Пожалуйста, войдите здесь. Часто задаваемые вопросы О нас
Задайте Ваш вопрос

Астериск внутри локальной сети, клиенты снаружи

1

Добрый день,

Подскажите возможно ли организовать такую топологию когда астериск сервер находится внутри локальной сети, а клинты находятся вне.

Жду предложений, заранее благодарен.

удалить закрыть спам изменить тег редактировать

спросил 2011-05-06 11:09:53 +0400

godlike Gravatar godlike flag of Ukraine
814 92 24 62

4 Ответа

2

Самый правильный вариант ИМХО - ВПН, и безопасно, и не надо с натом замачиваться. Но раз не катит, самый простой способ

1-пробросить порты для сипа с роутера на астер, как правильно заметил DJs3000 порт сделать не стандартный(например 666), и порты rtp обычно 10000-20000 (думаю можно и такие оставить).

2-зарегестрировать DDNS имя на одном из сайтов, предлагающих такой сервис. Настроить маршрутизатор на работу с выбранным DDNS(например dydndns.org).

3-как совершенно верно заметил Zavr2008 внести соответствующие изменения в sip.conf. Только в случае с DDNS именем нужно использовать не "externip", а "externhost".

nat=yes localnet=192.168.xx.xx externhost=XXX.dyndns.org

Белый адрес не нужен, с динамическим IP вероятность попыток взлома будет меньше, а клиенты будут цепляться по FQDN т.е. XXX.dyndns.org:666.

Существует, однако, небольшая вероятность, что при неудачном стечении обстоятельств пользователь попытается подключиться как раз после смены IP провайдером и на DNS сервере не успеет обновиться запись, тогда клиенту будет возвращен прошлый (уже не верный) адрес, и он не сможет подключиться до тех пор пока не запись на DNS не обновиться до актуального состояния. Но как правило этот "баг" действует до 5-ти минут.

ссылка удалить спам редактировать

ответил 2011-05-09 16:15:08 +0400

itprofit Gravatar itprofit
768 24 3 27
http://itprofit32.ru/
2

sip.conf: забыли все рассказать про nat=yes и externip=xxx.xxx.xxx.xxx в настройках пира.. не забыть еще правильно указать localnet=, ну и для пиров, которые НЕ ДОЛЖНЫ быть доступны указать deny=0.0.0.0/0.0.0.0

ссылка удалить спам редактировать

ответил 2011-05-06 19:10:14 +0400

Zavr2008 Gravatar Zavr2008 flag of Russian Federation
2886 11 9 40
http://mh.otx.ru/
0

Можно конечно и так, но я бы засунул в ВПН.... может я канеш параноик, но как говорится не фик кому ни поподя видеть торчащий наружу СИП-сервер, особенно памятуя "кубинскую" дырку в триксбоксе.

ссылка удалить спам редактировать

ответил 2011-05-06 11:57:14 +0400

CheeZ Gravatar CheeZ
1205 7 6 25

Comments

ты параноик) cvieri ( 2011-05-06 13:32:01 +0400 )редактировать
я тоже параноик и из вне подключаюсь только через VPN! DJs3000 ( 2011-05-06 13:50:18 +0400 )редактировать
у меня начальство с айфонов не будет такого делать) cvieri ( 2011-05-07 00:09:02 +0400 )редактировать
для айфонов я лично в фаирволе прописываю с какого ip можно подключиться к моему серверу DJs3000 ( 2011-05-07 11:08:06 +0400 )редактировать
уху, да... ты каждый ИП, каждого вайфая пропишеш?) cvieri ( 2011-05-07 21:03:36 +0400 )редактировать
да т.к. в моем случае используется только один внешний wifi DJs3000 ( 2011-05-08 12:09:59 +0400 )редактировать
а у меня любой вайфай, любая карточка 3Г интернета) cvieri ( 2011-05-08 12:44:57 +0400 )редактировать
тогда используй все возможные в данном случае средства защиты! смени порт на стороне * с 5060 на что-то не стандартное, потом используй сложный пароль и как правильно подметил Zavr2008 указать топологию сети в sip.conf DJs3000 ( 2011-05-08 15:00:12 +0400 )редактировать
3

Да, при наличии реального IP и приличного роутера, который нормально пробросит порты внутрь

ссылка удалить спам редактировать

ответил 2011-05-06 11:14:49 +0400

amonra Gravatar amonra flag of Ukraine
2301 26 13 65
http://lantec.ua/

Comments

пробрасывать 5060 порт я понимаю как а вот пробросить диапазон RTP портов как ? godlike ( 2011-05-06 11:16:23 +0400 )редактировать
указать в rtp.conf в параметрах rtpstart, rtpend диапазон rtp портов и пробросить их zunkree ( 2011-05-06 11:49:29 +0400 )редактировать
в крайнем случае астериску указать использовать 6-8 портов и пробросить их так же как и сип порт. этого хватит на пару разговоров. meral ( 2011-05-09 23:39:43 +0400 )редактировать

Ваш ответ

Please start posting your answer anonymously - your answer will be saved within the current session and published after you log in or create a new account. Please try to give a substantial answer, for discussions, please use comments and please do remember to vote (after you log in)!
[скрыть предварительный просмотр]

Закладки и информация

Добавить закладку

подписаться на rss ленту новостей

Статистика

Задан: 2011-05-06 11:09:53 +0400

Просмотрен: 3,610 раз

Обновлен: May 09 '11

Проект компании "АТС Дизайн"
Asterisk® и Digium® являются зарегистрированными торговыми марками компании Digium, Inc., США.
IP АТС Asterisk распространяется под лицензией GNU GPL.