среда, 27 декабря 2017 г.

Белый список для Asterisk

Черный список для Asteriska я уже делал дома (кстати, довольно успешно - те, кто беспокоили меня звонками уже не беспокоят). Теперь, на работе руководство поставило задачу оградить сотрудников IT, от звонков сотрудников, кроме определенного круга приближенных. Эти звонки должны уходить в ринг-группу технической поддержки.

Используем AstDB, создаем список разрешенных номеров:

asterisk -rx 'database put allow_for_it 343 1'

asterisk -rx 'database put allow_for_it 344 1'

и т.д.

Удалить номер из базы так:

asterisk -rx 'database del allow_for_it 343'

В диалплане:

exten = 343,1,ExecIf($["${DB(allow_for_it/${CALLERID(num)})}" != "1"] ?Goto(ringroup-IT,s,1))
exten = 343,n,Dial(SIP/343,20,t)



вторник, 19 сентября 2017 г.

Проброс порта для доступа к локальным ресурсам по внешнему адресу.

Допустим, в сети имеется шлюз, и внутри сети, за шлюзом находится ресурс имеющий внутренний адрес напр. 192.168.1.7. Доступ из Интернет к 192.168.1.7 организован с помощью проброса портов с шлюза имеющего внешний адрес напр. 1.2.3.4. Также из Интернета доступ к серверу возможен по имени name.ru.
Но что будет если мы обратимся из внутренней сети с ip 192.168.1.9 к серверу по имени name.ru? Нашим хостом будет проигнорирован ответ с name.ru, т.к. он придет с адреса 192.168.1.7, а не 1.2.3.4. Для того чтобы хосты понимали друг-друга нужно правило на шлюзе заменяющее адрес хоста-клиента (192.168.1.9) на внутренний адрес шлюза напр. 192.168.1.1, в таком случае пакеты от 192.168.1.7 пойдут через шлюз и на 192.168.1.9 придут с адреса 1.2.3.4.

iptables -t nat -A POSTROUTING --dst 192.168.1.7 -p tcp -m tcp --dport 443 -j SNAT --to-source 192.168.1.1

Для того чтобы получить доступ к name.ru с сервера, который являетя шлюзом необходимо следующее правило:

iptables -t nat -A OUTPUT --dst 1.2.3.4 -p tcp -m tcp --dport 443 -j DNAT --to-destination 192.168.1.7

Если мы используем прокси-сервер на 192.168.1.1 то достаточно добавить name.ru в исключения прокси.

суббота, 5 августа 2017 г.

Радиоприемник на громкой связи. Asterisk. В двух вариантах.

Суть простая - набираешь цифру, а потом выбираешь радиостанцию, которая звучит из потока.

Ver.1

В вашем внутреннем контескте в extensions.conf:

exten => 9,1,NoOp(=radio=)
exten => 9,n,Answer()
exten => 9,n,Background(beep)
exten => 9,n,WaitExten(3)
exten => 1,1,MusicOnHold(radio1)
exten => 2,1,Set(VOLUME(TX)=5) ;поток тихо звучал, поднял ему громкость
exten => 2,2,MusicOnHold(radio2)
exten => t,1,Hangup()


В musiconhold.conf:

[radio1]
mode=custom
application=/usr/bin/mpg123 -q -s --mono -r 8000 -f 4096 -Z http://address1/stream.mp3

[radio2]
mode=custom
application=/usr/bin/mpg123 -q -s --mono -r 8000 -f 4096 -Z http://address2/stream.mp3

В консоли asteriska делаем:

dialplan reload

и

module reload res_musiconhold.so

Ver.2
Все же решил сделать без musiconhold. Так как musiconhold постоянно тянет поток из Интернет, вне зависимости от того слушаете вы его или нет. Мне не очень нравится, что нагрузка на сеть и железо (пусть и небольшая) осуществляется без необходимости.
Если используется CDR, можно добавить NoCDR по желанию, я добавил

Достаточно этого (перед MP3Player обязательно должен быть Answer или Progress!):

exten => 9,1,NoCDR()
exten => 9,n,NoOp(=radio=)
exten => 9,n,Answer()
exten => 9,n,Background(beep)
exten => 9,n,WaitExten(10)
exten => 9,n,Hangup()
exten => 1,1,MP3Player(http://stream1.com.mp3)
exten => 2,1,MP3Player(http://stream2.com.mp3)
exten => 3,1,MP3Player(http://stream3.com.mp3)
exten => t,1,Hangup()

и

dialplan reload

Потоки можно ТУТ поискать.

пятница, 17 марта 2017 г.

Ограничение вызовов в транке по количеству и времени.

Я пользуюсь услугами оператора sipnet, а именно бесплатными звонками по городским номерам Москвы и Питера. Бесплатность как бы условная  - на счету надо иметь не менее 10 у.е., и тогда появляется возможность совершать 5 разговоров в сутки,  общей продолжительностью 30 мин. Для следования этим ограничениям был написан следующий диалплан.
Скорее всего это не самая изящная, а наверное даже громоздкая  в части обработки переменнных конструкция, но тем не менее рабочая, и позволяющая сэкономить мои, и если захотите, ваши средства.

В /etc/asterisk/extensions.conf:

[sipnet]

exten => _7XXXXXXXXXX, 1, NoOp(=calling_sipnet=)

exten => _7XXXXXXXXXX, n, Set(TOTALCOUNT=5);общее количество возможных звонков
exten => _7XXXXXXXXXX, n, Set(CUR_COUNT=${SHELL(/home/asterisk/sipnet/count.sh)}) ;проверяем сколько звонков уже совершили
exten => _7XXXXXXXXXX, n, Set(ALLOW_COUNT=$[${TOTALCOUNT} - ${CUR_COUNT}]) ;отнимаем из значения одной переменной значение другой и выводим в третью переменную
exten => _7XXXXXXXXXX, n, ExecIf($[${ALLOW_COUNT} = 0]?Playback(tt-weasels)) ;в случае если значение полученной выше переменной равно 0 проигрываем звуковой файл
exten => _7XXXXXXXXXX, n, ExecIf($[${ALLOW_COUNT} = 0]?Hangup()) ;и кладем трубку

exten => _7XXXXXXXXXX, n, Set(TOTALTIME=1740) ;количество разрешенных секунд (я сознательно уменьшил на 60 секунд)
exten => _7XXXXXXXXXX, n, Set(CUR_TIME=${SHELL(/home/asterisk/sipnet/time.sh)}) ;получаем в переменную значение сколько секунд уже наговорили
exten => _7XXXXXXXXXX, n, Set(ALLOW_TIME=$[${TOTALTIME} - ${CUR_TIME}]) ;получаем в переменную сколько секунд осталось на разговоры
exten => _7XXXXXXXXXX, n, ExecIf($[${ALLOW_TIME} < 41]?Playback(tt-somethingwrong)) ; если менее 41 секунды - проигрываем файл
exten => _7XXXXXXXXXX, n, ExecIf($[${ALLOW_TIME} < 41]?Hangup()) ;и кладем трубку
exten => _7XXXXXXXXXX, n, Set(ALLOW_TIME_MILL=$[${ALLOW_TIME} * 1000]) ;для дальнейшего использования получаем из разрешенных секунд милисекунды

exten => _7XXXXXXXXXX, n, Set(LIMIT_WARNING_FILE=beep) ;проиграем beep в начале (типа время пошло)
exten => _7XXXXXXXXXX, n, Dial(SIP/${EXTEN}@sipnet,50,L(${ALLOW_TIME_MILL}:31000)) ;звоним 50 сек. задав длительность разговора значением ранее полученной переменной, за 31 сек. до конца разговора сообщим, что скоро время закончится (вспомним тут про 41 секунду фигурировавшую ранее)
exten => _7XXXXXXXXXX, n, Playback(vm-nobodyavail) ;в случае если никто не ответил или занято проиграем файл 
exten => _7XXXXXXXXXX, n, Hangup() ;и положим трубку

В диалплане используются два bash скрипта, получающиеие значения из базы:

cat count.sh
#!/bin/bash
echo "SELECT COUNT('id') FROM cdr WHERE calldate >= CURDATE() and dstchannel like '%sipnet%' and disposition like 'ANSWERED';" | mysql -uasterisk_read -ppassw0rd asterisk | tail -n1

cat time.sh
#!/bin/bash
echo "SELECT SUM(billsec) FROM cdr WHERE calldate >= CURDATE() and dstchannel like '%sipnet%';" | mysql -uasterisk_read -ppassw0rd asterisk | tail -n1

 Соответственно, чтобы все это работало mysql база содержащая таблицу CDR должна быть подключена к Asterisk.

Еще раз поясню:
Если уже было 5-ть попыток - проигрываем звуковой файл и сбрасываем звонок.

Определяем сколько секунд осталось говорить, (я сократил на минуту общую продолжительность на всякий случай на 60 секунд), если это значение менее 41 секунды проигрываем звуковой файл, и обрываем соединение, затем умножаем значение секунд которые можно говорить на 1000 для получения единицы в милисекундах и подставляем это значение в аргумент продолжительности разговора, когда до конца будет оставаться 31 секунда проигрывается сообщение сообщающее время оставшегося разговора, затем произойдет разрыв. Отсюда и значение 41 секунда - типа все равно за 41 секунду не поговорить, все равно через 10 сек проиграет сообщение о скором принудительном разрыве.

пятница, 3 февраля 2017 г.

gprs soft router

Для обеспечения доступа к Интернет, а также к доступа к ресурсам локальной сети в удаленных подразделениях нашей организации была применена описанная ниже конфигурацию.
При работающем vpn-канале роутер обеспечивает маршрутизацию через сеть головного офиса, при отсутствующем через Интернет.

Софт-роутер построен на базе Ubuntu-server 16.04.
1.После инсталляции сервера вставим в usb-порт модем, убедимся, что модем определился в системе.
lsusb
Вывод будем примерно таким:
Bus 002 Device 002: ID 13d3:5711 IMC Networks
Bus 002 Device 001: ID 1d6b:0002 Linux Foundation 2.0 root hub
Bus 004 Device 001: ID 1d6b:0001 Linux Foundation 1.1 root hub
Bus 001 Device 002: ID 12d1:1506 Huawei Technologies Co., Ltd. Modem/Networkcard
Bus 001 Device 001: ID 1d6b:0002 Linux Foundation 2.0 root hub
Bus 003 Device 001: ID 1d6b:0001 Linux Foundation 1.1 root hub

Видно, что модем присутствует.

2. Настроим ppp-интерфейс и попробуем подключиться к Интернет.

nano /etc/ppp/peers/megafon

Создаем файл с следующим содержанием:

# Используемое для подключения устройство
/dev/ttyUSB0
# chat-скрипт
# В параметре "-T" передаётся имя точки доступа
# Для получения статического ip используем значение FixedIP.nw, для динамике обычно пишется internet.
connect '/usr/sbin/chat -v -f /etc/chatscripts/gprs -T FixedIP.nw'
# Надо ли менять маршрут по умолчанию
# Закомментируйте если не надо
defaultroute
# Использовать ли DNS-сервера провайдера
# Закомментируйте если не надо
usepeerdns
# Номер ppp-интерфейса (в данном случае будет ppp100)
unit 100
# Подключаться в случае обрыва
persist
# Перепосылать пакеты авторизации каждые 60 секунд
# Позволяет избежать обрыва соединения при отсутствии трафика
chap-interval 60
# Идентификатор соединения, используемый для поиска паролей в соответствующих файлах,
# А так же передаваемый ip-up и ip-down-скриптам
ipparam megafon
# Имя пользователя (пароль описывается в файле "/etc/ppp/chap-secrets") у Мегафона не требуется аутентификация, поэтому используем значение noauth.
#user "megafon"
noauth
# Отключаем любое сжатие
nopcomp
novjccomp
nobsdcomp
nodeflate
noaccomp
# Правильная обработка обрывов соединения
lcp-echo-interval 2
lcp-echo-failure 3
# IP адрес мы будем получать от провайдера, а не назначать сами
noipdefault

Затем настроим интерфейсы... Приводим файл /etc/network/interfaces примерно к такому виду:

auto lo
iface lo inet loopback

auto eth0
iface eth0 inet static
address 192.168.27.1
netmask 255.255.255.128

auto megafon
iface megafon inet ppp
provider megafon

Теперь можно перезагрузиться, после рестарта должен появиться Интернет.

3. Теперь разрешим форвардинг между интерфейсами.

В файле /etc/sysctl.conf расскомментируем строку
net.ipv4.ip_forward=1

4. Настроим файервол и NAT.

Добавим нужные правила фаейрвола:

iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT
iptables -A POSTROUTING -o ppp100 -j SNAT --to-source XX.XX.XX.XX (тут должен быть внешний ip-адрес)
iptables -A INPUT -p icmp -j ACCEPT
iptables -A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -i eth0 -j ACCEPT
iptables -A INPUT -i ppp100 -p tcp -m tcp -m multiport --dports 22 -j ACCEPT
iptables -A INPUT -p gre -j ACCEPT
iptables -A INPUT -m conntrack --ctstate INVALID -j DROP
iptables -A FORWARD -p icmp -j ACCEPT
iptables -A FORWARD -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
iptables -A FORWARD -i eth0 -o ppp100 -j ACCEPT
iptables -A FORWARD -s 192.168.27.0/25 -i eth0 -j ACCEPT
iptables -A FORWARD -i ppp12 -o eth0 -j ACCEPT


Теперь добавим эти правила в автозагрузку:
echo "#! /sbin/iptables-restore" > /etc/network/if-up.d/iptables-rules
iptables-save >> /etc/network/if-up.d/iptables-rules
chmod +x /etc/network/if-up.d/iptables-rules

5. Установим и настроим dhcp-сервер.

apt-get install dnsmasq

Откроем файл /etc/dnsmasq.conf и подправим 2-3 строки под наши нужды:

interface=eth0 
Интерфейс с которого раздаются адреса.

dhcp-range=192.168.27.40,192.168.27.125,12h
Область выдачи.

dhcp-option=option:dns-server,192.168.0.4,8.8.8.8
Назначаемые dns-серверы. Первый для VPN, второй при отсутствующем VPN.

Теперь можно перезагрузиться, а затем подключить по сети к серверу какой-нибудь ПК, и проверить назначение IP, а так же работу Интернет.

6. Теперь подключимся к VPN, и создадим скрипт мониторинга и управления соединениями.

Установим pptp-client

apt-get install pptp-linux

Создадим и отредактируем файл /etc/ppp/peers/vpn следующим образом:

pty "pptp XX.XX.XX.XX --nobuffer  --nolaunchpppd --loglevel 0" #тип и адрес сервера
name DOMAIN\\user
remotename VPN
require-mppe-128 #включаем поддержку MPPE
require-mschap-v2
defaultroute
replacedefaultroute
ms-dns 192.168.21.145
unit 12 #номер ppp интерфейса
persist #переподключаться при обрыве
maxfail 10 #количество попыток переподключения
holdoff 10 #интервал между подключениями
file /etc/ppp/options.pptp
ipparam $TUNNEL


в файле  /etc/ppp/chap-secrets пишем учетные данные для нашего vpn соединения:

"DOMAIN\\user"      VPN     "Pa$$W0rd"

Пробуем продключиться

pon vpn nodetach



Теперь создадим файл-скрипт /home/user/recconnect.sh для мониторинга и подключений соединений.

#!/bin/bash
if ! /bin/ping 8.8.8.8 -c 10 -q -w 30 &>/dev/null
then
/sbin/ifdown megafon
/bin/sleep 2
kill $(ps aux | grep '/usr/sbin/pppd' | awk '{print $2}')
/bin/sleep 2
/sbin/ifup megafon &
/bin/sleep 45
fi

if ! /sbin/ifconfig | grep ppp12
then
/usr/bin/poff vpn
/bin/sleep 5
/usr/bin/pon vpn
/bin/sleep 45
fi

if ! ping -I ppp12 192.168.28.13 -c 10 -q -w 30 &>/dev/null # пингуем другую точку тоннеля
then
/usr/bin/poff vpn
/bin/sleep 5
/usr/bin/pon vpn
/bin/sleep 45
fi

if ! route -n | grep 192.168.28.13 | grep 192.168.0.0
then
route add -net 192.168.0.0 netmask 255.255.0.0 gw 192.168.28.13 ppp12 # маршрут в сеть предприятия
/bin/sleep 5
fi

exit 0

Сделаем скрипт исполняемым:

chmod +x /home/user/recconnect.sh

и добавим выполнение скрипта по крону

crontab -e

*/03 * * * *    sudo /home/user/recconnect.sh

Теперь все должно работать автоматом.

вторник, 31 января 2017 г.

Скрипт мониторинга и запуска сетевых интерфейсов.

#!/bin/bash
export PATH=/usr/bin:/sbin:/bin
if ! ping 8.8.8.8 -c 10 -q -w 30 &>/dev/null
   then
ifdown ppp0
sleep 2
killall -9 pppd
sleep 2
ifup ppp0 &
sleep 45
   fi
if ! ifconfig | grep ppp12
   then
poff vpn
sleep 5
pon vpn
sleep 45
   fi
if ! ping -I ppp12 192.168.28.7 -c 10 -q -w 30 &>/dev/null
   then
poff vpn
sleep 5
pon vpn
sleep 45
   fi
exit 0

Сначала мониторим есть ли соединение с Интернет, который подключен как ppp  (gprs/3g,4g, pppoe и т.п.),  если нет - выключаем интерфейс, и заново его поднимаем.
Потом мониторим есть ли интефейс pptp vpn, если нет отключаем vpn, затем опять затем опять запускаем соединение.
Затем мониторим пингуется ли точка на другой стороне тоннеля, если нет - тоже самое, что выше.