<html>
<head>
<style><!--
.hmmessage P
{
margin:0px;
padding:0px
}
body.hmmessage
{
font-size: 10pt;
font-family:Tahoma
}
--></style>
</head>
<body class='hmmessage'>
Dear FreeSwitch users,<br><br>we need some help about ACL and Digest authenication. &nbsp;<br><br>This is what we want:<br><br>1) We want certain users to be authenticated through ACL (certain IP addresses) including both Register and Invite messages. In other words, we want those users to be granted access to our FS withouth having to authenticate with username and password when registering or calling.<br>2) On the other hand, if users don't fall into our ACL list (registering/calling from other IP addresses) we want them to authenticate normally throught Digest authentication (username/password).<br><br>We tried to configure FS for our needs, but we didn't acomplished what we wanted. Namely, now, for any users that do not belong to the ACL list our FS will reject their registration and will NOT fall back to Digest authentication. In other words, our FS will let all users that fall into ACL list register and call without authenticating --- but all others will be rejected on the attempt to register (debug trace says: sofia_reg.c IP YY.YY.YY.YY Rejected by register acl "domains") and will not let them fall back to Digest authentication.<br><br>These are our settings:<br><br>&nbsp;&nbsp;&nbsp; a) acl.conf.xml: <br>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; &lt;configuration name="acl.conf" description="Network Lists"&gt;<br>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; &lt;network-lists&gt;<br><br>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; &lt;!--<br>&nbsp;&nbsp; &nbsp;&nbsp;&nbsp;&nbsp; This will traverse the directory adding all users <br>&nbsp;&nbsp; &nbsp;&nbsp;&nbsp;&nbsp;&nbsp; with the cidr= tag to this ACL, when this ACL matches<br>&nbsp;&nbsp; &nbsp;&nbsp;&nbsp;&nbsp; the users variables and params apply as if they <br>&nbsp;&nbsp; &nbsp;&nbsp;&nbsp;&nbsp; digest authenticated.<br>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; --&gt;<br>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; &lt;list name="domains" default="deny"&gt;<br>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; &lt;node type="allow" domain="$${domain}"/&gt;<br>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; &lt;node type="allow" domain="XX.XX.XX.XX/32"/&gt;<br>&nbsp;&nbsp;&nbsp;&nbsp; &nbsp;<br>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; &lt;/list&gt;<br><br>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; &lt;/network-lists&gt;<br>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; &lt;/configuration&gt;<br><br>b) sip profile:<br><br>&nbsp;&nbsp; &lt;param name="apply-inbound-acl" value="domains"/&gt;<br>&nbsp;&nbsp; &lt;param name="apply-register-acl" value="domains"/&gt;<br>&nbsp;&nbsp; &lt;param name="auth-calls" value="true"/&gt;<br><br>c) users that fall into ACL will have a cidr parameter set aproprietelly &lt;user id="2000" mailbox="2000" cidr="XX.XX.XX.XX/32"&gt;<br><br>Other users, that we want to be authenticated through Digest authentication will not have anything related to ACL in their user profiles in the Directory.<br><br>2) On the other hand, if we remove the &lt;param name="apply-register-acl" value="domains"/&gt; from the sip profile, then users that do not belong to the ACL list will register normally and when calling - their calls (Invite) will fall back to digest authentication (here is the debug: "sofia.c:5847 IP YY.YY.YY.YY Rejected by acl "domains". Falling back to Digest auth.).<br><br>That is fine with us - but then we have a different problem, then the users from the ACL list will be asked to register by username/password credentials, i.e. their registration will have to authenticated and that is not what we wanted.<br><br><br>We are mistaging somewhere. Hopefully what I wrote makes sense and maybe someone could help us configure the system to fit our needs.<br><br>Many thanks in advance,<br>Katarina                                               </body>
</html>