[Gelöst] IAX mit rsa Authentifizierung lässt alles zu

[cibi]

Ich will per IAX und RSA Schlüssel zwei Asterisk Server verbinden.
(1x VServer mit 1.2.10 und 1x 1.2.9.1 bristuff mit dyn. IP Adresse und NAT)

Mit Plaintext und MD5 funktioniert alles sowie es soll
=> nur mit korrekter Authentifizierung klappt die Verbindung.
Stelle ich aber um auf RSA, so wird jeder Anruf akzeptiert

Accepting UNAUTHENTICATED call from 84.xxx.xxx.xxx

Egal ob nun ein Schlüssel angeben ist oder nicht, bzw falscher Benutzer, falsche IP Adresse bzw. host=dynamic, es wird alles über den RSA Eintrag der iax.conf auf dem VServer akzepiert.


Auf dem DynIP Server (1.2.9.1 bristuff):
extension.ael

Dial(IAX2/dynIPUser:[schlüsselname]@84.xx.xx.xx/50);

in der iax.conf habe ich keinen Eintrag (mehr).

Auf dem Vserver (1.2.10) iax.conf:

[general]
language=en
bindaddr=84.xxx.xxx.xxx
port=4569
disallow=all
allow=alaw
allow=ulaw
allow=g726
allow=gsm
tos=lowdelay
trunk=no
jitterbuffer=no


; Guest sections for unauthenticated connection attempts.  Just specify an
; empty secret, or provide no secret section.
;
[guest]
type=user
context=nowhere
callerid="Guest IAX User"


[dynIPUser]
type=friend
host=dynamic ; auch mit echter IP / falscher IP probiert
auth=rsa
inkey=keyAstdynIP
outkey=keyAstVserver1

Edit: inkey ist falsch. Richtig: inkeys


Ich kann auf dem DynIP Server (1.2.9.1 bristuff) mit

Dial(IAX2/dynIPUser:[email protected]/50);

oder

Dial(IAX2/84.xx.xx.xx/50);

wählen, es klappt immer.

Ein iax2 show users auf dem VServer ergibt folgendes:

iax2 show users
Username         Secret                Authen           Def.Context      A/C    Codec Pref
dynIPUser             -no secret-           000000000000004  default          No     Host

Ich komme da ehrlich gesagt nicht weiter.
- Muss man sonst noch irgendwas für rsa aktivieren?
(res_crypto.so geladen, show keys zeigt alle an, beide Asterisk neugestartet, Schlüssel mit "astgenkey -n" erstellt).
- Wie so werden trotzdem alle Anrufe angenommen?
(nur bei rsa, bei z.B. plaintext+passwort nur authen. Anrufe)



PS: Ich benutze seit heute eine neue angewinkelte Tastur mit diesem neuen super entf/pos1, etc. Block => kann auch sein, das ich x Tippfehler gemacht habe.

 

[kombjuder]

Hast du in der extensions.conf unter [globals] eine extension drin?
Wenn ja, mach mal ein ; davor.

Dann sollte eigentlich Ruhe sein.

Wenn ich das richtig weiss, wird in den Context der unter globals steht (ansonsten unter [default]) alles reingeschickt, was sonst nicht passt, also auch dein iax-Anruf mit fehlgeschlagener Aut.

Berichtigt mich, wenn ich falsch liege.

 

[cibi]

Hast du in der extensions.conf unter [globals] eine extension drin?

Nein, ist nicht vorhanden.

 

[kombjuder]

Nein, ist nicht vorhanden.

Aber auch [default]. Das ist die Standadextension wenn nichts besseres da ist.

Schau mal nach, in welcher extension der Anruf landet und ob ggf. nicht selbsttätig der rsa-Key verwendet wird, da die Gegenseite rsa verlangt.

Ich kann's auf die Schnelle nicht probieren, müsste erst den ganzen DUNDi-Krempel abhängen.

Ruf doch mal mit einem iax-Clienten direkt an, ob das dann auch geht.

 

[cibi]

Lösung - alternativer Titel: Verfluuuucht...

Wie schon im ersten Beitrag vermutet, war es ein Tippfehler: :-Ö

inkey anstatt richtig: inkeys


Aber eigentlich sollte Asterisk dann trotzdem niemanden reinlassen, oder ?

 

[kombjuder]

outkey anstatt richtig: outkeys
(das gleiche natürlich auch bei inkeys)

Laut Beispieldatei zu Asterisk 1.2.9.1 heisst das inkeys aber outkey, also ohne s.

 

[cibi]

Laut Beispieldatei zu Asterisk 1.2.9.1 heisst das inkeys aber outkey, also ohne s.

korrigiert und (eigentlich) auch logisch.
Allerdings habe ich in meiner iax.conf tatsächlich outkeys stehen - werde später nochmal anschauen.
(Edit: Habe gerade mal den Quelltext überflogen: sollte nur outkey gehen)
Erklärung: Die outkey Angabe ist anscheinend nicht nötig, zumindest funktioniert es bei mir; die Angabe in inkeys bei dem angerufenem Asterisk langt. (teste gerade nur Anrufe in eine Richtung)


In der ix 12/2005 steht übrigens "inkey".