Привет. Я - новичок. Столкнулся с:
Linux host012 2.6.32-642.el6.x8664 #1 SMP Tue May 10 17:27:01 UTC 2016 x8664 x8664 x8664 GNU/Linux
Asterisk 11.16.0
freepbx.noarch 12.0.21-1.shmz65.1.17 @anaconda-PBX-201403180405.x8664/6.5 resource-agent-freepbx.noarch 0.99.3-9.shmz65.1.10 @anaconda-PBX-201403180405.x8664/6.5
framework 12.0.76.4 Enabled
ну и prosody: server:version() | OK: 0.9.1
Пользователи телефонов (в основном айфонов с bria на борту) практически без проблем пользуются этой телефонией в рамках локальной сети. Но в недрах подсознания ощущали дискомфорт из-за проблем при звонках "в поле", то есть когда они к интернету подключаются через услуги, предоставляемые всевозможными операторами сотовой связи. Или когда подключаются к сети через какие-нибудь другие локальные сети, в каких-нибудь других помещениях, зданиях, строениях и прочих банях и ресторанах. Проблема возникает следующая. Звонки осуществляются, но тот, кому звонят, ничего не слышит. Тот, кто звонит слышит всё, в том числе и ругань на другой стороне из-за отсутствия понимания всех проблем IP-телефонии. Поскольку я - новичок, то ничего не смог придумать, кроме как завести на стороне VPN-сервер и предоставить всем пользователям телефонов возможность осуществлять звонки "из полей" наружу, но при условии соединения с сервером телефонии через нарочно выставленный VPN-сервер. Куда и они соединяются, и сервер телефонии подключен. Получилась как бы вторая локальная сеть. Разумеется, этот дополнительный сервис (VPN-сервер) я объяснил всем как средство усиления безопасности, так сказать. Но на самом деле я понятия не имею как решают эту проблему опытные люди. Разумеется, я читал про NAT-ы и SIP-ы. Безусловно, необходимые порты на внутриофисных маршрутизаторах отрабатывают и открыты, как то и требуется. Но теперь, когда уже не надо в срочном порядке решать проблему со звуком у внешнего отвечающего на телефонный звонок, я набрался смелости спросить у достопочтенных гуру или знающих в этом деле толк. А можно ли вообще так настроить офисную IP-телефонию, чтобы пользоваться внутренними телефонами откуда угодно столь же просто, как это происходит непосредственно в самом офисе, при этом обойтись без "заходов" по виртуальным частным сетям?
Настройте SIP+TLS и SRTP - это первый шаг для защиты траффика от мобильных Bria и подобных. НАТ пройти не проблема и порты фаерволлом прикрыть тоже. F2B для защиты от брутфорса.
Шифрованный VPN на смартфоне - следующий шаг, но это уже для других ресурсов вопрос.
Начать почитывать Будущее Телефонии и voip-info.org!
Открывать снаружи доступ пока не советую: поломают Вас и налетит контора на горячую ночку с Сомали..
Описываемые проблемы - типичный случай непонимания темы Asterisk за NAT. Понимать это дело можно НА ТЕСТОВОМ астере, не рабочем. Просто проброс 5060/UDP (SIP) на ТЕСТОВЫЙ астер, а также и 10000-20000/UDP (RTP). Указание в general externip, localnet, nat=yes, alwaysauthreject=yes, allowguest=no
У пира directmedia=no, ОБЯЗАТЕЛЬНО deny/permit списков для ВСЕХ пиров. Те, что динамические и внутри офиса - ограничиваем строго масштабами локалки..
Настройка fail2ban. Отключение МН на прове городском..
Отключение SIP ALG на роутере.
Далее с мобилы тестите.. И ТОЛЬКО ЧЕРЕЗ ПАРУ МЕСЯЦЕВ - В ПРОДАКШЕН.
Опытные люди при наличии телефонов с проблемой безопасности делают так
1) Покупают девайсы tl703n в количестве равном количеству офисов
2) Разрабатывают openvpn прошивку, которая прямо роутит спец подсеть для каждого офиса свою через tl703n(или покупают у когото, кто уже сделал).
3) Телефонам выдают отдельный vlan(если свичи позволяют) и адреса из сети, которая имеет дефаулт гейт за openvpn сервером(через tl703n).
Все. У вас за $20 на офис +время разработки шифрованное соединение и полное отсутвие проблем с нат или сменой адресов провайдера. Если есть второе интренет соединение, можно добавить vpn bonding, что улучшит характеристики канала. Бонусом у вас есть коробкисо спичечный коробок, которые могут вам организовать беспроводную сеть и телефонию в любом месте, куда вы их принесете(при наличии в этом месте интернета с dhcp)
Задан: Aug 26 '16
Просмотрен: 756 раз
Обновлен: Aug 31 '16
Проект компании "АТС Дизайн"
Asterisk® и Digium® являются зарегистрированными торговыми марками компании
Digium, Inc., США.
IP АТС Asterisk распространяется под лицензией
GNU GPL.
Мы для этого используем в связке MsLync, лучше защищен, значит меньше проблем.
Out (Aug 26 '16)editИспользуйте протокол IAX2 и софтфоны Zoiper и будет вам счастье. Порт наружу какой нить не стандартный выставите, пиров создайте с 15 значными паролями. И requirecalltoken=yes у каждого пира сделайте.
romariosar (Aug 26 '16)editГрандстреам телефоны в прошивки имеют OpenVPN клиента
awsswa (Aug 26 '16)editПонятно, что виндовс лучше защищён, если к этому приложить большие старания. Спасибо за идею с MS Lync. Непременно обдумаю этот путь. Софтфоны на Zoiper, вне всякого сомнения, работать будут лучше, чем на Bria. Но, к сожалению, пользователи уже потратили свои деньги и не желают не пользоваться своими покупками. А про использование IAX2 только для абонентов, не для подключения доп. серверов телефонии...я пока не нашёл где бы почитать. Может, подскажете где есть путёвый мануал с таким случаем? Тоже самое и про grandstream. :) А айфоны выкинуть? :) Про "TP-Link TL-WR703N" из ответа № 1. Да, как бы, нет другого или третьего офиса. Есть абоненты, которые гуляют по улицам, а иногда и лесам-полям. Ну и где тот пользователь телефонии, в лесу найдёт розетку, чтобы включить TP-Link TL-WR703N?
VladP (Aug 27 '16)editOut, ничего другого про Астер от вас и не ожидал - скайп вам ближе))))
Zavr2008 (Aug 30 '16)editАстериск надо уметь готовить, открывая в дикий инет. В MsLync это проще с самого начала, с 0.
Out (Aug 31 '16)editВот и сидите там - если за столько лет не научились элементарному.
Zavr2008 (Aug 31 '16)editзавр, не надо личное примешивать, или все обижен?!
Out (Aug 31 '16)editчто-то вы тут слишком много букв написали, если автор будет работать на соффонах то zoiper ему в помощь и IAX2 который через любой гавно-интернет пролезет с дофига количеством NAT. если IP телефоны то Fanvil используйте, он IAX2 поддерживает. Прочитать про IAX2 можно путем загугливания там все намного проще настраивается.
romariosar (Aug 31 '16)editOut: тематика ресурса - Asterisk.
Zavr2008 (Aug 31 '16)edit