TAU-32M.IP ошибки аутентификации

[powetr]

Имеется всё та же ТАУ 32 с модулем 8 FXO, прошивка последняя на сегодня. Порты FXO имеют номера 1824...1831, зарегистрированы на астериск 11.6
Как то проверяя новые фичи заметил, что при входящем звонке из PSTN на 1829, где прописан хотлайн 1836, не проходит аутентификация. Естественно входящему абоненту "занято". Стал разбираться, записал дамп ( вышлю по запросу).Оказалось, что 1829 не аутентифицируется, астериск ругается на дайджест: (192.168.18.220- астериск, 192.168.18.230- тау)
=============================================
[2014-03-27 18:22:23] WARNING[1842][C-0000029c] chan_sip.c: username mismatch, have <1824>, digest has <1829>
[2014-03-27 18:22:23] NOTICE[1842][C-0000029c] chan_sip.c: Failed to authenticate device <sip:192.168.18.220>;tag=eaDc0e7ZNB3vD
[2014-03-27 18:23:02] VERBOSE[1766] asterisk.c: -- Remote UNIX connection
[2014-03-27 18:23:44] WARNING[1842][C-0000029d] chan_sip.c: username mismatch, have <1825>, digest has <1829>
[2014-03-27 18:23:44] NOTICE[1842][C-0000029d] chan_sip.c: Failed to authenticate device <sip:192.168.18.220>;tag=gvZX3486FXF2m
=============================================
В принципе случаи единичные, можно и не заметить. Однако это не так!Вот лог за сегодня:
=============================================
[2014-03-27 09:18:46] NOTICE[1842][C-00000161] chan_sip.c: Failed to authenticate device <sip:192.168.18.220>;tag=py2ry3gBrc3mm
[2014-03-27 09:24:26] NOTICE[1842][C-00000163] chan_sip.c: Failed to authenticate device <sip:192.168.18.220>;tag=aKv8101Hyy0ac
[2014-03-27 09:24:51] NOTICE[1842][C-00000164] chan_sip.c: Failed to authenticate device <sip:192.168.18.220>;tag=c5et5p3rrgDgK
[2014-03-27 09:25:17] NOTICE[1842][C-00000165] chan_sip.c: Failed to authenticate device <sip:192.168.18.220>;tag=De8j7HmvNS32e
[2014-03-27 09:26:50] NOTICE[1842][C-00000166] chan_sip.c: Failed to authenticate device <sip:192.168.18.220>;tag=g9KXc366cm6tH
[2014-03-27 09:28:18] NOTICE[1842][C-00000167] chan_sip.c: Failed to authenticate device <sip:192.168.18.220>;tag=HjDpeyQaaXvDD
[2014-03-27 09:28:50] NOTICE[1842][C-00000169] chan_sip.c: Failed to authenticate device <sip:192.168.18.220>;tag=K4Z7HmSH4e9jm
[2014-03-27 09:30:24] NOTICE[1842][C-0000016a] chan_sip.c: Failed to authenticate device <sip:192.168.18.220>;tag=mDS0KFaN1QZ5F
[2014-03-27 09:30:51] NOTICE[1842][C-0000016b] chan_sip.c: Failed to authenticate device <sip:192.168.18.220>;tag=NpjSNaUry0NrB
[2014-03-27 09:31:06] NOTICE[1842][C-0000016c] chan_sip.c: Failed to authenticate device <sip:192.168.18.220>;tag=pZBjQ5BvU9BBQ
[2014-03-27 09:31:34] NOTICE[1842][C-0000016d] chan_sip.c: Failed to authenticate device <sip:192.168.18.220>;tag=Q84aS0vZrj2Xj
[2014-03-27 09:31:50] NOTICE[1842][C-0000016e] chan_sip.c: Failed to authenticate device <sip:192.168.18.220>;tag=rHy3tUD3NUrge
[2014-03-27 09:36:16] NOTICE[1842][C-0000016f] chan_sip.c: Failed to authenticate device <sip:192.168.18.220>;tag=t3gNyHFagD5NN
[2014-03-27 09:36:50] NOTICE[1842][C-00000170] chan_sip.c: Failed to authenticate device <sip:192.168.18.220>;tag=Ucae0c0DDpU8g
[2014-03-27 09:38:13] NOTICE[1842][C-00000171] chan_sip.c: Failed to authenticate device <sip:192.168.18.220>;tag=vN3617gHaZHUc
[2014-03-27 10:40:56] NOTICE[1842][C-0000019c] chan_sip.c: Failed to authenticate device <sip:192.168.18.220>;tag=83428FHXe4e8c
[2014-03-27 10:41:25] NOTICE[1842][C-0000019d] chan_sip.c: Failed to authenticate device <sip:192.168.18.220>;tag=apQmc6j48NUDm
[2014-03-27 10:42:45] NOTICE[1842][C-0000019f] chan_sip.c: Failed to authenticate device <sip:192.168.18.220>;tag=c895FvmB377jB
[2014-03-27 10:43:08] NOTICE[1842][C-000001a0] chan_sip.c: Failed to authenticate device <sip:192.168.18.220>;tag=DH3yHQ5e0gy5p
[2014-03-27 10:43:31] NOTICE[1842][C-000001a1] chan_sip.c: Failed to authenticate device <sip:192.168.18.220>;tag=etvQKjpjXSmrj
[2014-03-27 10:43:54] NOTICE[1842][C-000001a3] chan_sip.c: Failed to authenticate device <sip:192.168.18.220>;tag=gcF9p8QSQB1XS
[2014-03-27 10:44:22] NOTICE[1842][C-000001a4] chan_sip.c: Failed to authenticate device <sip:192.168.18.220>;tag=HN81r38vmmQgN
[2014-03-27 10:44:57] NOTICE[1842][C-000001a5] chan_sip.c: Failed to authenticate device <sip:192.168.18.220>;tag=jy1ttyS0HXD3g
[2014-03-27 10:45:23] NOTICE[1842][C-000001a6] chan_sip.c: Failed to authenticate device <sip:192.168.18.220>;tag=K7tKvSa4e63Nc
[2014-03-27 10:47:20] NOTICE[1842][C-000001a7] chan_sip.c: Failed to authenticate device <sip:192.168.18.220>;tag=NSD5ZFcB9QgUK
[2014-03-27 10:47:50] NOTICE[1842][C-000001a8] chan_sip.c: Failed to authenticate device <sip:192.168.18.220>;tag=p26X1aXe606DF
[2014-03-27 10:48:17] NOTICE[1842][C-000001a9] chan_sip.c: Failed to authenticate device <sip:192.168.18.220>;tag=QB0p35Dj39v0a
[2014-03-27 10:48:43] NOTICE[1842][C-000001aa] chan_sip.c: Failed to authenticate device <sip:192.168.18.220>;tag=rmSF50yN0jKKp
[2014-03-27 10:49:08] NOTICE[1842][C-000001ab] chan_sip.c: Failed to authenticate device <sip:192.168.18.220>;tag=SXj86UFSXU95H
[2014-03-27 10:49:34] NOTICE[1842][C-000001ac] chan_sip.c: Failed to authenticate device <sip:192.168.18.220>;tag=t6B18p0vt4ZrD
[2014-03-27 10:55:41] NOTICE[1842][C-000001af] chan_sip.c: Failed to authenticate device <sip:192.168.18.220>;tag=0v3NKS5H9S58j
[2014-03-27 18:22:23] NOTICE[1842][C-0000029c] chan_sip.c: Failed to authenticate device <sip:192.168.18.220>;tag=eaDc0e7ZNB3vD
[2014-03-27 18:23:44] NOTICE[1842][C-0000029d] chan_sip.c: Failed to authenticate device <sip:192.168.18.220>;tag=gvZX3486FXF2m
[2014-03-27 18:28:06] NOTICE[1842][C-0000029f] chan_sip.c: Failed to authenticate device <sip:192.168.18.220>;tag=jejF7taeaFv7B
======================================================
Схожая проблема была с длинком DVG6004, там тоже отваливалась регистрация, но посерьезнее. Помогала перезагрузка астериск, но на некоторое время. Выставление параметра pedantic=no решило проблему на длинке. А в нашем случае-нет, опция уже стоит.
Перегрузка астериска я думаю и в нашем случае на время решит проблему, но это не выход.
Как мне объяснили коллеги, астериск ведет историю сгенерированных дайджестов и проверяет, был ли он уже сгенерирован. RFC недостаточно ясно говорит о времени устаревания, отсюда и конфликт.Как то так.
Итак,коллеги, что делать? Специально пока не буду ребутить шлюз, жду реакции

[powetr]

Хочу добавить, что есть также дамп с соседнего порта где вызовы проходят. Состояние устройства не менял. Отличия:никто не просит аутентифицироваться.

[powetr]

Еще дополнение.В случае с длинком направление поиска сразу было определено ответом stale=true.В данном же случае видимо дайджест считается
с 1824/1825 ( почему?), а аутентифицироваться им нужно 1829-му.

[powetr]

Ну, кто будет отвечать? Кому дампы слать? Или, по классику нашему русскому, А.П.Чехову, "Такого не может быть потому что не может быть никогда"?

[Женя]

Дампы и ссылку на это тему можете отправить на techsupp@eltex.nsk.ru

[powetr]

Решение найдено.Сыграло свою роль неоптимальная настройка под FreePBX: при создании extension нужные поля в sip*.conf не добавляются.
На выбор: создаете не extension, а trunk и определяете необходимые поля
[1829]
username=1829
fromuser=1829
defaultuser=1829
type=friend

Проблема была достаточно проста: астериск воспринимал звонок с тау на номер хотлайна как пришедший по пиру ( ошибочно указано было type=peer), однако совпадений ( match) по ip или порту много ( всего 8 портов ), определить пир не представлялось возможным- и астериск запрашивал аутентификацию.Поля же defaultuser определено не было, т.к. при создании extension средствами FreePBX данное поле не добавляется.
Возможно имя пользователя бралось из последней регистрации, тау отрабатывала корректно, и из-за несовпадений имен аутентификация не проходила- клиент отбивался.
Косвенно к проблеме примыкает другая особенность астериска: дампы показали, что обмен сообщениями sip идет всегда при udp src port= udp dst port!Возможно я ошибаюсь ( хотелось бы!), но по сообщению компетентных товарищей это фундаментальное ограничение архитектуры астериска,
или кратко- 2 и более sip профиля нереализуемы астериском на одном хосте. В принципе- некритично, с авторизацией получается надежнее и безопаснее, да только практика применения sip- провайдеров не подтверждает желаемое.
Возможно вышеизложенное будет кому-то полезно, ибо на форумах сообщения по теме "user mismatch" часто ведут не туда и ответа по существу не дается.

[ilygogin]

Прописал 601,602,603 fxs ,4001 fxo
[603]
username=603
fromuser=603
defaultuser=603
secret=*******
context = phones
type=friend
host=dynamic

[4001]
username=4001
fromuser=4001
defaultuser=4001
secret=*****
type=friend
host=dynamic
context=phones

Hot Line на 4001 прописан на 603
пару раз входящий проходил
ни чего не менял , при входящем пишет
[Sep 9 11:25:37] WARNING[5249][C-000000ad]: chan_sip.c:16405 check_auth: username mismatch, have <601>, digest has <4001>
[Sep 9 11:25:37] NOTICE[5249][C-000000ad]: chan_sip.c:25351 handle_request_invite: Failed to authenticate device <sip:172.17.250.51>;tag=4aXgF9jjZgj8D

каким боком 601 не понимаю

[2life]

Выложите вывод команды

Код: Выделить всё

asterisk -rx 'sip show peers'

сюда для номеров 603 и 4001,
а так же

Код: Выделить всё

asterisk -rx 'sip show peer 603'

и

Код: Выделить всё

asterisk -rx 'sip show peer 4001'

И еще я бы посоветовал fxo номер 4001 засунуть в отдельный контекст (from-pstn)

[ilygogin]

пока экспериментировал 4001 заменил на 401


asterisk -rx 'sip show peers'
Name/username Host Dyn Forcerport ACL Port Status Description
401/401 172.17.250.8 D a 5060 Unmonitored
601/601 172.17.250.8 D a 5060 Unmonitored
602/602 172.17.250.8 D a 5060 Unmonitored
603/603 172.17.250.205 D a 63372 Unmonitored
asterisk -rx 'sip show peer 603'

astr*CLI> sip show peer 603


* Name : 603
Description :
Secret : <Set>
MD5Secret : <Not set>
Remote Secret: <Not set>
Context : phones
Record On feature : automon
Record Off feature : automon
Subscr.Cont. : <Not set>
Language : ru
Tonezone : <Not set>
AMA flags : Unknown
Transfer mode: open
CallingPres : Presentation Allowed, Not Screened
FromUser : 603
Callgroup :
Pickupgroup :
Named Callgr :
Nam. Pickupgr:
MOH Suggest :
Mailbox :
VM Extension : asterisk
LastMsgsSent : 32767/65535
Call limit : 0
Max forwards : 0
Dynamic : Yes
Callerid : "" <>
MaxCallBR : 384 kbps
Expire : 68
Insecure : no
Force rport : Auto (No)
Symmetric RTP: No
ACL : No
DirectMedACL : No
T.38 support : No
T.38 EC mode : Unknown
T.38 MaxDtgrm: -1
DirectMedia : Yes
PromiscRedir : No
User=Phone : No
Video Support: No
Text Support : No
Ign SDP ver : No
Trust RPID : No
Send RPID : No
Subscriptions: Yes
Overlap dial : Yes
DTMFmode : rfc2833
Timer T1 : 500
Timer B : 32000
ToHost :
Addr->IP : 172.17.250.205:63372
Defaddr->IP : (null)
Prim.Transp. : UDP
Allowed.Trsp : UDP
Def. Username: 603
SIP Options : (none)
Codecs : (gsm|ulaw|alaw|h263|testlaw)
Codec Order : (none)
Auto-Framing : No
Status : Unmonitored
Useragent : 3CXPhone 6.0.18815.0
Reg. Contact : sip:603@172.17.250.205:63372;rinstance=271b215bfa8ed63d
Qualify Freq : 60000 ms
Keepalive : 0 ms
Sess-Timers : Accept
Sess-Refresh : uas
Sess-Expires : 1800 secs
Min-Sess : 90 secs
RTP Engine : asterisk
Parkinglot :
Use Reason : No
Encryption : No

astr*CLI> sip show peer 401


* Name : 401
Description :
Secret : <Set>
MD5Secret : <Not set>
Remote Secret: <Not set>
Context : phones
Record On feature : automon
Record Off feature : automon
Subscr.Cont. : <Not set>
Language : ru
Tonezone : <Not set>
AMA flags : Unknown
Transfer mode: open
CallingPres : Presentation Allowed, Not Screened
FromUser : 401
Callgroup :
Pickupgroup :
Named Callgr :
Nam. Pickupgr:
MOH Suggest :
Mailbox :
VM Extension : asterisk
LastMsgsSent : 0/0
Call limit : 0
Max forwards : 0
Dynamic : Yes
Callerid : "" <>
MaxCallBR : 384 kbps
Expire : 1407
Insecure : no
Force rport : Auto (No)
Symmetric RTP: No
ACL : No
DirectMedACL : No
T.38 support : No
T.38 EC mode : Unknown
T.38 MaxDtgrm: -1
DirectMedia : Yes
PromiscRedir : No
User=Phone : No
Video Support: No
Text Support : No
Ign SDP ver : No
Trust RPID : No
Send RPID : No
Subscriptions: Yes
Overlap dial : Yes
DTMFmode : rfc2833
Timer T1 : 500
Timer B : 32000
ToHost :
Addr->IP : 172.17.250.8:5060
Defaddr->IP : (null)
Prim.Transp. : UDP
Allowed.Trsp : UDP
Def. Username: 401
SIP Options : (none)
Codecs : (gsm|ulaw|alaw|h263|testlaw)
Codec Order : (none)
Auto-Framing : No
Status : Unmonitored
Useragent :
Reg. Contact : sip:401@172.17.250.8
Qualify Freq : 60000 ms
Keepalive : 0 ms
Sess-Timers : Accept
Sess-Refresh : uas
Sess-Expires : 1800 secs
Min-Sess : 90 secs
RTP Engine : asterisk
Parkinglot :
Use Reason : No
Encryption : No

[2life]

Ничего подозрительного не видно.

А можете скриншот настроек, где у вас прописана регистрация на номер 401 ?

[ilygogin]

После снятия галки Use PSTN CallerID входящие заходили.

[vanderverken]

После снятия галки Use PSTN CallerID входящие заходили.

была та же проблема, вывих мозга заработал пытаясь разобраться!
Спасибо за подсказку!!!