SMG1016M SIP Registrar

[sattellite]

Сделали динамического абонента, который все запросы SIP REGISTER отправляет на RADIUS сервер. Eltext настроен работать через RFC4590-no-challenge. При верной комбинации логин-пароль, все отлично. В RADIUS пересылаются все данные для вычисления digest-response. RADIUS отвечает, что Auth-Type = Accept, по SIP соответственно приходит OK.
Но для заведомо неверной комбинации логин-пароль все работает сказочным образом. Тестируется все с помощью sipsak:

Код: Выделить всё

% sudo sipsak -U -d -n -x 3600 -C sip:123456@10.0.0.1:5060 -s sip:123456@172.16.16.1 -u 123 -H 10.0.0.1 -a fake -vvv

registering user 123456...
request:
REGISTER sip:172.16.16.1 SIP/2.0
Via: SIP/2.0/UDP 10.0.0.1:53474
From: sip:123456@172.16.16.1
To: sip:123456@172.16.16.1

send to: UDP:172.16.16.1:5060
authorizing

received:
SIP/2.0 401 Unauthorized
From: sip:123456@172.16.16.1;tag=2d1c888d
To: <sip:123456@172.16.16.1>;tag=255856356e225425672497
WWW-Authenticate: Digest realm="172.16.16.1",nonce="a4de8c0735f7726b088d607dfdccac07",algorithm=MD5
User-Agent: Eltex SMG SIP 2.12.215
Content-Length: 0


registering user 123456...
request:
REGISTER sip:172.16.16.1 SIP/2.0
Authorization: Digest username="123456", uri="sip:172.16.16.1", algorithm=MD5, realm="172.16.16.1", nonce="a4de8c0735f7726b088d607dfdccac07", response="720d3112f6767ad493fdead5ba653b14"
Via: SIP/2.0/UDP 10.0.0.1:53474
From: sip:123456@172.16.16.1
To: sip:123456@172.16.16.1

send to: UDP:172.16.16.1:5060
timeout after 500 ms
registering user 123456...
request:
REGISTER sip:172.16.16.1 SIP/2.0
Authorization: Digest username="123456", uri="sip:172.16.16.1", algorithm=MD5, realm="172.16.16.1", nonce="a4de8c0735f7726b088d607dfdccac07", response="720d3112f6767ad493fdead5ba653b14"
Via: SIP/2.0/UDP 10.0.0.1:53474
From: sip:123456@172.16.16.1
To: sip:123456@172.16.16.1


send to: UDP:172.16.16.1:5060
timeout after 1000 ms
registering user 123456...
request:
REGISTER sip:172.16.16.1 SIP/2.0
Authorization: Digest username="123456", uri="sip:172.16.16.1", algorithm=MD5, realm="172.16.16.1", nonce="a4de8c0735f7726b088d607dfdccac07", response="720d3112f6767ad493fdead5ba653b14"
Via: SIP/2.0/UDP 10.0.0.1:53474
From: sip:123456@172.16.16.1
To: sip:123456@172.16.16.1

send to: UDP:172.16.16.1:5060

received:
SIP/2.0 200 OK
From: sip:123456@172.16.16.1;tag=2d1c888d
To: <sip:123456@172.16.16.1>;tag=255856356e234a5748273
User-Agent: Eltex SMG SIP 2.12.215

Сообщения сильно сокращены, но ситуацию отображают. На первый REGISTER с полными данными нет ответа, переотправляем, снова переотправляем. В RADIUS приходят все запросы на регистрацию и на все отбивается Auth-Type = Reject.

Версия ПО V.2.12.02.547. L. M. [SIPu] Build: Jun 14 2013 14:02:16

Теперь собственно вопрос: что заставляет Eltex считать регистрацию успешной после трех Reject подряд?

[Женя]

пришлите файл конфигурации SMG

[sattellite]

Отправил Вам на почту

[Bokrenok]

Теперь собственно вопрос: что заставляет Eltex считать регистрацию успешной после трех Reject подряд?

Судя по перепосылкам сообщения Register, SMG не смогла корректно обработать Reject.
В следствие чего решила, что сервер вообще не отвечает.

А раз сервер считается недоступным, то регистрация принимается, но с ограничениями: вызовы абонента возможны только на спецслужбы. На любые другие направления вызов будет отклонён.

[Женя]

Конфига оказалось мало.
Нужен еще tcpdump с интерфейса eth0 без фильтров и лог PBX_SIP.

[sattellite]

Отправил на почту.
Сначала фейл-регистрация на отключенный сервер. Потом регистрация на включенный сервер, возвращающий Reject.

[Женя]

У Вас задержки большие..
попробуйте увеличть "Таймаут ответа сервера (х100 мс) " в настройках Серверов Radius

[sattellite]

Как ни странно, но помогло. Спасибо.
Но есть возражение! Функциональность RADIUS только пишется и на данный момент скорость выполнения в случаях Accept и Reject абсолютно одинаковая. Даже если на аутентификацию сразу отбиваться Reject'ом, то все равно проходила регистрация. Может есть какие-то ограничение в самом Eltex'е?

[Женя]

Вы же сами писали что у Вас режим RFC4590-no-challenge
в этом случае такой обмен сообщениями:

Код: Выделить всё

-->REGISTER
<--401 (аутентификация)
--> REGISTER (аутентификация)
                                                              ---> RADIUS request

т.е. регистрация проходит без участия радиус сервера, а на радиус сразу отправляется запрос с digest.
Или я Вас не так понял?[/code]

[sattellite]

Не так поняли. Приведу выдержку из draft-sterman http://tools.ietf.org/html/draft-sterma ... tion-1.3.1

И в том и в другом случае ответ (5) от RADIUS приходит моментально. Даже если сразу отключить проверку и выдавать Reject (ну на какую-то десятитысячную секунды будет быстрее точно).
Клиент долбит в Eltex, Eltex в RADIUS (ну тут с условием еще что Eltex отдает Unauthorized. Просто упрощаем чуть, т.к. эта часть работает верно и правильно), RADIUS моментально возвращает Reject. Клиенту не приходит Forbidden. Клиент повторно через 500мс отправляет запрос и опять ему ничего не приходит, клиент через 1000мс повторяет, опять ничего нет, и через 2000мс ничего нет клиенту и тут вдруг Eltex решает отдать ему OK. То есть на все 4 запроса (3 повторных) ответа от радиуса клиенту через eltex нет. Хотя радиус 4 раза отдолбился Reject'ом в Eltex.

Но в случае удачной авторизации все проходит и со стандартными задержками с первого раза. (Тут не берется в учет то, что удачная авторизация в модуле RADIUS по логике и процессу отрабатывает дольше, чем неудачная)

[sattellite]

И считаю такое поведение не нормальным. Рассмотрите, пожалуйста, в своем софте такое поведение.