1. Введение
2. Внутренний номер не регистрируется.

Введение

Многие из вас сталкивались с трудностями, которые возникали при работе с астериском. Начиная от подключения внутреннего номера, заканчивая непонятными ошибками в консоли астериска. Обычно в таких ситуациях системные администраторы лезут в гугл, копают тонны информации, в поиске ответа и находят решение собирая по крупицам собранные сведения с разных источников. Поэтому была написана статья, в которой будет описаны основные проблемы и подводные камни, а также как обойти их и наладить работу.

Внутренний номер не регистрируется.

Первой темой, которую мы рассмотрим — это будет подключение внутреннего номера. Условно, можно её можно разделить на несколько пунктов:

• Регистрация внутренних номеров
• Доступность внутреннего номера

Начнем с рассмотрения самой распространенной проблемы, а именно с регистрации. Отсутствие регистрации вызвано:

1. NAT
2. Firewall
3. Не верный пароль
4. Не верные пермиты
5. Не верный транспорт
6. Fail2ban

Диагностика  NAT: самое простое — это если между регистрируемым устройством и астериском у вас находится NAT устройство. В таком случае на АТС не будут приходить пакеты с запросом регистрации. Чтобы проверить приходят пакеты от устройства или нет, воспользуемся утилитой tcpdump.

# tcpdump -i any -s0 host 192.168.5.104 and port 5060 -nn

Отладка: проверить настроен ли проброс SIP порта из сети аппарата в сторону сервера телефонии.

Диагностика Firewall: когда в указанном пункте выше все настроено верно и при запущенном tcpdump вы видите приходящие пакеты REGISTER на порт 5060, но нет ответа на них, как на изображении ниже, то необходимо проверить настроенные привила iptables.

Проверить правила можно командой iptables —L —nv. Что здесь может быть:

1. Нет правила для порта 5060 UDP/TCP
2. Нет разрешающего правила для подсети, откуда происходит регистрация
3. Указано запрещающее правило для конкретного IP, как на изображении ниже.

Отладка: добавить разрешающее правило для подключаемого IP адреса или добавить разрешающее правило для порта 5060, с ограничением по подключаемых сетей. В нашем примере, смотрим правила цепочки INPUT командой iptables —L —nv —line-numbers. Далее находим строку, где указано запрещающее правило для нашего ip 192.168.170.105, это 3 строка, теперь удалим эту строку командой iptables —D INPUT 3.

# iptables -L -nv –line-numbers
#  iptables -D INPUT 3

Диагностика пароля, пермитов и транспорта: после того, как вы поправили правила в iptables, и АТС в ответе на REGISTER направляет 401 Unauthorized, то правила iptables настроены верно, и при этом нет регистрации, т.е. весь «диалог» с АТС заканчивается SIP сообщением 403 Forbidden, значит опять какая-то ошибка. Для этого заходим в консоль астериска командой asterisk -rvvv и при попытке регистрации телефона ожидаем вывод сообщений в консоль. В данном случае мы можем увидеть следующие сообщения:

Не верный пароль

# NOTICE[26204]: chan_sip.c:28691 handle_request_register: Registration from '"737" <sip:[email protected]>' failed for '192.168.170.105:5060' - Wrong password

Не верные пермиты

# NOTICE[18474]: acl.c:750 ast_apply_acl: SIP Peer ACL: Rejecting '192.168.170.105' due to a failure to pass ACL '(BASELINE)'
# NOTICE[18474]: chan_sip.c:28691 handle_request_register: Registration from '"737" <sip:[email protected]>' failed for '192.168.170.105:59217' - Device does not match ACL

Не верный транспорт

# ERROR[18580]: chan_sip.c:17801 register_verify: 'TCP' is not a valid transport for '737'. we only use 'UDP'! ending call.
# NOTICE[18580]: chan_sip.c:28691 handle_request_register: Registration from '"737" <sip:[email protected]>' failed for '192.168.170.105:44067' - Device not configured to use this transport type

Отладка: для исправления ошибок необходимо указать корректный пароль в настройках аппарата или указать правильную подсеть с которой регистрируется аппарат в поле permit в настройках sip.conf, или указать в настройках правильный транспорт используемый для соединения. Транспорт можно посмотреть в настройках sip.conf в параметре transport.

Диагностика Fail2Ban: В случае, если у вас на АТС приходят пакеты REGISTER, но АТС не отвечает, как при проблеме с iptables, а вы уверены, что всё верно, значит ip регистрируемого аппарата попал в БАН. В нашем дистрибутиве надо посмотреть список бана следующей командой — ipset —L. Там есть несколько цепочек, отвечающих за список бана.

• f2b-asterisk-auth — список ip адресов пытавшихся авторизоваться на астериск
• f2b-sshd-auth — список ip адресов пытавшихся авторизоваться по SSH
• f2b-httpd-auth — список ip адресов пытавшихся авторизоваться через Web (включая FreePBX)

Отладка: Если вы нашли свой IP адрес в бане на АТС, в одной из цепочек, разбаньте его командой

# fail2ban-client unban ip 192.168.170.105