Пожалуйста, войдите здесь. Часто задаваемые вопросы О нас
Задайте Ваш вопрос

Будет ли работать эта схема?

0

Добрый вечер.

В офис приходит кабель от Билайна с 10 линиями и 2 номерами по SIP, их нужно использовать только для входящих звонков. Исходящие осуществляются с помощью внешнего SIP-провайдера (сейчас сипнет). Интернет получаем от стороннего провайдера (не Билайн).

Вопрос в том, нужен ли TMG 2, т.е. нужно ли натить и закрывать порты для входящих соединений?

И второй вопрос - какие их этих паролей можно могут сломать снаружи при данной схема: root Centos на которой Эластикс, Админ MySQL, Админ и пользователи Эластикса?

Спасибо.

image description

удалить закрыть спам изменить тег редактировать

спросил 2012-10-24 20:21:28 +0400

анонимный пользователь

Аноним

Comments

А зачем второй провайдер который через DSL? почему не сделать всё через один интернет канал? я пожалуй как и многие тут писавшие не уважаю многие MS продукты в том числе и TMG(бывший ISA) но главное это понимать как эта штука работает и уметь заставить работать её так как вам нужно) я лично предпочитаю ipfw или pf.

DJs3000 ( 2012-10-25 14:32:50 +0400 )редактировать

Потому что интернет-провайдер г...о, но зато дешевый ))). А тарифы на исходящие соединения у Билайна и Сипнета различаются в несколько раз. А Билайн потому что скоро будем переезжать и у него хорошая зона покрытия по мск. ipfw или pf - у меня все на M$ )))

fotonboxx ( 2012-10-25 22:27:03 +0400 )редактировать

офтопик но от мс в серверной среде помойму можно юзать только контроллер домена не более)

DJs3000 ( 2012-10-26 13:11:09 +0400 )редактировать

3 Ответа

2

Работать будет.

Вам в OS, на которой стоит астериск, надо указать route с параметрами:

IP билайна и шлюз

IP сипнет и шлюз

диапазон IP локальной сети и шлюз

Чтобы проверить что работает, введите эту команды с вашими IP:

route add host 81.211.XXX.XXX dev eth1

route add host 81.211.XXX.XXX netmask 255.255.255.0 gw 89.175.XXX.XXX dev eth1

и локалку:

route add net 192.168.0.0 dev eth0

route add net 192.168.0.0 netmask 255.255.0.0 gw 192.168.0.1 dev eth0

Если заработает, то в файл, для centos, /etc/sysconfig/network-scripts/static-routes пропишите:

any host 81.211.ХХХ.ХХХ dev eth1

any host 81.211.ХХХ.ХХХ gw 89.175.XXX.XXX dev eth1

(GW на TMG1, и такой же маршрут для TMG2)

host 81.211.ХХХ.ХХХ - IP провайдера

89.175.XXX.XXX шлюз, но не локальной машины, а в сторону провайдера

И для локалки:

any net 192.168.0.0 dev eth0

any net 192.168.0.0 netmask 255.255.0.0 gw 192.168.10.1 dev eth0 (GW ваш локальный и укажите список ваших сетей)

У меня все это сделано на 2 сетевые карты, и соответственно указано eth0 local, eth1 external.

Можно еще посмотреть путь там же в файлах ifup-routes, и т.п. и добавить, чтобы после падения eth*, при поднятии интерфейсов, автоматом поднимались и роуты.

ссылка удалить спам редактировать

ответил 2012-10-25 10:25:05 +0400

Out Gravatar Out
712 5 3 19

обновил 2013-03-28 15:13:16 +0400

Comments

Ну у тебя-то эта ISA стоит и ты меня замучал вопросами на эту тему. Вот еще один извращенец как ты появился.

switch ( 2012-10-25 10:38:17 +0400 )редактировать

Swith, у тебя один ответ "ставь микротик"....

Зачем плодить ему, мне и другим зоопарк?

данное решение с 1-2...и более.. сетевыми картами работает, и работает на ура!

И подсказали мне в Мультикоме, есть там отличные специалисты.

У меня есть и ISA, и напрямую через роутер циско. Я сделал так, что через ISA только обновления скачиваются, А голос идет по локалке eth0, или через роутер в дикий инет, только на IP провайдеров.

Out ( 2012-10-25 10:58:34 +0400 )редактировать

На другом форуме один деятель тоже доволен конструкцией из all-in-one-linux с 4-мя сетевухами, только вот потратил неделю чтоб это все работало. И стопицот раз спросил на форуме. Да и ты меня по каждому пустяку по ICQ дергаешь, стремно в форум написать? Как ты думаешь, почему я не задаю вопросов на форумах? Потому что я точно знаю как решать задачи, и не выдумываю огороды с десятком сетевух или десятком маршрутизаторов в сети. Есть практика верных решений, ее нужно использовать, а не колхозить рукожопости.

PS: Мультиком это те которые древние АТС до сих пор выпускают?

switch ( 2012-10-25 11:03:35 +0400 )редактировать

>>>Мультиком это те которые древние АТС до сих пор выпускают?

это СИП провайдеры

Out ( 2012-10-25 11:18:46 +0400 )редактировать

Похоже ты их конекретно нагрузил ;)

switch ( 2012-10-25 11:20:32 +0400 )редактировать

Волнует? Им выгодно, чтобы я через них трафик гнал, потому сами подсказали. А меня устраивало и через ISA, далее давай по теме...

Out ( 2012-10-25 12:04:52 +0400 )редактировать

Вот этот путь и попробую, спасибо за совет. Интересно, сколько команд надо выполнить и конфигов написать в центосе, четобы создать статический маршрут? =)

fotonboxx ( 2012-10-25 22:39:47 +0400 )редактировать

Дописал выше, пользуйтесь ;)

Out ( 2012-10-26 09:37:01 +0400 )редактировать

Благодарствую, в моем случае решилось any -host <Билайновский SIP сервер> gw <Моя ISA в которую втыкается билайновский же роутер (TMG 2)>. Зачем добавлять локалки так и не понял.

fotonboxx ( 2012-11-02 19:44:32 +0400 )редактировать

напишите route -n локалка прописывается автоматом, так как у меня диапазон локалки шире, то я на всякий случай явно указал. Так мне спокойнее, хотя думаю это не нужно :) , так как локальный GW "знает" об этих адресах.

Out ( 2012-11-03 12:20:12 +0400 )редактировать
0

я в таких случаях ставлю на первой сетевой астериск и на второй запускаю второй. делаю стандартный интерконнект и не заморачиваюсь с роутингом.

надеятся что астриск будет работаь с двумя фаерволами на двух интерфейсах без пинков - безнадежно.

ссылка удалить спам редактировать

ответил 2012-10-25 17:37:50 +0400

meral Gravatar meral flag of Ukraine
21228 23 18 169
http://pro-sip.net/

обновил 2012-10-25 17:38:38 +0400

Comments

Ага, вместо нормальной маршрутизации наплодим астерисков. Кто еще во что горазд?

switch ( 2012-10-25 17:41:18 +0400 )редактировать

зато будет работать при любых изысках в мозгу человека настраивающего роутер. ты мне лучше раскажы какой адрес астериск будет светить как externalip в твоем случае? там же два ната.

meral ( 2012-10-25 18:27:01 +0400 )редактировать

Да хоть десять NATов. В астериске ничего настраивать не надо, правильно на микротике настраиваешь NAT и микротик сам с помощью SIP ALG приблуды в нем меняет в SIP / RTP пакетах адреса на лету. Улетает пакет - ставит внешний адрес микротика, прилетает - ставит внутренний адрес сервера.

switch ( 2012-10-25 18:31:45 +0400 )редактировать

ага. тоесть заменить все роутеры на микротик? ну да, и не забыть пару оптоканалов завести.

meral ( 2012-10-25 19:28:13 +0400 )редактировать

а причем тут оптоканалы? ща как бэ везде оптика, местами до каждого офиса отдельное волокно. Есть best practices, которые работают, я гарантирую это (с)

switch ( 2012-10-25 19:29:55 +0400 )редактировать

а притом что утт спрашивают как допилить существующее а не как спроектировать новое.

meral ( 2012-10-25 20:15:22 +0400 )редактировать

топикстартер ничего про оптику не говорил.

switch ( 2012-10-25 20:23:03 +0400 )редактировать

ну наверно он сказал что хочет поменять схему сети? или зачем он по вашему схему сети приложил с описанием? не,он точно хочет мкротиками все заменить и на оптику поменять.

meral ( 2012-10-25 20:37:07 +0400 )редактировать

meral, у тебя звездная болезнь.

switch ( 2012-10-25 20:39:27 +0400 )редактировать

на микротики почемуто не один я тебе указываю,не ?

meral ( 2012-10-25 22:21:58 +0400 )редактировать

тот второй который указывает знает не больше топикстартера. Я могу посоветовать поставить циску или любой другой роутер, но лишь бы были знания. У тебя, к примеру, их нет, потому ты лепишь костыль в виде еще одного астериска.

switch ( 2012-10-25 22:28:27 +0400 )редактировать

Понятно насчет микротиков, они оказываются сами пакетики гоняют куда надо))) Ладно, если ничего не заработает, то какой уровень RouterOS нужен для сипа?

Оптики нет и вообще, зачем она в офисе на 20-30 человек - непонятно)

fotonboxx ( 2012-10-25 22:35:12 +0400 )редактировать

любой уровень, версия 5 и старше. Смысла брать лицензию не вижу, бери сразу девайс какой-нить. На 680 МГц проц тебе как раз будет.

switch ( 2012-10-25 22:41:33 +0400 )редактировать

Микротик - офигеннейшая вещь за смешные бабки. Тут хватит и обычного RB750, размером в 2 пачки сигарет и стоимостью в ~50уе. Я сам был сторонником компов-роутеров на линухе, и настраивал их пачками, но поверьте, в абсолютном большинстве случаев оно того не стоит

asdev ( 2012-10-26 09:50:21 +0400 )редактировать

ну я за 25 ставлю 703 tplink или за 35 какойлибо другой и внутрь ставлю лиункс. стоит или не стоит - не важно. тут вроде как не просилося как роутер поменять

meral ( 2012-10-26 22:18:37 +0400 )редактировать
0
  1. Сломать можно все что угодно.
  2. Работать будет так как настроите.

Я бы поставил микротик и все сети подключил через него.

ссылка удалить спам редактировать

ответил 2012-10-24 20:32:21 +0400

switch Gravatar switch
8334 11 7 91
http://lynks.ru/

Comments

Томсон - это билайновская оконечка, без него никак. А ТМГ менять на железный роутер (или, тем более, RouterOn) большого смысла не вижу.

fotonboxx ( 2012-10-24 21:02:02 +0400 )редактировать

Что есть "ТМГ"?

switch ( 2012-10-24 21:05:07 +0400 )редактировать

Forefront TMG, суть ISA

fotonboxx ( 2012-10-24 21:17:29 +0400 )редактировать

фу... Ну мучайтесь сами тогда. У мелкомягких свой путь как правило.

switch ( 2012-10-24 21:19:02 +0400 )редактировать

Гм, вопрос был не про религию, а в принципе "будет ли это работать" и "надо ли закрывать входящие SIP-линии, при условии, что Астериск уже за натом\файерволлом". Или линукс как-то совсем по-другому реализует NAT и брандмауер?

fotonboxx ( 2012-10-24 21:34:17 +0400 )редактировать

А вы сами подумайте: зачем фаерволл если через томсон идет только войп (или нет?). Но столкнетесь вы с проблемой двух шлюзов по-умолчанию в любом случае.

switch ( 2012-10-25 07:25:25 +0400 )редактировать

> будет ли это работать

ну поделки автоваза тоже считаются автомобилями, но я предпочитаю ездить на немецком автопроме.

Работать будет, конечно. Но и гланды через задний проход тоже удалить можно.

zavulon ( 2012-10-25 08:34:36 +0400 )редактировать

у TMG все плохо с VoIP. По крайней мере было. Ставить шлюз между провадером VoIP и астером смысла мало в вашем случае, если только кто то полезет из внутренней сети VoIP провадера, что весьма маловероятно. Ну и Fail2ban и ipfw на астере никто не мешает настроить.

Злобный Мыш ( 2012-10-25 10:06:22 +0400 )редактировать

Тоже встречал много упоминаний на форумах о проблемах возникавших при прохождении SIP VoIP через ISA (или как там она сейчас называется)

SolarW ( 2012-10-25 10:30:23 +0400 )редактировать

через ISA работает нормально, только во прову приходит локальный IP, и никакие ухищрения с localhost и прочим не помогает...

Out ( 2012-10-25 11:02:05 +0400 )редактировать

а на астере поставить внешний айпишник в настройках не помогает? Насчёт микротика соглашусь, т.к. при нарисованой схеме будет огромный гемор с iptables и route на астере и разруливанием 2-х дефолтных маршрутов, что повлечёт за собой огромное кол-во глюков. А если в системе ещё есть компы, то на каждом придётся прописывать через какой шлюз ходить и как, а другим компам тоже может понадобиться рулёжка, итого гемор вырастет в геометрической прогрессии. Тот же RB750 разрулит всё красиво и непринуждённо

asdev ( 2012-10-25 11:24:15 +0400 )редактировать

>>>а на астере поставить внешний айпишник в настройках не помогает?

Нет не помогало, что только не пробовал, возможно ISA заголовки меняла... и что то такое, в ISA я не очень, могу тока по мелочи, прописать пробросы.. и т.п..

Out ( 2012-10-25 18:20:07 +0400 )редактировать

Надо было либо ISA настроить нормально, либо в ней отключить SIP helper (там есть такой), пробросить все VoIP порты и тогда уже в астериске менять externip.

switch ( 2012-10-25 18:22:15 +0400 )редактировать
1

>А если в системе ещё есть компы, то на каждом придётся прописывать через какой шлюз >ходить и как

Не совсем понимаю, зачем это? Рабочие станции получают DHCP, там четко прописан шлюз и днски, про билайновский сип они вообще не должны знать и видеть, гемор может быть только на уровне астериска\центоса.

И связка сипнет-иса прекрасно работает - и софтофоны (за исключением беспроводных скайпмэйт - редкостное говно) и ip-телефоны. Только nat-keepalive и перерегистрацию у сипнета поставил на полминуты, а не на 2-3 по дефолту.

fotonboxx ( 2012-10-25 22:45:20 +0400 )редактировать

Это сейчас у вас такая задача, а через 5мин основной канал отвалится или начальству придёт в голову очередная безумная мысль - и усё, приехали. Мой вам совет, делайте сразу хорошо с прицелом на масштабируемость и гибкость. Плохо - само получится

asdev ( 2012-10-26 09:46:21 +0400 )редактировать

Ваш ответ

Please start posting your answer anonymously - your answer will be saved within the current session and published after you log in or create a new account. Please try to give a substantial answer, for discussions, please use comments and please do remember to vote (after you log in)!
[скрыть предварительный просмотр]

Закладки и информация

Добавить закладку

подписаться на rss ленту новостей

Статистика

Задан: 2012-10-24 20:21:28 +0400

Просмотрен: 958 раз

Обновлен: Mar 28 '13

Похожие вопросы:

Проект компании "АТС Дизайн"
Asterisk® и Digium® являются зарегистрированными торговыми марками компании Digium, Inc., США.
IP АТС Asterisk распространяется под лицензией GNU GPL.