40 просмотров
от (260 баллов) в категории Тонкая настройка
Добрый день!

У меня MikoPBX стоит на локальной машине за NAT, на роутере к ней проброшены порты 5060,10000-10100.

Все телефоны подключаются только из локальной подсети и у каждого  в расширенных настройках указана локальная подсеть.

Но тем не менее в разделе "Защита от взлома" вижу, такую картину:

Ошибки авторизации SIP или AMI (public)      193.107.216.4    18.02.2021, 20:15:05      

Ошибки авторизации SIP или AMI (public)      67.211.219.146  18.02.2021, 20:13:24      

Ошибки авторизации SIP или AMI (security_log)         45.89.175.56      18.02.2021, 20:12:17

Закрыться от этого никак нельзя с моей конфигурацией?

Порты на роутере открыл только потому, что была односторонняя слышимость при звонках, поступающих от провайдера MTS Автосекретарь.

Но еще больше меня интересует, то что я вижу в системных логах в файле messages:

res_pjsip_session.c: Call from 'anonymous' (UDP:185.176.220.54:62845) to extension '00016167378257' rejected because extension not found in context 'public-direct-dial'.

NOTICE[9192] res_pjsip_session.c: Call from 'anonymous' (UDP:185.176.220.52:64109) to extension '181019123903508' rejected because extension not found in context 'public-direct-dial'.

[NOTICE[9192] res_pjsip_session.c: Call from 'anonymous' (UDP:185.176.220.53:49793) to extension '90015304887047' rejected because extension not found in context 'public-direct-dial'.

NOTICE[9192] res_pjsip_session.c: Call from 'anonymous' (UDP:193.107.216.5:65508) to extension '9810441793291007' rejected because extension not found in context 'public-direct-dial'.

Что это за 'anonymous'? Как его заблокировать?

И неужели, если бы у меня были подходящие исходящие маршруты, то вызовы бы проходили?

1 Ответ

от (77.4 тыс. баллов)

В вашем случае так как проброшены порты, то АТС доступна для попыток подключения из интернет. 

Рекомендую связаться с ТП "MTS Автосекретарь" узнать все их IP адреса и в сетевом экране разрешить подключения только с этих адресов. 

В актуальной версии АТС это проще сделать через интерфейс учетной записи "Провайдеры телефонии

Опишите "Дополнительные адреса провайдера" - В этом разделе следует перечислить все адреса Поставщика услуг связи, с которых могут приходит входящие звонки. Доступ для этих адресов к портам SIP и RTP будет автоматически открыт на firewall.

Также в "Общие настройки" следует запретить анонимные звонки см. опцию "Разрешить входящие звонки с любых серверов"

от (260 баллов)
редактировать от

Спасибо за ответ!

По поводу попыток авторизации понял, это я смогу заблокировать.

А вот по поводу звонков от «anonymous» не совсем понятно. Получается какой-то «anonymous» пытается звонить на мои внутренние номера, которых не знает. Зачем? Какой ему интерес?...

Я в Общих настройках не смог найти опцию «Разрешить входящие звонки с любых серверов».

Но нашел опцию «Доверять этому провайдеру и принимать от него любые звонки без аутентификации» в параметрах провайдера, но нет её описания на сайте, предположил, что она может помочь.

 У меня в настройках провайдера МТС Автосекретаря опция «Доверять этому провайдеру и принимать от него любые звонки без аутентификации» была отключена.

Но есть у меня еще GSM шлюз в этой же локальной сети, на роутере к шлюзу никакие порты не проброшены, он же вроде невидим извне.

В провайдере данного шлюза опция «Доверять этому провайдеру и принимать от него любые звонки без аутентификации» была включена. Я её выключил, но «anonymous» всё еще пытается позвонить.

Как же от него избавиться-то всё-таки?...

от (77.4 тыс. баллов)

Получается какой-то «anonymous» пытается звонить на мои внутренние номера, которых не знает

Это один из видов атак на публичные АТС. 

не смог найти опцию «Разрешить входящие звонки с любых серверов».

Убедитесь, что используете актуальную версию АТС. 

Доверять этому провайдеру и принимать от него любые звонки без аутентификации» в параметрах провайдера,

Это опция относится к конкретному "провайдеру", "Разрешить входящие звонки с любых серверов" - это глобальная опция для АТС, разрешает принимать вызовы без авторизации. 

Как же от него избавиться-то всё-таки?...

Уже писал о вариантах ранее. Нужно в сетевом экрана разрешить подключение только с адресов МТС. Тогда все посторонние запросы будут отклонятся. 

На этом сайте можно бесплатно задать вопрос разработчикам MikoPBX и другим членам сообщества. Время ответа не регламентированно, но мы стараемся несколько раз в день заглядывать сюда. Для срочного решения проблем обращайтесь на платную линию поддержки

Популярные теги

askozia входящие-вызовы настройка провайдер ivr запись-разговоров маршрутизация провайдеры очередь обновление askozia7 исходящие-звонки маршрут askozia6 запись очередь-вызовов транк переадресация исходящие факс перевод callerid перевод-вызова установка логи перехват-вызова веб-интерфейс релиз история голосовая-почта звонок настройка-провайдер ascozia мобильный интеграция почта gsm редактор nat goip аон маршруты провайдеров вызовы панель-телефонии-1с asterisk разговоров панель нерабочее-время битрикс телефонная-книга диалплан тишина время smtp лицензия история-звонков внешние-номера askozia-5 bitrix24 битрикс24 донабор переадресация-мобильный префиксы статистика monitoring входящие ошибка голосовая парковка перехват вызовов номер vmware мультифон мегафон sip #mikopbx запись-разговора mikopbx beta задержки сетевые beeline альтернативный взлом оповещения звонков fax cisco cdr входящих модуль меню телефонная ростелеком skype настройки ssh

1.9 тыс. вопросов

1.7 тыс. ответов

4.2 тыс. комментариев

6.5 тыс. пользователей

...