Auteur Sujet: Asterisk et wireguard : cafouillage RTP  (Lu 677 fois)

0 Membres et 1 Invité sur ce sujet

renaud07

  • Client Orange adsl
  • *
  • Messages: 1 749
Asterisk et wireguard : cafouillage RTP
« le: 30 juin 2019 à 21:34:40 »
Bonsoir,

Le plan d'adressage :

interfaces WG : 172.16.0.0/24
plages LAN : 192.168.1.0/24 - 192.168.2.0/24
serveur WG/asterisk : 172.16.0.1 - 192.168.2.6
serveur LAN client : 192.168.1.10 - 172.16.0.2
smartphones : 172.16.0.3-5
softphone PC1 : 192.168.1.11

J'ai décidé de réaménager ma mini infrastructure SIP en sécurisant tous les échanges. Comme le SRTP et le TLS marchent un coup sur 2 et vu que tous les tel/softphones ne le supportent pas, je me suis dit que j'allais retenter avec wireguard.

Après tâtonnement, je suis parvenu à faire fonctionner le tout en renseignant l'ip WG comme ip du serveur asterisk (au lieu de son ip côté LAN) sinon je n'avais pas de son (sur le LAN client), ni possibilité d’enregistrement sur les smartphones (pour que ça marche il fallait rediriger l'intégralité du trafic sur le VPN, hors ce n'est pas le fonctionnement souhaité).

Mais je rencontre tout de même un comportement étrange et aléatoire sur les smartphones : il arrive qu'asterisk définisse le peer audio sur l'adresse publique de la connexion 4G au lieu de 172.16.0.x et bien évidement dans ce cas aucun son. Et moi qui pensais que le VPN allait justement m'éviter les problèmes de ce type... ça marchait limite mieux quand je me connectais via l'ip publique ::)

Une idée du pourquoi ça merdouille ?

Merci d'avance.

Sur les captures : Dans le premier cas c'est ok, mais pas pour l'autre

renaud07

  • Client Orange adsl
  • *
  • Messages: 1 749
Asterisk et wireguard : cafouillage RTP
« Réponse #1 le: 01 juillet 2019 à 01:11:43 »
On dirait que ça va mieux si tout les flux passent par asterisk avec directmedia=no

Du coup je pense que je vais laisser comme ça, d'autant plus que si je laisse activé, je ne peux pas faire de transfert d'appels.

EDIT : Ouch, j'avais pas vu mais y'a pas mal de BP utilisée en plus, avec du speex16 en qualité 8 (28kb/s) je passe en tout de 44kb/s à 110-120kb/s avec le tunnel activé... Je pensais WG plus économe.

EDIT2 : Je viens au moins de trouver une utilité à WG : la continuité de communication, je peux passer du wifi à la 4G et même switcher 2G/3G/4G, le flux repart tout seul, c'est magique  :D Les opérateurs avec leur vowifi n'ont qu'à bien se tenir   ;D
« Modifié: 01 juillet 2019 à 01:40:50 par renaud07 »

zoc

  • Client Orange Fibre
  • *
  • Messages: 2 622
  • Antibes (06)
Asterisk et wireguard : cafouillage RTP
« Réponse #2 le: 01 juillet 2019 à 09:56:13 »
Je pensais WG plus économe.
80 octets par paquet UDP.

renaud07

  • Client Orange adsl
  • *
  • Messages: 1 749
Asterisk et wireguard : cafouillage RTP
« Réponse #3 le: 01 juillet 2019 à 15:44:45 »
Merci pour les chiffres.

renaud07

  • Client Orange adsl
  • *
  • Messages: 1 749
Asterisk et wireguard : cafouillage RTP
« Réponse #4 le: 03 juillet 2019 à 02:00:39 »
Je vais rajouter 2 tel physiques (un sur chaque LAN) et je voudrais les isoler sur un VLAN. Mais avec le VPN au milieu j'ai un doute : Les isoler du LAN est suffisant ou vaut-il mieux prolonger le VLAN dans le VPN ? Car vu que sur le VPN il n'y a que le trafic SIP, je me demande si c'est bien utile ?

zoc

  • Client Orange Fibre
  • *
  • Messages: 2 622
  • Antibes (06)
Asterisk et wireguard : cafouillage RTP
« Réponse #5 le: 03 juillet 2019 à 07:54:28 »
Ca va être dur de prolonger un VLAN (L2) dans un VPN wireguard qui transporte de l'IP (L3). Enfin, à moins de rajouter encore un niveau d'encapsulation par dessus wireguard, comme Ethernet over GRE. Ca ferait donc de l'Ethernet over GRE over Wireguard, pas sur que ce soit optimal.

L'autre solution c'est d'avoir un endpoint wireguard par VLAN et de configurer les clients de façon à ce qu'ils utilisent l'endpoint correspondant au VLAN qu'ils doivent utiliser.

renaud07

  • Client Orange adsl
  • *
  • Messages: 1 749
Asterisk et wireguard : cafouillage RTP
« Réponse #6 le: 03 juillet 2019 à 16:07:30 »
Ca va être dur de prolonger un VLAN (L2) dans un VPN wireguard qui transporte de l'IP (L3).

J'avais zappé ce MINUSCULE DÉTAIL  ::)

Enfin, à moins de rajouter encore un niveau d'encapsulation par dessus wireguard, comme Ethernet over GRE. Ca ferait donc de l'Ethernet over GRE over Wireguard, pas sur que ce soit optimal.

En effet assez lourdingue... Surtout sur de l'ADSL en PPPoE bonjour le nombre de couches.

L'autre solution c'est d'avoir un endpoint wireguard par VLAN et de configurer les clients de façon à ce qu'ils utilisent l'endpoint correspondant au VLAN qu'ils doivent utiliser.

Ça me plait déjà mieux, on testera ça  :)

Maintenant faut attendre la marchandise...

renaud07

  • Client Orange adsl
  • *
  • Messages: 1 749
Asterisk et wireguard : cafouillage RTP
« Réponse #7 le: 03 juillet 2019 à 17:00:09 »
Une chose qui n'a pas grand chose à voir avec wireguard et asterisk mais ça m'inquiète un peu :

Plusieurs fois quand je me suis connecté en SSH le système m'a averti que les clés avaient changées. Ce qui est bizarre c'est que ça me l'a fait 3-4 fois puis après plus rien. Là après un reboot de routeur, je me suis reconnecté/déco sans problème. Puis quelques minutes plus tard, je me suis reconnecté et paf, les clés ne sont plus les mêmes.

Le plus inquiétant c'est que ça me l'a fait cette fois sur une autre VM qui ne m'a jamais fait ça avant...

Y'aurait un moyen simple pour vérifier que personne ne me pirate ? Surtout que j'utilise des ports non standard pour SSH et que la VM asterisk n'est pas accessible directement de l'extérieur...


Rien de grave,  j'avais simplement mis la même IP à 2 VM  ::)
« Modifié: 05 juillet 2019 à 01:43:19 par renaud07 »

renaud07

  • Client Orange adsl
  • *
  • Messages: 1 749
Asterisk et wireguard : cafouillage RTP
« Réponse #8 le: 05 juillet 2019 à 01:07:34 »
Réception d'un grandstream GXP2000 pour 20€, qui dit mieux ? (en plus super bien emballé et aucune rayure, on dirait qu'il est neuf) Par contre faudrait appendre aux gens à remettre à zéro, y'avait encore le compte Freephonie de l'ancien proprio ainsi que son répertoire... Dommage que Free ai stoppé le service sinon j'aurais pû téléphoner gratos  :P

Configuré en 2 clics, très facile d'utilisation. A priori tout fonctionne, même le MWI. Je n'ai pas encore mis en place le VLAN mais y'a pas de raison.

Ça à l'air vraiment de la bonne cam ces téléphones. (J'ai même été choqué par le poids du combiné,  ça se voit que c'est pas que du plastique^^)

« Modifié: 05 juillet 2019 à 01:48:57 par renaud07 »

renaud07

  • Client Orange adsl
  • *
  • Messages: 1 749
Asterisk et wireguard : cafouillage RTP
« Réponse #9 le: 07 juillet 2019 à 00:49:38 »
VLAN en place, tout fonctionne.

Par contre j'ai un petit bug (et encore pas sur que ce soit lié). Lorsque j’appelle depuis le GXP, on dirait que la négociation des codecs déconne. Il prend le PCMA alors que j'ai spécifié en premier le G722 et que en face il n'y a que le G722 de possible. Par contre dans le sens smartphone > GXP, là il prend bien le G722. C'est pareil avec les autres codecs comme le G729.

renaud07

  • Client Orange adsl
  • *
  • Messages: 1 749
Asterisk et wireguard : cafouillage RTP
« Réponse #10 le: 08 juillet 2019 à 16:48:14 »
J'ai voulu ajouter mon PC au VLAN SIP pour faire des tests, mais je n'arrive plus à atteindre asterisk...

Le VLAN est bon, j'arrive à ping le GXP et le Rpi. Par contre pas moyen avec asterisk, le ping n'arrive pas au serveur, alors que j'ai explicitement rajouté une route :
Table de routage IP du noyau
Destination     Passerelle      Genmask         Indic Metric Ref    Use Iface
0.0.0.0         192.168.1.1     0.0.0.0         UG    100    0        0 enp2s0
0.0.0.0         192.168.3.1     0.0.0.0         UG    400    0        0 SIP
172.16.1.0      192.168.3.1     255.255.255.0   UG    0      0        0 SIP
172.16.9.0      0.0.0.0         255.255.255.0   U     0      0        0 vmnet8
172.16.234.0    0.0.0.0         255.255.255.0   U     0      0        0 vmnet1
192.168.1.0     0.0.0.0         255.255.255.0   U     100    0        0 enp2s0
192.168.3.0     0.0.0.0         255.255.255.0   U     400    0        0 SIP

(J'ai changé l'adressage, asterisk est désormais en 172.16.1.1/24 et le VLAN 192.168.3.0/24)

Chose curieuse aussi, le Rpi (qui fait l'endpoint) balance des DHCP discover sur le VLAN alors que son adressage est statique  ???

renaud07

  • Client Orange adsl
  • *
  • Messages: 1 749
Asterisk et wireguard : cafouillage RTP
« Réponse #11 le: 14 juillet 2019 à 21:35:56 »
Tout le monde est en vacances ?  :P

De mon côté j'accumule les bugs : Si le serveur change d'ip, le client est déconnecté mais même après plusieurs minutes (le temps que le DNS change) il ne se reconnecte pas... Il faut que je refasse un wg-quick down/up pour que ça reparte.

C'est le comportement normal ou ça devrait effectivement se reconnecter tout seul ?
« Modifié: Hier à 01:45:58 par renaud07 »

 

Mobile View