е
Дело в -s
Size: a a a
2021 December 06
YG
ну типа после выполнения команды он по идее завершится сам ?
е
Нет, в субпротоколе дело похоже
ZB
всем привет! Коллеги, кто-нибудь сталкивался с задачей ристриктить крипто сайферы на ртпенжине? Есть задача оставить только максимально секюрные сайферы и выпилить легаси сайферы...
YG
Вообще флаги для restrict вроде есть
ZB
И стоит ли вообще над этим заморачиваться?
ZB
Похоже на то, что мне нужно. Спасибо.
YG
тут вопрос в другом
- так как это proxy то не совсем понятно как ты хочешь ограничить использование для клиента который этот offer шлет
Ну то есть - пришел тебе оффер от клиента
ты видишь что он слабый - что ты будешь делать с таким пакетом?
- так как это proxy то не совсем понятно как ты хочешь ограничить использование для клиента который этот offer шлет
Ну то есть - пришел тебе оффер от клиента
ты видишь что он слабый - что ты будешь делать с таким пакетом?
ZB
Вот в этом и нюанс, собственно
YG
просто rtpengine тебе просто SDP поменяет/не поменяет
ZB
Поэтому и хотелось бы прояснить этот момент у знающих людей
ZB
Кто как делал и стоит ли вообще это делать
YG
а если ты хочешь слать 488 not supported напрмиер или что то в этом роде - то для таких вещей я парсю SDP на камаилио и соответсвенно если что то мне там не нравится- отправляю ответ 4xx
а на rtpengine я уже передаю SDP который меня удовлетворяет
а на rtpengine я уже передаю SDP который меня удовлетворяет
ZB
как вариант, спасибо!
YG
тут просто надо понимать что тогда SDP будет обрабатываться дважды и парситься дважды тоже
Но в целом проблем я с этим не встреччал
Особенно если парсер оптимизировано написан и делает поиск за 1 цикл
Но в целом проблем я с этим не встреччал
Особенно если парсер оптимизировано написан и делает поиск за 1 цикл
ZB
Я понял
V
Добрый день. Не знаю куда писать - в группу по Камаилио или по FreeSWITCH, так как вопсрос касается обеих.
У меня регистрация экстеншенов на FreeSWITCH кластере. Перед ними Камаилио. Камаилио диспатчит на серые айпишники FreeSWITCH. У серверов FreeSWITCH нет белого айпи. Девайсы обращаются к доменному имени Камаилио и весь трафик к девайсам идет через него. Звук через RTPEngine.
Я хочу подключить TLS. Задолбался я с вариантом переганять c TLS от девайсов на UDP для FreeSWITCH. Хочу сделать так:
от девайса:
Device — (TLS) —> Kamailio — (TLS) —> FreeSWITCH
и обратно:
FreeSWITCH — (TLS) —> Kamailio — (TLS) —> Device
Для UDP все то де самое, только транспорт UDP.
Сертификат для Камалио сделаю. А как быть с сертификатами для FreeSWITCH. Использовать сертификат доменного имени Камаилио? Т.е.:
1) Сгенерить сертификат для доменного имени Камаилио (не самоподписной, через letsencrypt например).
2) Расбросать этот сертификат на сервера FreeSWICTH.
Таким образом, получиться так:
1) Device обращается по доменному имени, попадает на сервер Камаилио
2) Камаилио пересылает запрос по TLS на FreeSWICTH
3) FreeSWICTH дает ответ с сертификатом доменного имени Камаилиио
4) Камаилио пересылает ответ девайсу
5) Device проверяет сертификат. Девайс обратился по домену, с домена пришел сертификат. Девайс не знает о том что за этим доменным именем находится (какой из серверов из кластера работает с ним). Он же проверят соответствие домен - сертификат.
У меня такая схема работает для NGINX proxy. Есть сервер NGINX proxy с белым айпи и доменным именем. И есть другие сервера только с серым айпи, на которые NGINX proxy перекидывает трафик. На всех серверах, на которые роутит NGINX proxy, лежит сертификат для доменного имени NGINX proxy.
Вот вопрос: для SIP такой вариант прокатит?
И еще один: Камаилио должен пересылать трафик по TLS на айпишник или на домен (скажем: прописать в /etc/hosts сервера Камаилио серые айпишники серверов FreeSWITCH) ?
Заранее спасибо!
У меня регистрация экстеншенов на FreeSWITCH кластере. Перед ними Камаилио. Камаилио диспатчит на серые айпишники FreeSWITCH. У серверов FreeSWITCH нет белого айпи. Девайсы обращаются к доменному имени Камаилио и весь трафик к девайсам идет через него. Звук через RTPEngine.
Я хочу подключить TLS. Задолбался я с вариантом переганять c TLS от девайсов на UDP для FreeSWITCH. Хочу сделать так:
от девайса:
Device — (TLS) —> Kamailio — (TLS) —> FreeSWITCH
и обратно:
FreeSWITCH — (TLS) —> Kamailio — (TLS) —> Device
Для UDP все то де самое, только транспорт UDP.
Сертификат для Камалио сделаю. А как быть с сертификатами для FreeSWITCH. Использовать сертификат доменного имени Камаилио? Т.е.:
1) Сгенерить сертификат для доменного имени Камаилио (не самоподписной, через letsencrypt например).
2) Расбросать этот сертификат на сервера FreeSWICTH.
Таким образом, получиться так:
1) Device обращается по доменному имени, попадает на сервер Камаилио
2) Камаилио пересылает запрос по TLS на FreeSWICTH
3) FreeSWICTH дает ответ с сертификатом доменного имени Камаилиио
4) Камаилио пересылает ответ девайсу
5) Device проверяет сертификат. Девайс обратился по домену, с домена пришел сертификат. Девайс не знает о том что за этим доменным именем находится (какой из серверов из кластера работает с ним). Он же проверят соответствие домен - сертификат.
У меня такая схема работает для NGINX proxy. Есть сервер NGINX proxy с белым айпи и доменным именем. И есть другие сервера только с серым айпи, на которые NGINX proxy перекидывает трафик. На всех серверах, на которые роутит NGINX proxy, лежит сертификат для доменного имени NGINX proxy.
Вот вопрос: для SIP такой вариант прокатит?
И еще один: Камаилио должен пересылать трафик по TLS на айпишник или на домен (скажем: прописать в /etc/hosts сервера Камаилио серые айпишники серверов FreeSWITCH) ?
Заранее спасибо!
YG
TLS->UDP или
TLS->TLS не сильно изменит количество работы
А в целом я думаю даже добавит
TLS->TLS не сильно изменит количество работы
А в целом я думаю даже добавит