Куплен полгода назад с дефолтной прошивкой. Работал в связке с астериск 1.8 без нареканий
Проблемы начались после обновления до актуальной на данный момент прошивки.
Суть: периодически из 8 линий FXS слетает регистрация 1 и более портов. Проблема не нова, однако
достаточно просто и четко диагностируется- астериск отказывает в регистрации длинку, ссылаясь на
использование при digest-аутентификации устаревшего ( так считает астериск- он его уже сгенерировал и запомнил, затем пометил как "грязный") nonce. Вот кусочек дебага:
( как только stale=true - вот она, проблема в чистом виде)
--------------------------------------
SIP/2.0 401 Unauthorized
Via: SIP/2.0/UDP 192.168.12.31:5060;branch=z9hG4bK89bc06db8ba7b9d2;received=192.168.12.31;rport=5060
From: "1400" <sip:1400@192.168.11.4>;tag=91be3ea6-749998
To: "1400" <sip:1400@192.168.11.4>;tag=as566ac743
Call-ID: D1B9-1D30-46684819EFA9AFD819E8-001@SipHost
CSeq: 2377 REGISTER
Server: Asterisk PBX 1.8.17.0
Allow: INVITE, ACK, CANCEL, OPTIONS, BYE, REFER, SUBSCRIBE, NOTIFY, INFO, PUBLISH
Supported: replaces, timer
WWW-Authenticate: Digest algorithm=MD5, realm="asterisk", nonce="518603fa", stale=true
Content-Length: 0
--------------------------------------
Пояснения
192.168.12.31 - DVG5008 (WAN)
192.168.11.4 - Asterisk 1.8.17
NAT отсутствует
Hardware Platform SA7S8 VD
Hardware 4.0.0.0
Software Version 1.02.38.93-b8338
Driver Version 1.2.1.2158.1445/242
---------------------------------------
Вот еще пояснение от CLI Asterisk :
[2013-10-18 11:34:44] NOTICE[19270]: chan_sip.c:14600 check_auth: Correct auth, but based on stale nonce received from и т.д.
---------------------------------------
Просчитать по известному nonce realm user password и проверить response - такого инструмента с ходу я не нашел, да и его скорее всего нет такого-иначе сразу было бы понятно, какой nonce использует шлюз.Да и астериск не спешит поделиться информацией о ттл nonce, rfc тут временных рамок не указывает.

Что советуют:
1.Удлинить TTL регистрации ( всё равно отваливается но позже)
2.Поставить в sip.conf в [general] pedantic=no ( наблюдаю)
3.Вернуть прошивку
4. Keep sip-auth взвести если нат
5.Настроить подключение без регистрации указав астериску в описании пира ip={ip address VOIP gw} вместо dynamic
6.Перегрузить шлюз и астериск ( помогает временно)
Рядом стоит DVG7022 на asterisk 11.5
Пока не заметил такого, наблюдаю
Что скажет поддержка от производителя? Признаете багом либо спишем на астериск? Вот как прикажете ставить в продакшн такое устройство которое требует подтирания соплей с переменным сроком час - сутки?
Теперь пара слов про DVG7022
Так и не смог в Cadence настроить диалтоны на РФ, глухие они и на слух неидентичны. Элтекс почему-то из коробки звучит прекрасно и аутентично,а этот красавец всё под иностранца косит. Может в РФ будете поставлять кастомизированное оборудование, был бы вам плюс.
Ну и еще в общем по этим моделям. Информацию по провижинингу предоставьте плз. Настройки есть а информации нет, как его в серьезных проектах использовать?

Какая версия прошивкии стоит в данный момент. pedantic=no должно помочь

Приведено в в тексте:
Hardware Platform SA7S8 VD
Hardware 4.0.0.0
Software Version 1.02.38.93-b8338
Driver Version 1.2.1.2158.1445/242
Возможно pedantic=no и поможет, со шлюзом.А где гарантии что не вылезет где в другом месте?
Это вообще не выход, нужно разбираться кто конкретно косячит.
С дефолтной прошивкой работало же

Пришлите дамп трафика мне на e-mail.

Выслано

попробуйте откатиться на 43-ю... я во словил глюки на 93-й.. почитайте viewtopic.php?f=5&t=162630

Пока есть время- подожду ответ суппорта. Проблему надо решать в корне, судя по моему опыту- шлюзы серии DVG[5-7]ХХХ по прошивке однородны. Учитывая возраст их релиза (2006), возможно будут проблемы найти компетентных девелоперов, способных прямо поправить firmware.

Поверьте ждать саппорта - время потерять DVG-5008S вроде как уже сняты с производства, т.к. нам приехало уже пару DVG-5008SG. А то что снято с производства уже не поддерживается как я понял.

2ТП: предлагаемый вами способ ( pedantic=no) снижает безопасность, делая возможным атаку MiM на digest auth. Так что не считайте что вопрос решен.
DVG5008S были куплены чуть больше полгода назад в открываемый центр обслуживания клиентов. Нагрузка там колоссальная, после выпуска квитанций фактически непрерывно звонки на все порты в течении всего дня. И без единого нарекания. Всё началось после прошивки новой версии.
Кстати международный центр загрузки предлагает из последнего: DVG-5008S A2 FW v1.2.37.61(for WW) , свежее нет.
Вполне возможно, что последующие релизы делались собственными силами.
Формально у нас гарантийный срок не истек.
Теперь по новинке. DVG5008SG не имеет документации на сайте производителя. Рекламный листок и всё. Не думаю что это глобальная модернизация, из доступного - заменили WAN на гигабит (?!?!?) равно как и LAN (?!?).По мне функционал роутера на такой железке мало того что архаичен, но и совершенно не нужен, предполагаемый сценарий использования ( через интернет) вызывает возмущение, благо call filter начинают настраивать только после анализа взлома. По мне- он лишний, лучше бы ipsec VPN реализовали, но не критично.
Если саппорт не удосужиться в ближайшее время рассказать о динамике/перспективах "особенности" поведения, я просто направлю официальное письмо в головной офис, в конце концов это существенный недостаток, далее пусть юристы разбираются, благо их много, сутяжников . Обычно очень такие обращения мотивируют, поверьте
Кроме того, это просто значит что в проекты такое оборудование больше не попадет, не попадет оно в проекты тех кто обратился за консультацией ко мне, а город/регион по VOIP на удивление маленький; кроме того,уменьшение потока бабла понимают самые матерые "эффективные менеджеры". Тем более некоторым в обязанности вменено подгонять нерадивых
Будем считать что шанс исправиться у них есть
П.С. У линксиса кстати на 8 FXO нет продукта, элтекс предлагает модульный шлюз но там просто база + БП без модуля стоит за 20+.Проклятый баблоориентированный подход пока решает всё...

в dvg-5008sg абсолютно другой веб интерфейс, что позволяет предположить и другое железо... прошивка изначально стоит 93-я, но ее нужно обновить на !!!внимание!!! 93-ю с фтп, иначе сменить дхцп на статику нельзя на ване... ну и конечно об этом нигде ничего не сказано и как обычно мануалов нет
да, там все порты гигабит


насчет роутера, ошибаетесь. если у вас провайдер дает вам провод в котором в одном влане инет а в другом сип, то эта железка покроет большинство потребностей. да и через инет тоже можно пользоваться, настраивать то надо любое железо.. и любое железо можно сломать на дефолте..
да и dvg 600х и 500х в принципе довольно надежны... не первый год стоят..

ну конечно это не освобождает длинк от ответственности за постоянные "ньюансы"...

Напишите мне на e-mail

В течении 2 недель шлюз работал прекрасно при pedantic=yes в sip.conf
Потом начались типовые проблемы с аутентификацией.
------(кусочек лога slmon)----------------------------------------------
13:08:38 [10252199] 7: 1416=REGISTER
13:08:38 [10252200] 7: 1416=REGISTER_AUTHN
13:08:38 [10252201] 7: 1416=REGISTERFAIL
13:08:47 [10252290] 2: Register Retry (Last was rejected)
13:08:47 [10252291] 2: 1411=REGISTER
13:08:47 [10252292] 2: 1411=REGISTER_AUTHN
13:08:47 [10252293] 2: 1411=REGISTERFAIL
13:08:59 [10252410] 7: Register Retry (Last was rejected)
13:08:59 [10252411] 7: 1416=REGISTER
13:08:59 [10252412] 7: 1416=REGISTER_AUTHN
13:08:59 [10252413] 7: 1416=REGISTERFAIL
13:09:08 [10252498] 2: Register Retry (Last was rejected)
13:09:08 [10252499] 2: 1411=REGISTER
13:09:08 [10252500] 2: 1411=REGISTER_AUTHN
13:09:08 [10252500] 2: 1411=REGISTERED
-------------------------------------------------
Конечно,можно установить pedantic=no и не париться, а если реализация sip в астериске поменяется, зачем закладывать бомбу замедленного действия своими силами?
И как я понял, на других платформах такое бывает тоже...учитывая длительный характер выявления данной ошибки, нервоо она может попортить немало....

откатитесь на 68 прошивку

А что я при этом потеряю?

согласование модема по t.30