Установка asterisk 13 из пакетов на centos 7 minimal (+ настройка и защита)

Введение

Asterisk — бесплатное решение для организации voip телефонии. Он обладает всеми возможностями обычных АТС, но предоставляет более богатый функционал по управлению звонками. За относительную простоту настройки, по сравнению с цифровыми АТС, бесплатность и широкие возможности он и снискал такую популярность.

Freepbx — бесплатный веб интерфейс для управления астериском. Он существенно упрощает работу с конфигурациями, позволяет выполнять некоторые функции людям, вообще далеким от астериска. Например, с его помощью практически любого можно научить управлять учетными записями пользователей.

Лично я больше люблю настраивать asterisk вручную, нежели с помощью готовой панели. Да, конфигов астериск очень много, они объемные, работать с ними не удобно. Тем не менее, чистый астериск предоставляет практически неограниченную возможность по конфигурированию. С готовой панелью вы будете ограничены ее возможностями. Но если они вас полностью удовлетворяют, то лучше использовать ее.

Дальнейшая установка FreePBX будет проходить по следующей схеме:

Подготовка системы.
Установка MariaDB.
Настройка Web сервера.
Установка NodeJS.
Установка Asterisk.
Установка и настройка Freepbx.

Для отладки и тестирования работы voip я рекомендую сервис Zadarma. Плюс его в том, что после регистрации вы получите настройки пира для внутренней сети оператора. И внутри этой сети вы можете бесплатно звонить. Например, я одного пира регистрирую на sip клиенте смартфона и с него звоню на второй аккаунт, пир от которого настроен в астериске. Таким образом эмулирую внешний звонок. Удобно отлаживать различные конфигурации звонков, не требуя платного подключения.

Компиляция и установка дополнительных модулей в Asterisk

Опубликовал(а): DAN
в: 30.07.2013

Установил из стандартного репозитория Linux Debian v6.0.7 IP-PBX Asterisk v1.8.13.1. Далее при ее конфигурировании столкнулся с нехваткой ряда модулей, в частности: codec_ilbc, cdr_mysql, app_konference. К тому моменту IP-PBX Asterisk уже была по большей части настроена и вполне успешно выполняла свои функции, поэтому собирать и устанавливать ее из исходников я желанием не горел. Было принято решение скомпилировать отдельные модули и подсунуть их работающей IP-PBX Asterisk.
Отправляемся на http://downloads.asterisk.org/pub/telephony/asterisk/, находим там и скачиваем архив с исходными кодами версии, установленной у вас IP-PBX Asterisk

Хочу обратить внимание, что номер версии должен совпадать полностью до единой цифры после точек. Откуда такое жесткое требование будет объяснено чуть позже в этой заметке.
Распаковываем исходники, компилируем:

А вот «make install» выполнять не стоит. Также не забудьте на стадии «make menuselect» выбрать необходимые вам модули.
Отыскиваем скомпилированные модули и копируем их в каталог, указанный в опции «astmoddir» конфигурационного файла «asterisk.conf».
Подгружаем модули в CLI IP-PBX Asterisk, но тут нас ждет разочарование:

Разработчики встроили проверку, которая предотвращает загрузку модуля от другой бинарной сборки, поскольку это может привести к сбоям в работе IP-PBX Asterisk. Но если мы готовы пойти на риск, то данную проблему можно обойти.
Механизм проверки построен на том, что на стадии компиляции в константу AST_BUILDOPT_SUM заносится хеш-сумма, которая позволяет однозначно идентифицировать каждую бинарную сборку. Выглядит она, как 32 идущих подряд шестнадцатеричных цифры: «6af7a0d0f0f2c25309ff3df194ce74f0» (без кавычек).
Необходимо найти такую строку в любом из модулей, шедших в поставке вашей инсталляции IP-PBX Asterisk. Она расположена ближе к концу файла. Далее в файле «include/asterisk/buildopts.h» исправляем значение константы AST_BUILDOPT_SUM. Пересобираем модули:

Вновь копируем в каталог с остальными модулями IP-PBX Asterisk и подгружаем:

Обратите внимание, что вносить правки в файл «include/asterisk/buildopts.h» следует каждый раз, после выполнения «make menuselect».
Существует также другой подход. Можно пропатчить вновь скомпилированные модули, например, редактором hexedit

Т.е. просто найти и заменить строку из 32 идущих подряд шестнадцатеричных цифр ближе к концу файла. Только следует убедиться, не встречается ли она в нем несколько раз.

Защищаем сервер Asterisk с помощью Fail2Ban

Сервер Asterisk, который находится в «открытом» интернете, постоянно подвергается попыткам примитивного взлома от «ботов», которые пытаются подобрать пароль от SSH или подлючиться к АТС. Для борьбы с ними, необходимо:

Использовать сложные пароли. Обязательно!
Использовать Fail2Ban, который будет временно блокировать IP-адреса, с которых осуществляется попытка взлома.

7.1 Включаем security-log в Asterisk

Руководствуемся инструкцией: https://www.fail2ban.org/wiki/index.php/Asterisk

Включим security-лог Asterisk и настроим чтобы он записывался в отдельный файл. Кроме этого, поменяем формат даты в логах. Для этого, раскоментируем в файле «/etc/asterisk/logger.conf» 2 строки:

Перезагрузим настройки логгера Asterisk:

7.2 Установка Fail2Ban

Для установки Fail2Ban в CentOS 7 должен быть подключен репозиторий EPEL. Мы это уже сделали в предыдущих пунктах. Установим Fail2Ban и активируем в качестве службы:

7.3 Настройка Fail2Ban

Файл настроек лежит по адресу «/etc/fail2ban/jail.conf». однако, разработчики рекомендуют использовать не его копию по адресу «/etc/fail2ban/jail.conf», которая будет иметь приоритет. Итак:

В нашем примере на сервере используются 2 службы: SSH и Asterisk. Обе они поддерживают авторизацию и подвержены бруфорсу и требуют защиты. Найдем и отредактируем в файле «jail.local» 2 секции и :

В параметр ignoreip можно вписать IP-адреса, которые блокировать не требуется (свои подсети и т. д.). Добавим в файл «jail.local»:

Сохраним файл и перезапустим службу fail2ban:

7.4 Проверка Fail2Ban

Для проверки работы можно использовать команду:

После некоторого времени, начинает появлятся первый «улов». На картинке снизу наблюдаем 3 заблокированных IP-адреса:

Исправление ошибок

Рассмотрим процесс устранения предупреждений и ошибок во время запуска Asterisk.

Из-за неиспользуемых модулей

Для устранения данных проблем необходимо просто отключить данные модули.

Открываем файл:

vi /etc/asterisk/modules.conf

И в зависимости от ошибок, добавляем нижеперечисленные исправления…

Отключаем res_phoneprov:

noload => res_phoneprov.so

Отключаем res_config_ldap:

noload => res_config_ldap.so

Отключаем res_config_pgsql:

noload => res_config_pgsql.so

Отключаем cel_pgsql:

noload => cel_pgsql.so

Отключаем cel_tds:

noload => cel_tds.so

Другие ошибки

ari/config … No configured users for ARI

ARI предоставляет API для Asterisk REST Interface. В данном примере, отключаем поддержку:

vi /etc/asterisk/ari.conf

Находим параметр enabled и меняем его значение на no:

enabled = no

Настройка Asterisk

В нашей тестовой конфигурации мы создадим 5 внутренних номеров от 101 до 105. И настроим внутренние звонки между ними.

Для этого в файле /etc/asterisk/sip.conf добавляем наши внутренние номера в раздел :

В поле secret устанавливаем пароль для каждого внутреннего номера соответственно. Обязательно, в продакшн серверах используйте надежные пароли! Даже если сервер разворачивается как тестовый, через время вы можете решить использовать его для работы, а пароли поменять забудете.

В файле /etc/asterisk/extensions.conf определяем контекст «internal-calls». Полное содержание файла:

Заведение пользователя

Создадим наш первый диалплан (правило обработки звонков):

vi /etc/asterisk/extensions.conf

Допишем в него следующее:

exten => _XXX,1,Dial(SIP/${EXTEN},,m)

* в данном примере мы создаем контекст с именем outcaling для трехзначных номеров (XXX) с вызовом по SIP по внутреннему номеру.

Теперь создадим два внутренних номера:

vi /etc/asterisk/sip.conf

(!)
type=friend
context=outcaling
host=dynamic
disallow=all
allow=alaw
allow=ulaw
language=ru
qualify=yes
canreinvite=yes
call-limit=4
nat=no
(public)
regexten=101
secret=1234
callerid=»101″ <101>
callgroup=1
pickupgroup=1
(public)
regexten=102
secret=5678
callerid=»102″ <102>
callgroup=1
pickupgroup=1

* сначала мы создали шаблон public, в который занесли общие параметры. Шаблон мы применили к создаваемым коротким номерам.
* где:

, — имена для обозначения номеров.
type — типы проверки номеров. Могут быть peer, user или friend. Peer — вызовы сопоставляются с IP-адресами и номерами портов. User — проверка username. Friend — включает возможности peer и user (проверка username и IP-адреса источника) и лучше всего подходит для телефонов и телефонных программ.
regexten — добавочный номер. Если не задан, используется имя.
secret — пароль для аутентификации.
context — контекст или группа правил.
host — IP-адрес или имя клиента. Для автоматической регистрации используем dynamic.
callerid — идентификатор пользователя при звонке.
disallow — запрещает кодеки (задается перед параметром allow).
allow — разрешает кодеки. alaw и ulaw — алгоритмы для кодеков g711.
language — код используемого языка.
callgroup — задает группу устройства (для возможности перехвата).
pickupgroup — задает перечень групп, которые можно перехватывать.
qualify — включает или отключает периодическую проверку подключенного клиента.
canreinvite — включает или отключает прохождение голосового RTP трафика через Asterisk. Устанавливать, только если клиент поддерживает функцию SIP re-invites.
call-limit — ограничение количества одновременных вызовов.
nat — устанавливается в yes, если клиент находиться за NAT.

Перезапускаем наш сервис:

systemctl restart asterisk

Установка php в CentOS 8

Установка php в Centos 8 сильно упростилась по сравнению с предыдущей версией, потому что в базовом репозитории хранится актуальная версия php 7.2, которой можно пользоваться. Пока нет необходимости подключать сторонние репозитории, так как версия 7.2 вполне свежа и актуальна. Если у вас нет необходимости использовать что-то новее, то можно остановиться на этой версии.

Устанавливаем php в CentOS 8, а так же некоторые популярные модули, которые могут пригодиться для того же phpmyadmin.

# dnf install php php-cli php-mysqlnd php-json php-gd php-ldap php-odbc php-pdo php-opcache php-pear php-xml php-xmlrpc php-mbstring php-snmp php-soap php-zip

Выполним перезапуск apache:

# systemctl restart httpd

Создадим файл в директории виртуального хоста и проверим работу php:

# mcedit /web/sites/z.serveradmin.ru/www/index.php

<?php phpinfo(); ?>

# chown apache. /web/sites/z.serveradmin.ru/www/index.php

Заходим по адресу http://z.serveradmin.ru/index.php

Вы должны увидеть вывод информации о php. Если что-то не так, возникли какие-то ошибки, смотрите лог ошибок виртуального хоста, php ошибки будут тоже там. Если вам необходима более свежая версия php, то читайте статью по обновлению php 7.2 до 7.4.

Где лежит php.ini

После установки часто возникает вопрос, а где хранятся настройки php? Традиционно они находятся в едином файле настроек. В CentOS php.ini лежит в /etc, прямо в корне. Там можно редактировать глобальные настройки для всех виртуальных хостов. Персональные настройки каждого сайта можно сделать отдельно в файле конфигурации виртуального хоста, который мы сделали раньше. Давайте добавим туда несколько полезных настроек:

# mcedit /etc/httpd/conf.d/z.serveradmin.ru.conf

Добавляем в самый конец, перед </VirtualHost>

php_admin_value date.timezone 'Europe/Moscow'
php_admin_value max_execution_time 60
php_admin_value upload_max_filesize 30M

Для применения настроек нужно сделать restart apache. Если у вас полностью дефолтная установка, как у меня, то скорее всего вы увидите ошибку.

Суть ошибки в том, что у нас не загружен модуль mod_php. Проверим, где он подключается. Это файл /etc/httpd/conf.modules.d/15-php.conf.

<IfModule !mod_php5.c>
  <IfModule prefork.c>
    LoadModule php7_module modules/libphp7.so
  </IfModule>
</IfModule>

Тут стоит проверка на запуск модуля. Он загружается только, если у нас загружен модуль prefork. Давайте попробуем его загрузить принудительно. Для этого комментируем все строки, кроме основной.

LoadModule php7_module modules/libphp7.so

Проверяем конфигурацию apache.

# apachectl -t

Apache is running a threaded MPM, but your PHP Module is not compiled to be threadsafe.

Получили новую ошибку. Смысл в том, что изначально apache сконфигурирован на работу модуля mpm_event, он подключается в конфиге /etc/httpd/conf.modules.d/00-mpm.conf.

LoadModule mpm_event_module modules/mod_mpm_event.so

Стандартный модуль mod_php скомпилирован с поддержкой модуля mpm_prefork. С другими он работать не будет. Таким образом, чтобы у нас нормально заработал php, нам надо вместо модуля mpm_event подключить модуль mpm_prefork. Для этого в конфиге 00-mpm.conf закомментируем подключение mpm_event_module и раскомментируем prefork.

LoadModule mpm_prefork_module modules/mod_mpm_prefork.so

После этого проверяйте конфигурацию и перезапускайте apache. Все должно заработать. Теперь в выводе phpinfo можно увидеть изменение настроек.

Я подробно разобрал эти ошибки, чтобы у вас было понимание, как все устроено и куда смотреть в случае проблем. Более подробно о работе и выборе mpm модулей читайте в официальной документации apache — http://httpd.apache.org/docs/2.4/mpm.html.

Заключение

На простом примере показал, как можно работать с sngrep и анализировать sip трафик вашего сервера астериск. Дамп трафика можно сохранить в файл, отправить кому-нибудь, либо посмотреть в Wireshark. Сам я только недавно познакомился с этим инструментом. Опыта чтения дампов особо нет, но разбираюсь. Жизнь заставляет В принципе, ничего суперсложного нет, чаще всего можно разобраться и понять, в чем же проблема.

Например, если до вас не доходят входящие звонки, то вы можете запустить sngrep и звонить на номер. Если информации о звонке нет вообще, то есть в логах никакой реакции на новые события во время звонка (должен приходить INVITE), значит от провайдера к вам ничего не приходит и можно смело ему звонить и сообщать, что у меня есть дамп sip трафика в во время звонка и от вас не поступает никакой информации. Провайдер проверит свои дампы, сверит с вашим и сможет более точно и быстро определить причину проблем.

Перед тем, как обращаться к провайдеру, убедитесь, что у вас с сетью и фаерволом все в порядке, сервер провайдера как минимум пингуется и нету потерь в трейсе.

Не забывайте пользоваться поиском во время работы. Он обновляет результаты в режиме реального времени, что очень удобно. В моем примере я запускал анализатор без ключей, он анализировал весь sip поток. Вы можете его сразу ограничить только конкретным сетевым интерфейсом, либо ip адресом, если дебажите что-то конкретное.

По большому счету, sngrep не делает ничего особенного. Собирать и анализировать sip поток можно и с помощью tcpdump, но в sngrep это более удобно и наглядно, особенно визуализация со стрелочками

Другие материалы по asterisk:

Онлайн курсы по Mikrotik

Если у вас есть желание научиться работать с роутерами микротик и стать специалистом в этой области, рекомендую пройти курсы по программе, основанной на информации из официального курса MikroTik Certified Network Associate. Помимо официальной программы, в курсах будут лабораторные работы, в которых вы на практике сможете проверить и закрепить полученные знания. Все подробности на сайте .

Стоимость обучения весьма демократична, хорошая возможность получить новые знания в актуальной на сегодняшний день предметной области. Особенности курсов: