no reply to our critical SIP packet. - asterisk-es | Grupos de Google: "Si el prblema lo tienes con una extension remota y no con una local,
tu pregunta está respondida al formularse.
Seguramente algún problema al hacer NAT detrás de un router. Si tienes
routers o firewalls en medio, comprueba que la configuración de estos
sea la correcta.
Saludos (te dejo una copia del documento de Asterisk que explica un
poco el por que de estas situaciones)
docs/sip-retransmit.txt
What is the problem with SIP retransmits?
-----------------------------------------
Sometimes you get messages in the console like these:
- 'retrans_pkt: Hanging up call XX77yy - no reply to our critical
packet.'
- 'retrans_pkt: Cancelling retransmit of OPTIONs'
The SIP protocol is based on requests and replies. Both sides send
requests and wait for replies. Some of these requests are important.
In a TCP/IP network many things can happen with IP packets. Firewalls,
NAT devices, Session Border Controllers and SIP Proxys are in the
signalling path and they will affect the call.
SIP Call setup - INVITE-200 OK - ACK
------------------------------------
To set up a SIP call, there's an INVITE transaction. The SIP software
that
initiates the call sends an INVITE, then wait to get a reply. When a
reply arrives, the ca"
22 mar 2009
Open source IP PBX: Pingtel SIPxchange - Network World
Open source IP PBX: Pingtel SIPxchange - Network World: "Open source IP PBX: Pingtel SIPxchange"
Of Pingtel's three open source IP PBXs, we tested SIPxchange Enterprise Communication Server, Version 3.7. Pingtel also has the SIPxNano for fewer than 30 users, as well as a free, downloadable version of its sipX product, which is supported by the SIPfoundry open source community.
We installed SIPxchange from a single CD that included the Linux CentOS 4 and the IP PBX software. The installation requires the administrator to enter information about 15 system and network parameters using a basic GUI; the system was up and running in 15 minutes. A second system was brought online to test failover support
The core infrastructure of the Pingtel system is completely rooted in SIP, and can be installed on multiple Linux kernels or ported to Sun Solaris. No media streams pass through the SIPxchange server. RTP streams are passed directly between endpoints with just call-control messages relayed to the server.
This allows for reduced workload requirements on the IP PBX system, which gives Pingtel an architectural advantage over most. The other servers included with the product -- such as authentication, registration and presence servers -- are software stacks running on the same physical box but are isolated from the IP PBX from a software perspective. So if one of them has issues, it does not bring down the others.
The administrative Web interface allows for quick and easy setup and management. New users can be provisioned and configured separately or as a group. For large numbers of new users, the interface's support for a CSV format lets you import settings from an Excel spreadsheet. The proper format for the CSV file is included on the "add users" interface.
Because SIPxchange is exclusively SIP-based, adding gateways and other SIP devices is as easy as adding a user to the system. Outbound and inbound call route plans can then be developed from the default settings and used.
For high availability the SIPxchange system can be configured for load balancing and redundancy with multiple servers in multiple locations. When we simulated a catastrophic failover, we found that as long as the endpoint being used supported more then one DNS SRV record, it was able to fail over automatically. Because the calls handled by the Pingtel system are randomly load-balanced, service was not interrupted for some of the endpoints that were registered to the failover call controller.
* 2
An open source group has posted free Session Initiation Protocol-based PBX software that lets businesses create their own phone switches from standard Linux servers - but drawing business customers to the technology could be an uphill effort.
Called sipX, the PBX offering is compatible with SIP phones and media gateways that can change IP voice to traditional TDM voice and vice versa so calls can be switched onto traditional phone networks.
SipX was written by SIPFoundry, whose goal is to encourage businesses to develop interoperable SIP products so end users can readily take advantage of SIP features, such as presence, without tweaking the equipment they use. The organization considers itself a developer community where members can contribute to writing open source code, similar to the Linux development community.
Development of sipX parallels similar efforts that produced Asterisk free PBX software, backed by equipment vendor Digium. Asterisk was released last September.
While free software might be attractive to some, it is unlikely to become a major force in large businesses. "It has potential for small organizations or homes, but it's unlikely to make a significant dent in the enterprise," where customers want more than just a PBX, says Paul Strauss, a research manager at IDC. "You do need support; you do want assurances of quality; you do need to see what's going on inside it; you want the vendor to sell you phones."
SIPFoundry's key founder, PingTel, says it hopes that businesses interested in the open source SIP software will buy it along with supplemental software tools and support from PingTel, using the same model Red Hat uses with Linux. PingTel sells PBX support services wrapped around a version of sipX.
Sterling National Bank in New York says it likes the idea of open source PBX software, but chose to acquire it through PingTel and hire the vendor to support the bank's phone system rather than go it alone. "We're probably not that brave," says Eliot Robinson, the bank's executive vice president. "We want somebody to call on when we need some help to configure the system or to support some users' specific requests."
He says he also likes the idea of an open source development community that he believes will innovate new features quickly. "It's good to know there's multiple developers out there enhancing the system," he says.
Of Pingtel's three open source IP PBXs, we tested SIPxchange Enterprise Communication Server, Version 3.7. Pingtel also has the SIPxNano for fewer than 30 users, as well as a free, downloadable version of its sipX product, which is supported by the SIPfoundry open source community.
We installed SIPxchange from a single CD that included the Linux CentOS 4 and the IP PBX software. The installation requires the administrator to enter information about 15 system and network parameters using a basic GUI; the system was up and running in 15 minutes. A second system was brought online to test failover support
The core infrastructure of the Pingtel system is completely rooted in SIP, and can be installed on multiple Linux kernels or ported to Sun Solaris. No media streams pass through the SIPxchange server. RTP streams are passed directly between endpoints with just call-control messages relayed to the server.
This allows for reduced workload requirements on the IP PBX system, which gives Pingtel an architectural advantage over most. The other servers included with the product -- such as authentication, registration and presence servers -- are software stacks running on the same physical box but are isolated from the IP PBX from a software perspective. So if one of them has issues, it does not bring down the others.
The administrative Web interface allows for quick and easy setup and management. New users can be provisioned and configured separately or as a group. For large numbers of new users, the interface's support for a CSV format lets you import settings from an Excel spreadsheet. The proper format for the CSV file is included on the "add users" interface.
Because SIPxchange is exclusively SIP-based, adding gateways and other SIP devices is as easy as adding a user to the system. Outbound and inbound call route plans can then be developed from the default settings and used.
For high availability the SIPxchange system can be configured for load balancing and redundancy with multiple servers in multiple locations. When we simulated a catastrophic failover, we found that as long as the endpoint being used supported more then one DNS SRV record, it was able to fail over automatically. Because the calls handled by the Pingtel system are randomly load-balanced, service was not interrupted for some of the endpoints that were registered to the failover call controller.
* 2
An open source group has posted free Session Initiation Protocol-based PBX software that lets businesses create their own phone switches from standard Linux servers - but drawing business customers to the technology could be an uphill effort.
Called sipX, the PBX offering is compatible with SIP phones and media gateways that can change IP voice to traditional TDM voice and vice versa so calls can be switched onto traditional phone networks.
SipX was written by SIPFoundry, whose goal is to encourage businesses to develop interoperable SIP products so end users can readily take advantage of SIP features, such as presence, without tweaking the equipment they use. The organization considers itself a developer community where members can contribute to writing open source code, similar to the Linux development community.
Development of sipX parallels similar efforts that produced Asterisk free PBX software, backed by equipment vendor Digium. Asterisk was released last September.
While free software might be attractive to some, it is unlikely to become a major force in large businesses. "It has potential for small organizations or homes, but it's unlikely to make a significant dent in the enterprise," where customers want more than just a PBX, says Paul Strauss, a research manager at IDC. "You do need support; you do want assurances of quality; you do need to see what's going on inside it; you want the vendor to sell you phones."
SIPFoundry's key founder, PingTel, says it hopes that businesses interested in the open source SIP software will buy it along with supplemental software tools and support from PingTel, using the same model Red Hat uses with Linux. PingTel sells PBX support services wrapped around a version of sipX.
Sterling National Bank in New York says it likes the idea of open source PBX software, but chose to acquire it through PingTel and hire the vendor to support the bank's phone system rather than go it alone. "We're probably not that brave," says Eliot Robinson, the bank's executive vice president. "We want somebody to call on when we need some help to configure the system or to support some users' specific requests."
He says he also likes the idea of an open source development community that he believes will innovate new features quickly. "It's good to know there's multiple developers out there enhancing the system," he says.
21 mar 2009
» El mercado de las comunicaciones Abiertas crecen imparables :: SinoLogic :: Noticias y comentarios sobre VoIP, Asterisk, PBX, GUI, SIP, Unified Communications, etc...
» El mercado de las comunicaciones Abiertas crecen imparables :: SinoLogic :: Noticias y comentarios sobre VoIP, Asterisk, PBX, GUI, SIP, Unified Communications, etc...: "El mercado de las comunicaciones Abiertas crecen imparables
Por un mensaje de Twitter de Russell Bryant me entero de una noticia bastante interesante:
En los EEUU, el mercado de las comunicaciones “opensource” han crecido hasta situarse en el 18% del total de sistemas desplegados donde también se encuentran Cisco, Avaya, Nortel y muchísimas otras y un 18% no es, ni mucho menos, una cifra pequeña donde, dentro de este 18%, Asterisk engloba el 85%, o lo que es lo mismo, de todos los sistemas de comunicaciones de EEUU, el 15% son sistemas Asterisk (Digium, Sangoma, Polycom, Aastra, …) algo que muestra un crecimiento realmente grande."
Esta es sin duda una buena noticia para los defensores del software libre y una noticia mejor para los que trabajamos con Asterisk.
http://www.sinologic.net/wp-content/uploads/2009/02/malone-figure-1.jpg
Aquí podeis ver el estudio completo.
http://www.nojitter.com/showArticle.jhtml?articleID=212903167&pgno=1&queryText=
Por un mensaje de Twitter de Russell Bryant me entero de una noticia bastante interesante:
En los EEUU, el mercado de las comunicaciones “opensource” han crecido hasta situarse en el 18% del total de sistemas desplegados donde también se encuentran Cisco, Avaya, Nortel y muchísimas otras y un 18% no es, ni mucho menos, una cifra pequeña donde, dentro de este 18%, Asterisk engloba el 85%, o lo que es lo mismo, de todos los sistemas de comunicaciones de EEUU, el 15% son sistemas Asterisk (Digium, Sangoma, Polycom, Aastra, …) algo que muestra un crecimiento realmente grande."
Esta es sin duda una buena noticia para los defensores del software libre y una noticia mejor para los que trabajamos con Asterisk.
http://www.sinologic.net/wp-content/uploads/2009/02/malone-figure-1.jpg
Aquí podeis ver el estudio completo.
http://www.nojitter.com/showArticle.jhtml?articleID=212903167&pgno=1&queryText=
» La VoIP mal configurada llama a Cuba :: SinoLogic :: Noticias y comentarios sobre VoIP, Asterisk, PBX, GUI, SIP, Unified Communications, etc...
» La VoIP mal configurada llama a Cuba :: SinoLogic :: Noticias y comentarios sobre VoIP, Asterisk, PBX, GUI, SIP, Unified Communications, etc...: "La VoIP mal configurada llama a Cuba
Ya lo decía un empresario bloguero de un proveedor VoIP, cuando escribió un artículo comentando que por tener un Asterisk antiguo y mal configurado, alguien había descubierto una vulnerabilidad y había aprovechado su infraestructura para hacer miles de llamadas internacionales (varios miles de euros) y en aquel entonces, quizá la ignorancia, la falta de seguridad o simplemente el azar le costó su buen dinerito.
Hace poco un amigo me lo comentaba también, parece ser que bastantes “phreakers” se están aprovechando de vulnerabilidades de cualquier sistema VoIP o de una mala configuración para enviar peticiones INVITE (SIP) y poder hacer llamadas a Cuba a costa de los dueños de este equipamiento. Claro, las llamadas deben pagarse y ver en una factura cientos o miles de llamadas a Cuba no es precisamente barato. No únicamente a Cuba, estos asaltantes aprovechan tu “libre disposición de tu sistema VoIP” para llamar a cualquier país, o incluso a números Premium (los _[89]0[3456]XXXXXX) cuyos beneficiarios son, casualmente, ellos mismos, o algún familiar.
Al cabo de un tiempo, empecé a ver en algunos logs de varios Asterisk, intentos de registro, paquetes INVITES que llegaban desde IPs procedentes de Taiwan, China, Ukrania, Rusia, … y claro, como era evidente, cualquier petición iba diréctamente a la “i” de invalid. :D pero me llamó la atención la “agresividad extrema” con la que intentan enviar paquetes INVITE en cuanto descubren un puerto 5060 UDP abierto.
Pero no es únicamente Asterisk, realmente cualquier sistema tiene sus vulnerabilidades e incluso en sistemas cerrados como Cisco, Nortel y Avaya. Ya aparecen comentarios de administradores de sistemas propietarios anunciando sus ataques a las vulnerabilidades aún no descubiertas ni parcheadas. Esto es algo que se veía venir cuando uno observa el ritmo en el que avanza la VoIP. La ventaja de Asterisk es que la vulnerabilidad generalmente se corrige a las pocas horas de ser descubiertas, mientras que otros sistemas esperan “al segundo -martes- de cada mes” para hacerla pública junto con la corrección, pero para entonces, la empresa ya está arruinada, así que ya lo sabeis… en caso de duda, siempre es más seguro apostar por el software libre. :P
Estos ataques no son fáciles de evitar, pero perfectamente posibles. ¿cómo?
- Estando al día en actualizaciones, vulnerabilidades y soluciones.
- Llevando un control exaustivo del sistema (versiones de paquetes, actualizando cada dos por tres)
- Observando los logs del sistema (comprobando los accesos y los intentos de ataques)
- Evitando utilizar puertos estándares (5060, 4569, 80, 22, etc…)
- Conociendo perféctamente el sistema por dentro
- Llevando un mantenimiento contínuo
- Una buena “educación” que nos enseñe a programar y configurar el sistema adecuadamente.
Ejemplo: De poco nos sirve tener en el contexto [general] del sip.conf el parámetro ‘context=default‘, si luego en el contexto [default] del extensions.conf tenemos algo como: include=>salientes
Estos fallos son de “tarjeta roja y expulsión“, pero por desgracia cada vez más frecuentes.
¿Soluciones a estos ataques?
- Un firewall, un mísero firewall puede librarnos de muchos problemas.
- Herramientas como el “archiconocido” PortSentry para evitar escaneos y ataques DoS
- Denegar peticiones al 5060/4569 UDP desde el exterior siempre que no tengamos usuarios SIP/IAX externos.
- Deshabilitar el “allowguest=yes” que traen algunos interfaces habilitado de serie. ¬¬ (estas cosas mosquean).
- DROPear cualquier paquete procedente de cualquier IP que no sea de nuestra red de confianza.
- Configurar el “realm”, “defaultuser” y el parámetro “secret” SIEMPRE.
y sobre todo… un poco de sentido común y seguridad a la hora de permitir llamadas salientes… que ningún usuario llama 400 veces a Cuba el mismo día… :)
Nada, que os sea útil este aviso.
Ya lo decía un empresario bloguero de un proveedor VoIP, cuando escribió un artículo comentando que por tener un Asterisk antiguo y mal configurado, alguien había descubierto una vulnerabilidad y había aprovechado su infraestructura para hacer miles de llamadas internacionales (varios miles de euros) y en aquel entonces, quizá la ignorancia, la falta de seguridad o simplemente el azar le costó su buen dinerito.
Hace poco un amigo me lo comentaba también, parece ser que bastantes “phreakers” se están aprovechando de vulnerabilidades de cualquier sistema VoIP o de una mala configuración para enviar peticiones INVITE (SIP) y poder hacer llamadas a Cuba a costa de los dueños de este equipamiento. Claro, las llamadas deben pagarse y ver en una factura cientos o miles de llamadas a Cuba no es precisamente barato. No únicamente a Cuba, estos asaltantes aprovechan tu “libre disposición de tu sistema VoIP” para llamar a cualquier país, o incluso a números Premium (los _[89]0[3456]XXXXXX) cuyos beneficiarios son, casualmente, ellos mismos, o algún familiar.
Al cabo de un tiempo, empecé a ver en algunos logs de varios Asterisk, intentos de registro, paquetes INVITES que llegaban desde IPs procedentes de Taiwan, China, Ukrania, Rusia, … y claro, como era evidente, cualquier petición iba diréctamente a la “i” de invalid. :D pero me llamó la atención la “agresividad extrema” con la que intentan enviar paquetes INVITE en cuanto descubren un puerto 5060 UDP abierto.
Pero no es únicamente Asterisk, realmente cualquier sistema tiene sus vulnerabilidades e incluso en sistemas cerrados como Cisco, Nortel y Avaya. Ya aparecen comentarios de administradores de sistemas propietarios anunciando sus ataques a las vulnerabilidades aún no descubiertas ni parcheadas. Esto es algo que se veía venir cuando uno observa el ritmo en el que avanza la VoIP. La ventaja de Asterisk es que la vulnerabilidad generalmente se corrige a las pocas horas de ser descubiertas, mientras que otros sistemas esperan “al segundo -martes- de cada mes” para hacerla pública junto con la corrección, pero para entonces, la empresa ya está arruinada, así que ya lo sabeis… en caso de duda, siempre es más seguro apostar por el software libre. :P
Estos ataques no son fáciles de evitar, pero perfectamente posibles. ¿cómo?
- Estando al día en actualizaciones, vulnerabilidades y soluciones.
- Llevando un control exaustivo del sistema (versiones de paquetes, actualizando cada dos por tres)
- Observando los logs del sistema (comprobando los accesos y los intentos de ataques)
- Evitando utilizar puertos estándares (5060, 4569, 80, 22, etc…)
- Conociendo perféctamente el sistema por dentro
- Llevando un mantenimiento contínuo
- Una buena “educación” que nos enseñe a programar y configurar el sistema adecuadamente.
Ejemplo: De poco nos sirve tener en el contexto [general] del sip.conf el parámetro ‘context=default‘, si luego en el contexto [default] del extensions.conf tenemos algo como: include=>salientes
Estos fallos son de “tarjeta roja y expulsión“, pero por desgracia cada vez más frecuentes.
¿Soluciones a estos ataques?
- Un firewall, un mísero firewall puede librarnos de muchos problemas.
- Herramientas como el “archiconocido” PortSentry para evitar escaneos y ataques DoS
- Denegar peticiones al 5060/4569 UDP desde el exterior siempre que no tengamos usuarios SIP/IAX externos.
- Deshabilitar el “allowguest=yes” que traen algunos interfaces habilitado de serie. ¬¬ (estas cosas mosquean).
- DROPear cualquier paquete procedente de cualquier IP que no sea de nuestra red de confianza.
- Configurar el “realm”, “defaultuser” y el parámetro “secret” SIEMPRE.
y sobre todo… un poco de sentido común y seguridad a la hora de permitir llamadas salientes… que ningún usuario llama 400 veces a Cuba el mismo día… :)
Nada, que os sea útil este aviso.
Suscribirse a:
Entradas (Atom)