Привет. Я - новичок. Столкнулся с:
Linux host012 2.6.32-642.el6.x8664 #1 SMP Tue May 10 17:27:01 UTC 2016 x8664 x8664 x8664 GNU/Linux
Asterisk 11.16.0
freepbx.noarch 12.0.21-1.shmz65.1.17 @anaconda-PBX-201403180405.x8664/6.5 resource-agent-freepbx.noarch 0.99.3-9.shmz65.1.10 @anaconda-PBX-201403180405.x8664/6.5
framework 12.0.76.4 Enabled
ну и prosody: server:version() | OK: 0.9.1
Пользователи телефонов (в основном айфонов с bria на борту) практически без проблем пользуются этой телефонией в рамках локальной сети. Но в недрах подсознания ощущали дискомфорт из-за проблем при звонках "в поле", то есть когда они к интернету подключаются через услуги, предоставляемые всевозможными операторами сотовой связи. Или когда подключаются к сети через какие-нибудь другие локальные сети, в каких-нибудь других помещениях, зданиях, строениях и прочих банях и ресторанах. Проблема возникает следующая. Звонки осуществляются, но тот, кому звонят, ничего не слышит. Тот, кто звонит слышит всё, в том числе и ругань на другой стороне из-за отсутствия понимания всех проблем IP-телефонии. Поскольку я - новичок, то ничего не смог придумать, кроме как завести на стороне VPN-сервер и предоставить всем пользователям телефонов возможность осуществлять звонки "из полей" наружу, но при условии соединения с сервером телефонии через нарочно выставленный VPN-сервер. Куда и они соединяются, и сервер телефонии подключен. Получилась как бы вторая локальная сеть. Разумеется, этот дополнительный сервис (VPN-сервер) я объяснил всем как средство усиления безопасности, так сказать. Но на самом деле я понятия не имею как решают эту проблему опытные люди. Разумеется, я читал про NAT-ы и SIP-ы. Безусловно, необходимые порты на внутриофисных маршрутизаторах отрабатывают и открыты, как то и требуется. Но теперь, когда уже не надо в срочном порядке решать проблему со звуком у внешнего отвечающего на телефонный звонок, я набрался смелости спросить у достопочтенных гуру или знающих в этом деле толк. А можно ли вообще так настроить офисную IP-телефонию, чтобы пользоваться внутренними телефонами откуда угодно столь же просто, как это происходит непосредственно в самом офисе, при этом обойтись без "заходов" по виртуальным частным сетям?
Настройте SIP+TLS и SRTP - это первый шаг для защиты траффика от мобильных Bria и подобных. НАТ пройти не проблема и порты фаерволлом прикрыть тоже. F2B для защиты от брутфорса.
Шифрованный VPN на смартфоне - следующий шаг, но это уже для других ресурсов вопрос.
как галимый SIP/TLS от взлома защитит? Да и F2B без ума если ничем не поможет..
Zavr2008 ( 2016-08-31 03:09:47 +0400 )редактироватьа еще в 11й версии замечен баг, который позволяет сделать coredump удаленно всем серверам, на которых есть tls. и исправлять его будут похоже очень долго
meral ( 2016-08-31 12:15:26 +0400 )редактироватьНачать почитывать Будущее Телефонии и voip-info.org!
Открывать снаружи доступ пока не советую: поломают Вас и налетит контора на горячую ночку с Сомали..
Описываемые проблемы - типичный случай непонимания темы Asterisk за NAT. Понимать это дело можно НА ТЕСТОВОМ астере, не рабочем. Просто проброс 5060/UDP (SIP) на ТЕСТОВЫЙ астер, а также и 10000-20000/UDP (RTP). Указание в general externip, localnet, nat=yes, alwaysauthreject=yes, allowguest=no
У пира directmedia=no, ОБЯЗАТЕЛЬНО deny/permit списков для ВСЕХ пиров. Те, что динамические и внутри офиса - ограничиваем строго масштабами локалки..
Настройка fail2ban. Отключение МН на прове городском..
Отключение SIP ALG на роутере.
Далее с мобилы тестите.. И ТОЛЬКО ЧЕРЕЗ ПАРУ МЕСЯЦЕВ - В ПРОДАКШЕН.
ЗЫ: FreePBX/Elastix НЕ СВЕТИМ HTTP портом вэбморды в инет!!! Как и портом AMI!!!
Zavr2008 ( 2016-08-31 03:10:47 +0400 )редактироватьОпытные люди при наличии телефонов с проблемой безопасности делают так
1) Покупают девайсы tl703n в количестве равном количеству офисов
2) Разрабатывают openvpn прошивку, которая прямо роутит спец подсеть для каждого офиса свою через tl703n(или покупают у когото, кто уже сделал).
3) Телефонам выдают отдельный vlan(если свичи позволяют) и адреса из сети, которая имеет дефаулт гейт за openvpn сервером(через tl703n).
Все. У вас за $20 на офис +время разработки шифрованное соединение и полное отсутвие проблем с нат или сменой адресов провайдера. Если есть второе интренет соединение, можно добавить vpn bonding, что улучшит характеристики канала. Бонусом у вас есть коробкисо спичечный коробок, которые могут вам организовать беспроводную сеть и телефонию в любом месте, куда вы их принесете(при наличии в этом месте интернета с dhcp)
там МОБИЛЬНЫЕ, предлагаешь с ранцевым аккумом роутик с собой таскать? Гы..
Zavr2008 ( 2016-08-31 03:12:40 +0400 )редактироватьу каждого разные понятия о мобильности. Вообщето tl-703n с аккумулятором на 2-3ампер часа весит грам 300(из которы 250-аккумулятор).
meral ( 2016-08-31 12:14:14 +0400 )редактироватьоффтоп: на дачу микротик поставил и lte свисток - подвесил под крышу, сигнал супер. добавил vpn - лепота ..
Zavr2008 ( 2016-09-01 00:32:07 +0400 )редактироватьА если добавить простую антенну еще на 5 метров выше, станет еще лучше. Вообще lte показывает 5 палок при -90дб. Там увеличивается скорость отдачи, не количество палок. Может показывать 5 палок, а snr 2 и ничего не работает.
meral ( 2016-09-01 19:42:49 +0400 )редактироватьЗадан: 2016-08-26 05:26:12 +0400
Просмотрен: 735 раз
Обновлен: Aug 31 '16
Проект компании "АТС Дизайн"
Asterisk® и Digium® являются зарегистрированными торговыми марками компании
Digium, Inc., США.
IP АТС Asterisk распространяется под лицензией
GNU GPL.
Мы для этого используем в связке MsLync, лучше защищен, значит меньше проблем.
Out ( 2016-08-26 10:45:22 +0400 )редактироватьИспользуйте протокол IAX2 и софтфоны Zoiper и будет вам счастье. Порт наружу какой нить не стандартный выставите, пиров создайте с 15 значными паролями. И requirecalltoken=yes у каждого пира сделайте.
romariosar ( 2016-08-26 11:08:18 +0400 )редактироватьГрандстреам телефоны в прошивки имеют OpenVPN клиента
awsswa ( 2016-08-26 16:02:57 +0400 )редактироватьПонятно, что виндовс лучше защищён, если к этому приложить большие старания. Спасибо за идею с MS Lync. Непременно обдумаю этот путь. Софтфоны на Zoiper, вне всякого сомнения, работать будут лучше, чем на Bria. Но, к сожалению, пользователи уже потратили свои деньги и не желают не пользоваться своими покупками. А про использование IAX2 только для абонентов, не для подключения доп. серверов телефонии...я пока не нашёл где бы почитать. Может, подскажете где есть путёвый мануал с таким случаем? Тоже самое и про grandstream. :) А айфоны выкинуть? :) Про "TP-Link TL-WR703N" из ответа № 1. Да, как бы, нет другого или третьего офиса. Есть абоненты, которые гуляют по улицам, а иногда и лесам-полям. Ну и где тот пользователь телефонии, в лесу найдёт розетку, чтобы включить TP-Link TL-WR703N?
VladP ( 2016-08-27 18:29:41 +0400 )редактироватьOut, ничего другого про Астер от вас и не ожидал - скайп вам ближе))))
Zavr2008 ( 2016-08-31 03:11:34 +0400 )редактироватьАстериск надо уметь готовить, открывая в дикий инет. В MsLync это проще с самого начала, с 0.
Out ( 2016-08-31 10:01:15 +0400 )редактироватьВот и сидите там - если за столько лет не научились элементарному.
Zavr2008 ( 2016-08-31 10:28:52 +0400 )редактироватьзавр, не надо личное примешивать, или все обижен?!
Out ( 2016-08-31 10:31:53 +0400 )редактироватьчто-то вы тут слишком много букв написали, если автор будет работать на соффонах то zoiper ему в помощь и IAX2 который через любой гавно-интернет пролезет с дофига количеством NAT. если IP телефоны то Fanvil используйте, он IAX2 поддерживает. Прочитать про IAX2 можно путем загугливания там все намного проще настраивается.
romariosar ( 2016-08-31 12:39:55 +0400 )редактироватьOut: тематика ресурса - Asterisk.
Zavr2008 ( 2016-09-01 00:28:43 +0400 )редактировать