从0到1打造自己的VOIP网络电话系统(基于FreePBX)

从0到1打造自己的网络电话系统

最近流量卡越来越便宜了，看看自己手里的“坑不死老用户”的联通卡，顿时感觉到深深的恶意，但是iPhone没有双卡功能，所以只好自己动手打造一个网络电话系统托管联通卡，iPhone使用流量卡，系统转移联通卡的呼叫到iPhone上，其实也没什么人给我打电话了[捂脸🤦‍♂️]，主要是转发短信，方便接受验证码。当然，反过来也可以，在iPhone上通过互联网使用系统中的联通卡拨号，和发短信，不过发短信基本上用不到了。

其实实现起来很简单，就是使用各种现成的工具，累积木一样搭出来。硬件清单如下：

• Raspberry pi 3代B 一枚
• 2A电源（我用的是iPad的充电器）
• 16GB的SD卡+可读写SD卡的读卡器
• 华为的上网卡托E169

开始

已经有封装了Asterisk和FreePBX的系统：RasPBX

1. 首先下载RasPBX系统，烧录到SD卡中，通电启动树莓派，接上显示器和键盘（或者不用外接硬件），连上无线网。

   配置ssh登录。

2. 按照RasPBX的安装教程首先应该raspbx-upgrade，但是在我大天朝就别想那么顺利，需要那个啥你懂的，至于如何那个啥大家就各显神通吧，如果你和我一样使用ss那么可以参考这篇文章

   如果一切顺利，那么proxychains raspbx-upgrade，大概等个10多分钟就能更新完毕

3. FreePBX提供了一个友好的Web界面供我们使用，在浏览器中输入http://raspbx，mac输入http://raspbx.local登录,选择Administrator，使用默认初始账号admin,密码admin进行登录。

4. 进入管理控制台后，首先映入眼帘的是仪表盘
   

   先在局域网中测试一下能否正常使用，然后在到公网上去。由于是在局域网中测试，所以配置很简单，直接在Applications->Extensions->Add new Chan_SIP Extension新建一个分机，在Generaltab页里面填好第一个SIP账户的信息，例如
   

   然后在Advanced中设置NAT Mode为Yes - (force_rport,comedia)，

   最后点击右下角的submit，

   再去Settings->Asterisk SIP Settings里面的Chan SIP Settingstab页下面的第一个NAT设置未Never，然后Submit。

   最后的最后点击右上角的Apply Config应用刚才的配置。

5. 接下来去下载一个SIP客户端，我选择的是zoiper,安装完成之后，在Account中添加刚才在FreePBX中添加的账户，记住密码是secret中的值，千万别填下面的，那个是该用户进入管理控制台的密码，如果用户名或者密码不正确只会返回403而不会提示用户名或者密码错误。这里的Domain就填写RasPBX在局域网中的ip地址。

   填好之后，点击上方的Register

6. 如果只有一个手机的话，那么可以在电脑上再装一个SIP软件，我在Mac上安装了Telephone,然后重复上面的步骤再注册另一个账户，在Mac上登录。

   打一个电话测试一下吧，是不是很激动：）

内网测试通过之后，就可以开始搭建外网访问了

1. 现在可以尝试通过外网访问了，一般常见的有三种外网访问情况。

   1. 如果你有公网IP，那么这是最省事的，可惜大多数人没有。

   2. 用动态域名进行访问

   3. 没有路由器权限或者路由器没有被分配公网IP，这种情况只能内网穿透。

   我没有公网IP，所以1不行，本来我家里的路由器也没有被分配公网IP，因为路由器连接电信的光猫使用DHCP联网的，公网IP被分配到了电信的光猫上了，所以选择3，进行内网穿透，使用ssh反向代理，但是发现ssh可以转发TCP，对于UDP就无能为力了，于是打算把SIP的协议改成TCP，但是发现通信用的RTP只能使用UDP，没法改。因此，又琢磨着使用IAX，结果发现IAX好像也改不成UDP，或许是我的姿势不对。不得已只能试试2了，本来想破解电信的光猫，然后将其改成桥接模式，让路由器进行PPOE拨号上网，看了很多破解教程，发现网上流传的漏洞都被堵死了，至此打算放弃了，最后抱着试试看的心态，联系了电信客服，客服说已为我报修，之后会有工程师联系我，过了不久，工程师给我来电了，我说要把光猫改成桥接模式，工程师很爽快的答应了，立马就远程改好了，叫我过20分钟重启，重启之后果然变成了桥接模式。接着我在路由器中使用PPPOE进行拨号上网，路由器就被分配了公网IP，真是踏破铁鞋无觅处，得来全不费功夫：）

2. 使用动态域名进行访问

   先拿到路由器被分配的公网IP，可以直接在路由器中查看，或者在路由器下面的树莓派中通过终端:curl ip.cn查看该IP。

   打开freepbx的web界面，登录管理员界面，Settings->Asterisk SIP Settings中Detect Network Settings，自动检测IP，应该和上一步中拿到的IP相同，再检查下面的内网地址是否正确。
   
   然后去Chan SIP Settingstab页下面的NAT设置Static IP ，默认值就是之前检测到的结果，如果没错就不用改，然后submit,applyconfig。
   

   再到路由器中设置端口转发，因为那个公网IP是路由器的地址。每种路由器的设置都不同，请自行摸索一下，其实很简单，就是把路由器的5060端口转发到树莓派的5060端口，协议最好选择TCP/UDP，还有10001～20000端口也要转发到树莓派的10001~20000，这个是RTP通信端口可以选择转发UDP.这里没必要转发一万个端口，一次通信只需要4个端口，所以转4个端口10001～10004用来测试就可以了。

   现在去客户端中把Domain改成公网IP，应该能够拨通分机。

   用手机的4G网络再试一次，还是正常那就通过了。

3. 因为这个IP是电信运营商动态分配的，随时都有可能变化，所以需要不断检测当前IP地址，然后通过DNS服务更改解析。最简单的做法可以直接用花生壳等服务商的服务，不过我不喜欢这些服务商，打算自己写个脚本来实现，这样既有成就感又能完全掌握，用花生壳的客户端给我一种感觉：总有***民想害朕。

   云计算井喷式的发展，我等小P民也能美美的用上了，去阿里云买个便宜的ip地址和dns云解析一年也才50多块，阿里云的云解析的TTL最快达到1s。
   

   树莓派默认已经安装了python环境，那就用python吧，调用阿里云的sdk就可以了，分分钟的事情。脚本参考连接，原作者已经写得很好了，只是有一个异常情况作者没有遇到，那就是ip.cn宕机了，所以我在脚本中简单处理了一下这种情况。
   在树莓派中，新建vim aliyun_ddns.py，把下面的代码复制进去，部分地方根据实际情况修改。

    # -*- coding: UTF-8 -*-
    
    import json
    import os
    import re
    import sys
    from datetime import datetime
    
    from aliyunsdkalidns.request.v20150109 import UpdateDomainRecordRequest,    DescribeDomainRecordsRequest, \
        DescribeDomainRecordInfoRequest
    from aliyunsdkcore import client
    
    #请填写你的Access Key ID
    access_key_id = "你的keyID"
    
    #请填写你的Access Key Secret
    access_Key_secret = "你的Secret"
    
    #请填写你的账号ID
    account_id = "你的账号ID"
    
    #如果选择yes，则运行程序后仅现实域名信息，并不会更新记录，用于获取解析记录ID。
    #如果选择NO，则运行程序后不显示域名信息，仅更新记录
    i_dont_know_record_id = 'yes'
    
    #请填写你的一级域名
    rc_domain = '域名'
    
    #请填写你的解析记录
    rc_rr = '你的解析记录'
    
    #请填写你的记录类型，DDNS请填写A，表示A记录
    rc_type = 'A'
    
    #请填写解析记录ID
    rc_record_id = '解析记录ID'
    
    #请填写解析有效生存时间TTL，单位：秒
    rc_ttl = '1'
    
    #请填写返还内容格式，json，xml
    rc_format = 'json'
    
    
    def my_ip():
        get_ip_method = os.popen('curl -s ip.cn')
        get_ip_responses = get_ip_method.readlines()[0]
        get_ip_pattern = re.compile(r'\d+\.\d+\.\d+\.\d+')
        get_ip_value = get_ip_pattern.findall(get_ip_responses)[0]
        return get_ip_value
    
    
    def check_records(dns_domain):
        clt = client.AcsClient(access_key_id, access_Key_secret, 'cn-hangzhou')
        request = DescribeDomainRecordsRequest.DescribeDomainRecordsRequest()
        request.set_DomainName(dns_domain)
        request.set_accept_format(rc_format)
        result = clt.do_action_with_exception(request)
        return result
    
    
    def old_ip():
        clt = client.AcsClient(access_key_id, access_Key_secret, 'cn-hangzhou')
        request = DescribeDomainRecordInfoRequest.DescribeDomainRecordInfoRequest()
        request.set_RecordId(rc_record_id)
        request.set_accept_format(rc_format)
        result = clt.do_action_with_exception(request)
        result = json.JSONDecoder().decode(result)
        result = result['Value']
        return result
    
    
    def update_dns(dns_rr, dns_type, dns_value, dns_record_id, dns_ttl, dns_format):
        clt = client.AcsClient(access_key_id, access_Key_secret, 'cn-hangzhou')
        request = UpdateDomainRecordRequest.UpdateDomainRecordRequest()
        request.set_RR(dns_rr)
        request.set_Type(dns_type)
        request.set_Value(dns_value)
        request.set_RecordId(dns_record_id)
        request.set_TTL(dns_ttl)
        request.set_accept_format(dns_format)
        result = clt.do_action_with_exception(request)
        return result
    
    def write_to_file():
        time_now = datetime.now().strftime('%Y-%m-%d %H:%M:%S')
        current_script_path = sys.path[7]
        print current_script_path
        log_file = current_script_path + '/' + 'aliyun_ddns_log.txt'
        write = open(log_file, 'a')
        write.write(time_now + ' ' + str(rc_value) + '\n')
        write.close()
        return 
    
    if i_dont_know_record_id == 'yes':
        print check_records(rc_domain)
    elif i_dont_know_record_id == 'no':
        try:
          rc_value = my_ip()
        except:
          print 'Can not get my ip via internet'
        else:
          rc_value_old = old_ip()
          if rc_value_old == rc_value:
            print 'The specified value of parameter Value is the same as old'
          else:
            print update_dns(rc_rr, rc_type, rc_value, rc_record_id, rc_ttl, rc_format)
            write_to_file()

然后导入阿里云的python sdk：`pip install aliyun-python-sdk-alidns`。

先去阿里云控制台手动解析一下，生成一个记录就OK了。

首次运行脚本前，把上面的脚本中的`i_dont_know_record_id`填写`yes`，然后运行`python /path/of/aliyun_ddns.py`，拿到结果中就包含了你的解析记录ID，
```
{
"PageNumber": 1,
"TotalCount": 1,
"PageSize": 1,
"RequestId": "xxxxx-xxxx-xxxx-xxxx-xxxxxx",
"DomainRecords": {
    "Record": [
    {
        "RR": "xxxx",
        "Status": "xxxxx",
        "Value": "xxxxxx",
        "RecordId": "xxxxxxx",
        "Type": "A",
        "DomainName": "xxxx",
        "Locked": false,
        "Line": "default",
        "TTL": "1"
    }
    ]
}
}
```
把`RecordId`的值填到脚本中`rc_record_id`，然后把`i_dont_know_record_id`改为`no`，
再次执行，如果没有异常那就通过了。

然后用cron做成定时任务。
输入`crontab -e`，添加：
```
*/1 * * * * /usr/bin/python2.7 ~/aliyun_ddns.py > /dev/null 1>/dev/null
```
注意脚本的路径。

1. 去FreePBX的管理控制台中，Settings->Asterisk SIP Settings中Detect Network Settings，将其删除，这个输入框留空，因为我们要用动态域名，所以这里不能填IP，到Chan SIP Settingstab页下面的NAT设置Dynamic IP ，输入买来的域名，下面的检测间隔设置为60s。Submit->Apply Config

2. 
   注意：最好在路由器中设置给树莓派一个静态ip，防止树莓派的ip地址变化了，导致路由器的端口转发实效。

3. 在用客户端中，把Domain改成域名，测试一遍，分机之间可以相互通信。

使用上网卡托接打电话

1. 这时候就需要3G chan_gongle了，我是在某宝上买的华为E169。chan_dongle兼容的产品列表

   先安装驱动install-dongle，安装过程中会询问几个问题，认真作答：）

    Please enter the phone number of your SIM card (defaults to +1234567890 if left blank):
    输入U棒里的 sim卡手机号码，直接回车则默认为 +1234567890

    Send incoming SMS to email address (leave empty to disable SMS forwarding):
    设置邮箱，以便将U棒收到的短信内容转发过去，直接回车可取消该功能

    Forward incoming SMS to mobile phone number (via dongle0) (leave empty to disable):
    设置一个手机号码，以便将U棒收到的短信通过 dongle0 转发至该号码，直接回车可取消该功能

    Would you like to install a webpage for sending SMS with chan_dongle? (http://raspbx/sms/) [y/N]
    是否安装发送短信的web页面，可回答 y 并按提示设置一个登录密码。

1. 增加一个trunk:connectivity->Trunks
   
   填上dongle/dongle0/$OUTNUM$
   

   Submit->ApplyConfig

2. 编写拨号路由：connectivity->Outbound Routes,命名Route Name,选择刚才新建的Trunk
   

   设置拨号规则，匹配号码，如果你的号码匹配这个规则，那么就使用咱们的Trunk拨号，这里我添加了两个规则：1.匹配1开头的所有号码，prefix=9即第一数字是9的所有号码。
   

   Submit->ApplyConfig

3. 编写接听路由：connectivity->Inbound Routes，填写Description描述一下，Set Destination目标选择801分机
   
   Submit->ApplyConfig

4. 现在在客户端中拨号1**********，应该就可以拨通了，再发条短信到我的号码上，应该也会自动转发到目标号码上。不过短信转发支持不完善，经常缺失内容，所以干脆禁用该功能，使用邮件转发收到的短信。

通过邮件转发收到的短信

1. 配置exim4：dpkg-reconfigure exim4-config或者直接修改文件/etc/exim4/update-exim4.conf.conf，例如我使用自己的QQ邮箱，其他邮箱自行在邮箱设置中找到对应的配置

   dc_eximconfig_configtype='smarthost'
   dc_other_hostnames='raspberrypi'
   dc_local_interfaces='127.0.0.1'
   dc_readhost=''
   dc_relay_domains=''
   dc_minimaldns='false'
   dc_relay_nets=''
   dc_smarthost='smtp.qq.com'
   CFILEMODE='644'
   dc_use_split_config='false'
   dc_hide_mailname='false'
   dc_mailname_in_oh='true'
   dc_localdelivery='mail_spool'
   

2. smtp的帐号密码设置/etc/exim4/passwd.client

   smtp.qq.com:邮箱账号:邮箱密码
   

   我这里的邮箱密码使用的是腾讯的授权码。

3. 系统邮箱地址/etc/email-addresses

   root: 邮箱账号
   asterisk: 邮箱账号
   

   这里一定要填写asterisk，因为chan_dongle使用帐户asterisk调用sendemil命令，所以如果不写，邮箱服务端不认可。添加root，是为了测试用。

   update-exim4.conf更新一下。

   命令send_test_email your_email@someisp.com，测试一下是否能够发送成功。

4. 注意日志文件是/var/log/exim4/mainlog，如果有任何问题先去日志里看看。

5. 配置/etc/asterisk/dongle.conf

   context=from-trunk              ; context for incoming calls
   group=0                         ; calling group
   rxgain=0                        ; increase the incoming volume; may be negative
   txgain=0                        ; increase the outgoint volume; may be negative
   autodeletesms=yes               ; auto delete incoming sms
   resetdongle=yes                 ; reset dongle during initialization with ATZ command
   u2diag=0                        ; set ^U2DIAG parameter on device (0 = disable  everything except modem function) ; -1 not use ^U2DIAG command
   

   继续往下翻，配置dongle0，ttyUSB*和你系统中的保持一致，底下的imei和imsi可以通过命令：asterisk -rx "dongle show devices"找到。

    ; dongle required settings
    [dongle0]
    audio=/dev/ttyUSB1              ; tty port for audio connection;        no default  value
    data=/dev/ttyUSB2               ; tty port for AT commands;             no default  value

    ; or you can omit both audio and data together and use imei=123456789012345 and/or  imsi=123456789012345
    ;  imei and imsi must contain exactly 15 digits !
    ;  imei/imsi discovery is available on Linux only
    imei=xxxx
    imsi=xxxx

1. 设置chan_dongle的/etc/asterisk/extensions_custom.conf

    [from-trunk]
    exten => s,n,goto(from-trunk,${DONGLEIMEI},1)

    exten => sms,1,Verbose(Incoming SMS from ${CALLERID(num)} ${SMS})
    exten => sms,n,System(echo '${STRFTIME(${EPOCH},,%Y-%m-%d %H:%M:%S)} - ${DONGLENAME}    - ${CALLERID(num)}: ${SMS}' >> /var/log/asterisk/sms.txt)
    exten => sms,n,System( echo "Receiver:${DONGLENUMBER}\nDate:${STRFTIME(${EPOCH},,   %Y-%m-%d %H:%M:%S)}\nContent:${SMS}" | /usr/bin/mail -s '[SMS]From:${CALLERID(num)}'   邮箱地址)
    exten => sms,n,Hangup()

    exten => ussd,1,Verbose(Incoming USSD: ${USSD})
    exten => ussd,n,System(echo '${STRFTIME(${EPOCH},,%Y-%m-%d %H:%M:%S)} - ${DONGLENAME}   : ${USSD}' >> /var/log/asterisk/ussd.txt)
    exten => ussd,n,Hangup()

1. 输入命令amportal admin reload，更新配置。
2. 输入asterisk -vvvvvr进入调试模式，观察调试信息，这时候发送一条短信到你的号码上，

    Incoming SMS from 对方号码 test
    -- Executing [sms@from-trunk:2] System("Local/sms@from-trunk-00000011;1", "echo '2017-07-06 18:08:18 - dongle0 - 对方号码: test' >> /var/log/asterisk/sms.txt") in new stack
    -- Executing [sms@from-trunk:3] System("Local/sms@from-trunk-00000011;1", " echo "Receiver:+我的号码\nDate:2017-07-06 18:08:18\nContent:test" | /usr/bin/mail -s '[SMS]From:对方号码' 我的邮箱") in new stack
    -- Executing [sms@from-trunk:4] Hangup("Local/sms@from-trunk-00000011;1", "") in new stack
    == Spawn extension (from-trunk, sms, 4) exited non-zero on    'Local/sms@from-trunk-00000011;1'
      -- Executing [h@from-trunk:1] Macro("Local/sms@from-trunk-00000011;1", "hangupcall,") in new stack
      -- Executing [s@macro-hangupcall:1] GotoIf("Local/sms@from-trunk-00000011;1", "1?theend") in new stack
      -- Goto (macro-hangupcall,s,3)
      -- Executing [s@macro-hangupcall:3] ExecIf("Local/sms@from-trunk-00000011;1", "0?Set(CDR(recordingfile)=)") in new stack
      -- Executing [s@macro-hangupcall:4] Hangup("Local/sms@from-trunk-00000011;1", "") in new stack
    == Spawn extension (macro-hangupcall, s, 4) exited non-zero on    'Local/sms@from-trunk-00000011;1' in macro 'hangupcall'
    == Spawn extension (from-trunk, h, 1) exited non-zero on  'Local/sms@from-trunk-00000011;1'

1. 如果邮件发送失败，注意观察日志tail /var/log/exim4/mainlog

---

尾声

1. 使用TCP优化通信

   其实很简单，Settings->Asterisk SIP Settings里面的Chan SIP Settings这个tab页下面的Enable TCP选择Yes，然后Submit，别忘了Apply Config.

   然后再把之前建好的分机Extensions改一下协议。Applications->Extensions，Advanced中设置Transport为TCP Only，这里先改一个zoiper客户端使用的分机Extension。

   至此可以用TCP协议了，那么在客户端中账户的Network Settings里面的Transport设置为TCP,而Telephone只能用UDP，因此上一步中不要改Telephone上用的分机Extension。

   OK，再用手机上的Zoiper打电话给Telephone，如果通了那就OK。

2. 锦上添花

   为了在DNS解析不及时等异常情况下，能够远程登录到树莓派上进行操作，可以用ssh进行反向代理控制树莓派，其实动手比较简单，但是原理比较难懂。使用ssh开启反向代理隧道，让访问服务器的某个端口都被ssh转发到本地的5060端口。

   这一步比较难懂，但是不难实现，参考下面的教程：

   1. 先用ssh搭建反向隧道，再用autossh保证隧道的稳定

   2. 然后做成服务使其能够开机自动启动，注意最好指定autossh的监控端口

   这里面要注意服务器的防火墙要对以上所需的TCP端口打开。

3. 通过ssh反向代理暴露FreePBX的WebUI
   官方提供了3种安全的暴露FreePBX的WebUI的姿势：

   1. 使用SSL
   2. 使用VPN
   3. 使用SSH反向代理
      千万不要直接暴露在公网上，即便管理员密码设的很复杂，因为官方说攻击者可以利用PHP的漏洞，切记！！！
      有了上一步的经验，这一步就很简单了
      ssh -fNR *:8800:localhost:80 服务器账号@服务器地址，这样直接访问服务器的8800端口就能进入WebUI管理界面了。

4. 使用Fail2Ban保证安全
   我的FreePBX刚暴露到公网就被人不断的强行破解，真是恶心的不行。

   参考这篇文章学习下怎么使用Fail2Ban

   然后参考这个链接配置asterisk

The Last Thing

千万别忘记备份一下

吐槽一下华为荣耀路由器

以前一直跟朋友吹嘘他们家的路由器有多棒，这次可真是把我坑惨了，先是端口转发总是突然就不行了，后来发现DMZ完全没有效果。我买的这款还是所谓的千兆路由器，真是无力槽之