Wer hat bereits Asterisk + Fail2Ban auf einem Raspberry Pi installiert?
Hallo zusammen,
demnächst will ich mit meinem experimentellen Telefonserver auf der Basis von Asterisk auf einen Raspberry Pi umziehen und dann Fail2Ban installieren, das gegen Angriffe schützen soll. Insbesondere verstehe ich die Konfiguration von Fail2Ban noch nicht. Wer hat das schon gemacht und könnte mir dankenswerterweise dabei helfen? Alles läuft dann auf dem Raspberry Pi unter Linux.
Die derzeitige Lösung: FritzBox 7170 mit Asterisk 1.4.22 auf USB-Stick
Raspberry Pi 3 B+
So ein Raspberry Pi mit Asterisk wäre auch als Client interessant, da er wesentlich mehr Konfigurations-Möglichkeiten als eine FritzBox bietet.
Viele Grüße Volker
"Das Radio hat keine Zukunft." (Lord Kelvin, Mathematiker und Physiker (1824-1907))
!!!
Fotos, Grafiken nur über die
Upload-Option des Forums, KEINE FREMD-LINKS auf externe Fotos.
!!! Keine
Komplett-Schaltbilder, keine Fotos, keine Grafiken, auf denen
Urheberrechte Anderer (auch WEB-Seiten oder Foren) liegen! Solche Uploads werden wegen der Rechtslage kommentarlos gelöscht!
Keine Fotos, auf denen Personen erkennbar sind, ohne deren schriftliche Zustimmung.
Re: Wer hat bereits Asterisk + Fail2Ban auf einem Raspberry Pi installiert?
Um welche Linux-Distri handelt es sich?
Fail2Ban schützt nicht gegen Angriffe. Die kommen durch, sofern da irgendwas am Internet hängt und auf einem Port lauscht. Daher: für Dinge, die nur intern genutzt werden, private IP-Adressen nehmen. Portweiterleitungen bei IPv4 nur da einrichten, wo benötigt. ist keine Vorhanden geht es am NAT-Router in den Müll. Eine zusätzliche Firewall ist da nicht mehr notwendig, um eingehenden Verkehr zu filtern. Anders als bei öffentlichen IPv6-Adressen. Bei IPv4 aus dem Bereich 10.0.0.0/8, 172.16.0.0/12 bzw. 192.168.0.0/16 Bei IPv6 gibt es auch entsprechende Bereiche dafür: fd00::/8 Diese Bereich wird im öffentlichen Internet nicht geroutet, ergo auch keine Fw notwendig, NAT ist bei IPv6 auch nicht vorgesehen.
Sofern das Teil aber über eine öffentliche IP verfügt oder eine private IPv4 mit Portweiterleitung am NAT-Router hat, ist es aus dem Internet erreichbar. Daher sollten auf diesen Adressen nur Dienste laufen, die von außen auch erreichbar sein sollen. So kann man am besten die Angriffsfläche reduzieren. Beispiel: Der Rechner hat die IP 2001:470:1234::6/64 Die wäre aus dem Internet erreichbar. Wenn dort aber z.B. auf Port 22 (Standardport für SSH) kein Dienst läuft, kann auch kein Angriff erfolgen. Der Client vom Angreifer bekommt dann die Info, dass da nichts läuft. Läuft aber ein Dienst, so kann man einen Angriff nicht verhindern. Er findet statt, z.B. indem versucht wird, sich per SSH einzuloggen. Daher: Keinen allgemeinen Benutzernamen verwenden und in der SSHd-Konfiguration nur diesen zulassen. Dieser Benutzer sollte keine root-Rechte haben (nicht in sudo-Gruppe sein). Alle anderen werden verboten, so kann keine Lücke entstehen, wenn man mal einen User anlegt oder ein Programm einen anlegt. Hier mal der Auszug aus meinem SSH-Log eines heute morgen aufgesetzten Servers, hauptsächlich laufen die Angriffe über IPv4:
Re: Wer hat bereits Asterisk + Fail2Ban auf einem Raspberry Pi installiert?
Hallo Marco,
mein SIP-Server ist von außen erreichbar. Sonst könnte ich ja nur intern telefonieren. Also müssen diverse Ports des Routers offen sein. Ich hatte schon über 1000 Zugriffe gleichzeitig von der gleichen IP-Adresse, die sich mit Phantasie-Nummern einwählen wollen Und das unterbindet Fail2Ban schon. Fail2Ban arbeitet auch mit einer Blacklist. Wird auch z.B. von Sipgate empfohlen.
Bei über 1000 Zugriffen hat der Prozessor von der alten FritzBox schon einiges zu tun. Ich sehe das als einen Angriff an.
Ja, wäre toll, wenn du mir bei der Konfiguration helfen könntest. Der SIP-Server soll mit Asterisk auf einem Raspberry Pi mit Raspbian laufen. Rudimentäre Linux-Kenntnisse bei mir vorhanden.
Wenn es läuft, soll die Konfiguration als Image kostenlos zur Verfügung gestellt werden. Der Nutzer lädt sich das Image herunter, kopiert es mit Raspberry Pi Imager auf eine MicroSD-Karte, schiebt sie in sein Raspberry Pi und dann noch ein paar individuelle Konfigurationen nach Anleitung und die Telefonanlage läuft. So stelle ich es mir vor.
Viele Grüße Volker
"Das Radio hat keine Zukunft." (Lord Kelvin, Mathematiker und Physiker (1824-1907))
Re: Wer hat bereits Asterisk + Fail2Ban auf einem Raspberry Pi installiert?
Hallo zusammen, Hallo Marco,
so, jetzt bin ich schon ein Stück weiter und habe herausgefunden, wie man die Asterisk Ver. 1.4 auf den Raspberry kompiliert. Dann brauche ich meine Konfiguration des Asterisk nicht ändern, was mir eine Menge Arbeit erspart. Die Version 1.4 läuft sehr stabil auf der alten FritzBox 7170. Aber ewig wird diese Technik nicht durchhalten. Deshalb die Migration auf den Raspberry.
Am Anfang hatte ich große Schwierigkeiten, weil ich an den Raspberry einen VGA-Monitor über ein HDMI-Adapter angeschlossen hatte. Das klappt nicht. Es kommt kein Bild. Ich warte nun, bis der HDMI-Monitor kommt. In der Zwischenzeit kann ich mich einlesen. In der Praxis kommen die Probleme so oder so.
Es ruht nun eine gewisse Verantwortung auf mich, da mein kleiner SIP-Server immer mehr Teilnehmer bekommt. Es sind hauptsächlich Funkamateure, die fleißig telefonieren und miteinander zum Teil stundenlange Gespräche führen. Im Prinzip ist das wie Amateurfunk. Nur ist neben den Funkwellen das Internet dazugekommen. Hauptsache es ist möglichst viel selbst entworfen und ausprobiert. Alles aus Freude am Experiment. Seit einigen Tagen hat mein SIP-Server einen Zugang zu Echolink https://de.wikipedia.org/wiki/Echolink bekommen. Man kann also über das Telefon von überall aus der Welt Sprechfunk auf einem Amateurfunk-Relais ausüben. Den Zugangs-Code bekommen natürlich nur Funkamateure. Im Gegensatz zum Amateurfunk erwarten nun die Anwender eine hohe Verfügbarkeit und Verbindungsqualität. Die Sprachqualität sei besser als bei den kommerziellen Telefonanbietern und auf jeden Fall besser als bei den meisten Messenger-Diensten. Eine Verschlüsselung der SIP-Telefonate ist mit TLS sogar prinzipiell möglich, was jedoch im Amateurfunk verboten wäre.
Viele Grüße Volker
"Das Radio hat keine Zukunft." (Lord Kelvin, Mathematiker und Physiker (1824-1907))
Re: Wer hat bereits Asterisk + Fail2Ban auf einem Raspberry Pi installiert?
Ein VGA-HDMI-Adapter kann gar nicht funktionieren, da HDMI definitiv ein digitales und VGA ein analoges Signal ist. Es braucht einen Konverter, der aus dem digitalen Signal ein analoges Signal macht. Bei DVI gibt es zumindest bei älteren Grafikkarten, die noch DVI-I haben, auch ein analoges Signal, das kann man problemlos mit einem Adapter nutzen, da es VGA ist, nur über einen anderen Stecker. Geht aber bei neuen Grafikkarten nicht mehr, da die nur noch DVI-D haben. Sofern die den passenden Stecker an der GraKa dafür verwenden passt auch der VGA-Adapter nicht. https://en.wikipedia.org/wiki/File:DVI_Connector_Types.svg
Re: Wer hat bereits Asterisk + Fail2Ban auf einem Raspberry Pi installiert?
Hallo Marco,
schon richtig. Streng genommen ist es ein Konverter. Die Dinger werden als Adapter verkauft. Die Endkunden wollen ein Kabel, das von da nach da passt. Versuche mal den Adapter als "Digital-Analog-Konverter von HDMI nach VGA" zu verkaufen. Die meisten Endkunden können damit nichts anfangen. Die Endkunden wollen ein passendes Kabel. Alles andere ist denen unwichtig.
Nach dem ersten Start von Raspbian kommt mit dem "Adapter" ein Bild und beim nächsten Neustart keines mehr. Gehe ich an meinen Fernseher, geht es dort immer am dortigen HDMI-Eingang. Ich kann das Netzteil ausschalten und wieder einschalten. Das Bild kommt immer am Fernseher. Also taugt der Konverter im Adapter nichts. Nun warte ich auf meinen HDMI-Monitor, der zum Glück auch noch einen VGA- und DVI-Eingang hat.
Das Projekt wird immer komplizierter. Da die meisten Internet-Zugänge dynamisch in regelmäßigen Abständen eine neue öffentliche IP zugewiesen bekommen, muss noch ein DynDnS, genauer gesagt der kostenlose Servcie von NoIP installiert werden. Sonst wird das nichts mit dem telefonieren über das Internet. Ein FTP-Server kommt bei der Gelegenheit auch auf den Raspberry. Wahrscheinlich wird sich für das Projekt kaum jemand interessieren. Aber egal, macht Spaß und man lernt was dabei.
Jetzt habe ich auch herausgefunden, wie man das alte Asterisk 1.4.4 für den ARM-Prozessor des Raspberry kompiliert. Der ganze Aufwand nur um telefonieren zu können, was auch mit der Handi-Flatrate oder WhatsApp ginge. Kein Wunder, dass kaum jemand den Zusatznutzen erkennt.
Viele Grüße Volker
"Das Radio hat keine Zukunft." (Lord Kelvin, Mathematiker und Physiker (1824-1907))
Re: Wer hat bereits Asterisk + Fail2Ban auf einem Raspberry Pi installiert?
Für DynDNS kannst du dynv6 nutzen, da kann man auch AAAA_Records anlegen, die man für IPv6 benötigt. Ich würde da auch gleich IPv6 einführen, das wird definitiv zukünftig notwendig, gerade bei VoIP, da das mit CG-NAT bei IPv4 nicht so dolle funktioniert.
Re: Wer hat bereits Asterisk + Fail2Ban auf einem Raspberry Pi installiert?
Hallo Marco,
vielen Dank für deine wertvollen Tipps. Du bist ja voll fit auf dem Gebiet. Ich bin erst einmal zufrieden den Raspberry mit IPv4 und einem alten Asterisk zum Laufen zu bringen.
Könnte man grundsätzlich VPN und ein DynDNS auf dem Raspberry gleichzeitig betreiben, damit sich der Benutzer die Portfreigaben in seinem Router spart?
Unter http://www.raspberry-asterisk.org/first-compile/ habe ich eine Anleitung zum Kompilieren und Installieren gefunden. Die erste Zeile verstehe ich nicht. Muss man das alles installieren? In der zweiten Zeile stimmt der Link nicht. Aber ich habe auf http://downloads.asterisk.org die tar.gz-Dateien gefunden. Sie sind in einem anderen Ordner verschoben worden. Ich will Asterisk 1.4.4 installieren, das ebenfalls vorhanden ist.
Hoffentlich kommt mein Monitor bald. Ich will endlich loslegen. Seit zwei Jahren liegts der raspberry pi 3 b+ hier herum und jetzt kann ich es kaum erwarten. Was tut man nicht alles, um mit alten Wählscheibentelefonen im eigenen Netz telefonieren zu können. Alte Faxe und Fernschreiber könnte man auch noch betreiben. Fax geht und beim Fernschreiber werden nur zwei Töne übertragen.
Viele Grüße Volker
"Das Radio hat keine Zukunft." (Lord Kelvin, Mathematiker und Physiker (1824-1907))
Re: Wer hat bereits Asterisk + Fail2Ban auf einem Raspberry Pi installiert?
Hallo zusammen,
nach einem zweitägigen "Linux-Raspberry-Asterisk-Fail2Ban-Crashkurs" bin ich jetzt völlig übermüdet. Aber es läuft alles wie es soll und sogar besser.
Mein keiner Telefon-Server ist nun von der alten FritzBox 7170 auf einen Raspberry Pi 3 B+ umgezogen und hat außerdem ein Upgrade von Asterisk 1.4.22 auf Asterisk 16.2.1 erfahren. Das war schon ein Sprung. Kleinere Anpassungen waren notwendig, die in keiner Beschreibung standen. Es waren aber nur Kleinigkeiten in der Sip.conf. Das hatte mich positiv überrascht. Auf dem Raspberry läuft das aktuelle Raspbian OS. Die grafische Oberfläche ist unbedingt empfehlenswert. Als Linux-Einsteiger hätte ich es nicht auf der Kommandozeilenebene geschafft. Fail2Ban in Verbindung mit IPTables war auch eine Herausforderung. Auch dafür gab es keine aktuelle Anleitung, weil die Software auf dem neuesten Stand ist. Man musste sich das Wissen aus teils veralteten Skripten zusammenbasteln. Das Einrichten der statischen IP war auch nicht ganz so, wie es in den zahlreichen Anleitungen steht. Der Raspberry ist selbstverständlich per LAN-Kabel verbunden. Wlan ist viel zu unsicher. Es kommt auf eine hohe Verfügbarkeit im Interesse der Teilnehmer an. Den Test bei einem Stromausfall hat er auch bestanden. Er fährt hoch, wenn der Strom wieder da ist und die Programme starten selbständig und korrekt.
Die CPU-Auslastung des Raspberry beträgt für Asterisk und Fail2Ban im Leerlauf etwa 1%. Bei einem Telefonat beträgt die Auslastung 5%, bei 2 Telefonaten 6%. Es sind also genug Reserven für eine Haustelefonanlage vorhanden.
Selbstverständlich werde ich alles genau dokumentieren. Geplant ist ein Image zum herunterladen, in der ein kleiner SIP-Server mit ein paar Nebenstellen-Teilnehmern und Zugängen von Telefonprovidern vorkonfiguriert ist. Man muss dann nur die SIP-Account-Daten und die Passwörter eintragen. Das Schema der Asterisk-Konfiguration ist leicht zu erkennen, was relativ einfach Erweiterungen ermöglicht. Fail2Ban ist selbstverständlich auch installiert und konfiguriert. Und die notwendige feste IP lässt sich durch Entfernen der Auskommentier-Zeichen einrichten. Man muss nur das Image auf Micro-SD-Karte kopieren (ist ganz einfach mit Raspberry Pi Manager), in den Raspberry reinstecken und los gehts.
Man glaubt es nicht, aber telefonieren macht mit so einem Raspberry viel mehr Spaß und es haben sich schon einige Gleichgesinnte angeschlossen, die sich für die Symbiose aus alter und neuer Telefon-Technik begeistern können. Vom Geiste her ist das im Grunde nicht viel anders als im Amateurfunk. Und die meisten Teilnehmer sind auch Funkamateure, die gerne mit FritzBoxen und Computern experimentieren. Allerdings- ist die Sprach- und Verbindungsqualität wesentlich besser als im Amateurfunk. Mit entsprechenden Telefonen gelingen auch Dreier-Konferenzen. Mal sehen, was ich aus der neuen Asterisk-Version noch herausholen kann.
Viele Grüße Volker
"Das Radio hat keine Zukunft." (Lord Kelvin, Mathematiker und Physiker (1824-1907))
Auch Anfänger müssten damit zurecht kommen. Viel Freude und schöne Stunden beim kostenlosen Telefonieren!
Mitglieder des Wumpus-Gollum-Forums bekommen gerne von mir einen SIP-Account. Dies ist wegen der zahlreichen Testnummern besonders für jene interessant, welche mit neuer oder alter Telefontechnik experimentieren möchten.
Viele Grüße Volker
"Das Radio hat keine Zukunft." (Lord Kelvin, Mathematiker und Physiker (1824-1907))