438 просмотров
от (460 баллов) в категории Тонкая настройка
Добрый день!

У меня MikoPBX стоит на локальной машине за NAT, на роутере к ней проброшены порты 5060,10000-10100.

Все телефоны подключаются только из локальной подсети и у каждого  в расширенных настройках указана локальная подсеть.

Но тем не менее в разделе "Защита от взлома" вижу, такую картину:

Ошибки авторизации SIP или AMI (public)      193.107.216.4    18.02.2021, 20:15:05      

Ошибки авторизации SIP или AMI (public)      67.211.219.146  18.02.2021, 20:13:24      

Ошибки авторизации SIP или AMI (security_log)         45.89.175.56      18.02.2021, 20:12:17

Закрыться от этого никак нельзя с моей конфигурацией?

Порты на роутере открыл только потому, что была односторонняя слышимость при звонках, поступающих от провайдера MTS Автосекретарь.

Но еще больше меня интересует, то что я вижу в системных логах в файле messages:

res_pjsip_session.c: Call from 'anonymous' (UDP:185.176.220.54:62845) to extension '00016167378257' rejected because extension not found in context 'public-direct-dial'.

NOTICE[9192] res_pjsip_session.c: Call from 'anonymous' (UDP:185.176.220.52:64109) to extension '181019123903508' rejected because extension not found in context 'public-direct-dial'.

[NOTICE[9192] res_pjsip_session.c: Call from 'anonymous' (UDP:185.176.220.53:49793) to extension '90015304887047' rejected because extension not found in context 'public-direct-dial'.

NOTICE[9192] res_pjsip_session.c: Call from 'anonymous' (UDP:193.107.216.5:65508) to extension '9810441793291007' rejected because extension not found in context 'public-direct-dial'.

Что это за 'anonymous'? Как его заблокировать?

И неужели, если бы у меня были подходящие исходящие маршруты, то вызовы бы проходили?

1 Ответ

от (122 тыс. баллов)

В вашем случае так как проброшены порты, то АТС доступна для попыток подключения из интернет. 

Рекомендую связаться с ТП "MTS Автосекретарь" узнать все их IP адреса и в сетевом экране разрешить подключения только с этих адресов. 

В актуальной версии АТС это проще сделать через интерфейс учетной записи "Провайдеры телефонии

Опишите "Дополнительные адреса провайдера" - В этом разделе следует перечислить все адреса Поставщика услуг связи, с которых могут приходит входящие звонки. Доступ для этих адресов к портам SIP и RTP будет автоматически открыт на firewall.

Также в "Общие настройки" следует запретить анонимные звонки см. опцию "Разрешить входящие звонки с любых серверов"

от (460 баллов)
редактировать от

Спасибо за ответ!

По поводу попыток авторизации понял, это я смогу заблокировать.

А вот по поводу звонков от «anonymous» не совсем понятно. Получается какой-то «anonymous» пытается звонить на мои внутренние номера, которых не знает. Зачем? Какой ему интерес?...

Я в Общих настройках не смог найти опцию «Разрешить входящие звонки с любых серверов».

Но нашел опцию «Доверять этому провайдеру и принимать от него любые звонки без аутентификации» в параметрах провайдера, но нет её описания на сайте, предположил, что она может помочь.

 У меня в настройках провайдера МТС Автосекретаря опция «Доверять этому провайдеру и принимать от него любые звонки без аутентификации» была отключена.

Но есть у меня еще GSM шлюз в этой же локальной сети, на роутере к шлюзу никакие порты не проброшены, он же вроде невидим извне.

В провайдере данного шлюза опция «Доверять этому провайдеру и принимать от него любые звонки без аутентификации» была включена. Я её выключил, но «anonymous» всё еще пытается позвонить.

Как же от него избавиться-то всё-таки?...

от (122 тыс. баллов)

Получается какой-то «anonymous» пытается звонить на мои внутренние номера, которых не знает

Это один из видов атак на публичные АТС. 

не смог найти опцию «Разрешить входящие звонки с любых серверов».

Убедитесь, что используете актуальную версию АТС. 

Доверять этому провайдеру и принимать от него любые звонки без аутентификации» в параметрах провайдера,

Это опция относится к конкретному "провайдеру", "Разрешить входящие звонки с любых серверов" - это глобальная опция для АТС, разрешает принимать вызовы без авторизации. 

Как же от него избавиться-то всё-таки?...

Уже писал о вариантах ранее. Нужно в сетевом экрана разрешить подключение только с адресов МТС. Тогда все посторонние запросы будут отклонятся. 

На этом сайте можно бесплатно задать вопрос разработчикам MikoPBX и другим членам сообщества. Время ответа не регламентированно, но мы стараемся несколько раз в день заглядывать сюда. Для срочного решения проблем обращайтесь на платную линию поддержки

Популярные теги

askozia входящие-вызовы настройка исходящие маршрутизация провайдер запись-разговоров входящие ivr исходящие-звонки обновление ошибка очередь провайдеры битрикс24 очередь-вызовов переадресация запись установка маршрут история-звонков mikopbx транк панель-телефонии-1с перевод-вызова перевод askozia7 askozia6 битрикс callerid интеграция голосовая-почта логи перехват-вызова ростелеком нерабочее-время факс модуль nat docker запись-разговора веб-интерфейс bitrix24 goip настройка-провайдер история диалплан почта журнал-звонков релиз gsm вызовы звонок внешние-номера web-интерфейс zabbix маршруты cdr sip панель pjsip переадресация-мобильный voicemail ascozia телефонная-книга аон мобильный звонков лицензирование вызовов редактор номер asterisk лицензия ami регистрация оповещения провайдеров время голосовая fax trunk разговоров группы-пользователей #mikopbx пропущенные-звонки донабор beeline monitoring тишина smtp cisco мобильные мультифон мегафон шлюз не-работает электронная-почта не-слышно-звук

2.8 тыс. вопросов

2.4 тыс. ответов

6.7 тыс. комментариев

465 тыс. пользователей

...