J'ai donc transféré le port 5090 vers 192.168.0.14 sur mon routeur
Je connecte le téléphone à l'adresse IP publique XXX.XXX.XXX.XXX:5090 rien ne se passe...
Lorsque je ping XXX.XXX.XXX.XXX:5090 rien ne se passe non plus...
Le netbook qui fait tourner ASTERISK tourne en LINPUS et ne possède pas IPTABLES... => Je croyais que de ce fait tous les ports étaient ouverts... vrai ou faux?
Comment vérifier ?

La démarche est-elle bonne ou entre-t-elle en conflit avec la notion de port de la connexion SIP? Je ne vous cache pas que c'est confus pour le moment...

Par avance merci si vous pouvez me conseiller

**ffossard** · 27/11/2010, 17h05

Pour le sip c'est le 5060, à moins que tu le change explicitement dans Asterisk.

Regarde dans les sources de ton asterisk, dans contrib/scripts/ il y'a un script te permettant de générer automatiquement les paramètres qui vont bien pour ce que tu veux faire, je ne l'ai jamais essayé, ça sera l'occasion

Pense surtout aux paramètres nat=yes, externip, localnet ...

**ojal** · 27/11/2010, 17h19

J'ai redirigé le port 5060 de mon routeur vers l'adresse IP de la machine qui fait tourner Asterisk.
Quand je ping - sous WINDOWS - cette adresse IP publique XXX.XXX.XXX.XXX:5060, j'ai une erreur, la requête ne peut pas trouver l'hote... C'est peut être normal, je n'arrive pas à savoir...

Je ne trouve pas contrib/scripts/.. Il faut chercher où?

Les paramètres nat=yes, externip, localnet : il faut que je bouquine, je ne les maitrise pas du tout pour le moment...

**ojal** · 28/11/2010, 01h59

Lorsque je mets la config sip.conf suivante:

Code:

[3000]
type=friend
context=incoming-calls
host=193.253.141.65     ; adresse du réseau extérieur sur lequel j'ai un softphone

J'obtiens l'erreur :

Code:

[Nov 28 00:51:58] ERROR[11752]: chan_sip.c:8764 register_verify: Peer '3000' is trying to register, but not configured as host=dynamic
[Nov 28 00:51:58] NOTICE[11752]: chan_sip.c:15593 handle_request_register: Registration from '<sip:3000@XXX.XXX.5.20>' failed for '80.10.46.70' - Peer is not supposed to register

J'en conclu donc que dde l'extérieur, j'arrive bien sur mon serveur Asterisk, ce n'est donc pas un problème de firewall ou de nat...

Je ne comprends pas ce que veut dire failed for '80.10.46.70' C'est une adresse IP?

Et lorsque je mets host=dynamic, le message d'erreur est alors
-- Unregistred SIP '3000'

la commande
localnet = 192.168.0.0/255.255.255.0
ou la commande
nat=yes
ne changent rien...

Avez-vous une idée ?

Merci par avance

**hb22** · 28/11/2010, 02h39

Pour le sip c'est le 5060, à moins que tu le change explicitement dans Asterisk.

IL FAUT CHANGER. Avec un autre port et des mots de passe forts tu vas éviter 99.99% des pirates et donc les factures de xxxxxxxx euros.

Quand je ping - sous WINDOWS - cette adresse IP publique XXX.XXX.XXX.XXX:5060

Tu ne peux jamais pinger XXX.XXX.XXX.XXX:5060 par contre tu peux peut être pinger XXX.XXX.XXX.XXX. Mais une connexion vers un couple ip-port peut fonctionner sans que le ping ne fonctionne. Une box peut interdire le ping sur l'adresse publique et autoriser une connexion sur son IP publique sur un port.

**ojal** · 28/11/2010, 11h50

Je mettrai en effet en place des sécurités plus tard, je suis entrain d'essayer de faire au plus simple pour mes premiers essais.
dans ma config actuelle, au pire, un 'pirate' pourrait faire sonner mes tél...

**ffossard** · 28/11/2010, 16h12

Envoyé par ojal

Lorsque je mets la config sip.conf suivante:

Code:

[3000]
type=friend
context=incoming-calls
host=193.253.141.65     ; adresse du réseau extérieur sur lequel j'ai un softphone

J'obtiens l'erreur :

Code:

[Nov 28 00:51:58] ERROR[11752]: chan_sip.c:8764 register_verify: Peer '3000' is trying to register, but not configured as host=dynamic
[Nov 28 00:51:58] NOTICE[11752]: chan_sip.c:15593 handle_request_register: Registration from '<sip:3000@85.xxx.xx.20>' failed for '80.10.46.70' - Peer is not supposed to register

J'en conclu donc que dde l'extérieur, j'arrive bien sur mon serveur Asterisk, ce n'est donc pas un problème de firewall ou de nat...

Je ne comprends pas ce que veut dire failed for '80.10.46.70' C'est une adresse IP?

Et lorsque je mets host=dynamic, le message d'erreur est alors
-- Unregistred SIP '3000'

la commande
localnet = 192.168.0.0/255.255.255.0
ou la commande
nat=yes
ne changent rien...

Avez-vous une idée ?

Merci par avance

Mets nous ton sip.conf complet.
Mets host=dynamic pour la définition de ton client sip.
Change "3000" par un nom, sans parler de sécurité, je t'ai dis que ça t'amènera des problèmes de compréhension.

C'est quoi l'ip wan de ton serveur, 80.10.46.70 ou 193.253.141.65 ?
Et celle de ton client sip ?
(ça semble évident, mais ils ne sont pas sur le même réseau local ?)

Ping est un protocole ICMP, pas TCP ou UDP, donc pas de notion de port.

Les paramètres sont expliqués dans le fichier d'exemple sip.conf (quand tu fais "make samples" après l'installation d'asterisk)
contrib/scripts/ est un répertoire dans les sources d'asterisk (typiquement /usr/src/asterisk-1.*/)

**jean** · 28/11/2010, 22h16

Envoyé par ojal

Je mettrai en effet en place des sécurités plus tard, je suis entrain d'essayer de faire au plus simple pour mes premiers essais.
dans ma config actuelle, au pire, un 'pirate' pourrait faire sonner mes tél...

Envoyé par ojal

Je ne comprends pas ce que veut dire failed for '80.10.46.70' C'est une adresse IP?

tu es déjà en train de te faire scanner.... et sauf erreur, le scanneur a déjà repéré le username 3000....

change de port asap (au minimum) et installe fail2ban. utilise des mots depasse sécurisés

**ojal** · 28/11/2010, 22h31

Oula, vous me faites peur

Je vais en effet sécuriser tout celà, mais pour le moment quel risque puis-je courrir? A part faire sonner un des postes connectés, je ne vois pas...

Qu'est-ce qui te faire dire que je suis scanné?
Les logs que j'ai rapportés sont générés par moi et moi seul... Je n'en comprends simplement pas l'interprétation...
C'est vrai qu'avec ce que j'ai copié sur le forum, maintenant il peut y avoir des curieux

**jean** · 29/11/2010, 02h28

des tentatives d'enregistrements depuis une ip différente de celle que tu as définie dans le host= indiquent que une ip non attendue tente de s'enregistrer

il faut savoir que chaque ip se fait scanner entre 0 et 10 fois par jour sur le port 5060 à la recherche d'un switch voix

meme si tu ne peux téléphoner à l'exterieur, certains scanneurs mantiennent des listes et reviennent regulierement : http://voipsa.org/blog/2010/09/29/vo...hey-come-back/ et peuvent te causer des soucis plus tard

enfin, meme si il n'y a pas de sortie pstn derriere, les scanners peuvent te bouffer la bande passante en faisant une recherche bruteforce

donc, mieux vaut sécuriser tot que tard !

Discussion: Aide pour grand débutant...

Outils de la discussion

Rechercher dans la discussion

Affichage

Règles de messages