Пожалуйста, войдите здесь. Часто задаваемые вопросы О нас
Задайте Ваш вопрос

Нужен или не нужен VPN при звонках через сеть произвольного ОпСоСа?

0

Привет. Я - новичок. Столкнулся с:

uname -a

Linux host012 2.6.32-642.el6.x8664 #1 SMP Tue May 10 17:27:01 UTC 2016 x8664 x8664 x8664 GNU/Linux

asterisk -V

Asterisk 11.16.0

yum list | grep freepbx

freepbx.noarch 12.0.21-1.shmz65.1.17 @anaconda-PBX-201403180405.x8664/6.5 resource-agent-freepbx.noarch 0.99.3-9.shmz65.1.10 @anaconda-PBX-201403180405.x8664/6.5

amportal a ma list | grep framework

framework 12.0.76.4 Enabled

ну и prosody: server:version() | OK: 0.9.1

Пользователи телефонов (в основном айфонов с bria на борту) практически без проблем пользуются этой телефонией в рамках локальной сети. Но в недрах подсознания ощущали дискомфорт из-за проблем при звонках "в поле", то есть когда они к интернету подключаются через услуги, предоставляемые всевозможными операторами сотовой связи. Или когда подключаются к сети через какие-нибудь другие локальные сети, в каких-нибудь других помещениях, зданиях, строениях и прочих банях и ресторанах. Проблема возникает следующая. Звонки осуществляются, но тот, кому звонят, ничего не слышит. Тот, кто звонит слышит всё, в том числе и ругань на другой стороне из-за отсутствия понимания всех проблем IP-телефонии. Поскольку я - новичок, то ничего не смог придумать, кроме как завести на стороне VPN-сервер и предоставить всем пользователям телефонов возможность осуществлять звонки "из полей" наружу, но при условии соединения с сервером телефонии через нарочно выставленный VPN-сервер. Куда и они соединяются, и сервер телефонии подключен. Получилась как бы вторая локальная сеть. Разумеется, этот дополнительный сервис (VPN-сервер) я объяснил всем как средство усиления безопасности, так сказать. Но на самом деле я понятия не имею как решают эту проблему опытные люди. Разумеется, я читал про NAT-ы и SIP-ы. Безусловно, необходимые порты на внутриофисных маршрутизаторах отрабатывают и открыты, как то и требуется. Но теперь, когда уже не надо в срочном порядке решать проблему со звуком у внешнего отвечающего на телефонный звонок, я набрался смелости спросить у достопочтенных гуру или знающих в этом деле толк. А можно ли вообще так настроить офисную IP-телефонию, чтобы пользоваться внутренними телефонами откуда угодно столь же просто, как это происходит непосредственно в самом офисе, при этом обойтись без "заходов" по виртуальным частным сетям?

удалить закрыть спам изменить тег редактировать

спросил 2016-08-26 05:26:12 +0400

VladP Gravatar VladP
1 2 1

Comments

Мы для этого используем в связке MsLync, лучше защищен, значит меньше проблем.

Out ( 2016-08-26 10:45:22 +0400 )редактировать

Используйте протокол IAX2 и софтфоны Zoiper и будет вам счастье. Порт наружу какой нить не стандартный выставите, пиров создайте с 15 значными паролями. И requirecalltoken=yes у каждого пира сделайте.

romariosar ( 2016-08-26 11:08:18 +0400 )редактировать

Грандстреам телефоны в прошивки имеют OpenVPN клиента

awsswa ( 2016-08-26 16:02:57 +0400 )редактировать

Понятно, что виндовс лучше защищён, если к этому приложить большие старания. Спасибо за идею с MS Lync. Непременно обдумаю этот путь. Софтфоны на Zoiper, вне всякого сомнения, работать будут лучше, чем на Bria. Но, к сожалению, пользователи уже потратили свои деньги и не желают не пользоваться своими покупками. А про использование IAX2 только для абонентов, не для подключения доп. серверов телефонии...я пока не нашёл где бы почитать. Может, подскажете где есть путёвый мануал с таким случаем? Тоже самое и про grandstream. :) А айфоны выкинуть? :) Про "TP-Link TL-WR703N" из ответа № 1. Да, как бы, нет другого или третьего офиса. Есть абоненты, которые гуляют по улицам, а иногда и лесам-полям. Ну и где тот пользователь телефонии, в лесу найдёт розетку, чтобы включить TP-Link TL-WR703N?

VladP ( 2016-08-27 18:29:41 +0400 )редактировать

Out, ничего другого про Астер от вас и не ожидал - скайп вам ближе))))

Zavr2008 ( 2016-08-31 03:11:34 +0400 )редактировать

Астериск надо уметь готовить, открывая в дикий инет. В MsLync это проще с самого начала, с 0.

Out ( 2016-08-31 10:01:15 +0400 )редактировать

Вот и сидите там - если за столько лет не научились элементарному.

Zavr2008 ( 2016-08-31 10:28:52 +0400 )редактировать

завр, не надо личное примешивать, или все обижен?!

Out ( 2016-08-31 10:31:53 +0400 )редактировать

что-то вы тут слишком много букв написали, если автор будет работать на соффонах то zoiper ему в помощь и IAX2 который через любой гавно-интернет пролезет с дофига количеством NAT. если IP телефоны то Fanvil используйте, он IAX2 поддерживает. Прочитать про IAX2 можно путем загугливания там все намного проще настраивается.

romariosar ( 2016-08-31 12:39:55 +0400 )редактировать

Out: тематика ресурса - Asterisk.

Zavr2008 ( 2016-09-01 00:28:43 +0400 )редактировать

3 Ответа

0

Настройте SIP+TLS и SRTP - это первый шаг для защиты траффика от мобильных Bria и подобных. НАТ пройти не проблема и порты фаерволлом прикрыть тоже. F2B для защиты от брутфорса.

Шифрованный VPN на смартфоне - следующий шаг, но это уже для других ресурсов вопрос.

ссылка удалить спам редактировать

ответил 2016-08-30 16:42:05 +0400

SIlverJoe Gravatar SIlverJoe
26 3 1 8

Comments

как галимый SIP/TLS от взлома защитит? Да и F2B без ума если ничем не поможет..

Zavr2008 ( 2016-08-31 03:09:47 +0400 )редактировать

а еще в 11й версии замечен баг, который позволяет сделать coredump удаленно всем серверам, на которых есть tls. и исправлять его будут похоже очень долго

meral ( 2016-08-31 12:15:26 +0400 )редактировать
0

Начать почитывать Будущее Телефонии и voip-info.org!

Открывать снаружи доступ пока не советую: поломают Вас и налетит контора на горячую ночку с Сомали..

Описываемые проблемы - типичный случай непонимания темы Asterisk за NAT. Понимать это дело можно НА ТЕСТОВОМ астере, не рабочем. Просто проброс 5060/UDP (SIP) на ТЕСТОВЫЙ астер, а также и 10000-20000/UDP (RTP). Указание в general externip, localnet, nat=yes, alwaysauthreject=yes, allowguest=no

У пира directmedia=no, ОБЯЗАТЕЛЬНО deny/permit списков для ВСЕХ пиров. Те, что динамические и внутри офиса - ограничиваем строго масштабами локалки..

Настройка fail2ban. Отключение МН на прове городском..

Отключение SIP ALG на роутере.

Далее с мобилы тестите.. И ТОЛЬКО ЧЕРЕЗ ПАРУ МЕСЯЦЕВ - В ПРОДАКШЕН.

ссылка удалить спам редактировать

ответил 2016-08-31 03:07:49 +0400

Zavr2008 Gravatar Zavr2008 flag of Russian Federation
2886 11 9 40
http://mh.otx.ru/

Comments

ЗЫ: FreePBX/Elastix НЕ СВЕТИМ HTTP портом вэбморды в инет!!! Как и портом AMI!!!

Zavr2008 ( 2016-08-31 03:10:47 +0400 )редактировать
0

Опытные люди при наличии телефонов с проблемой безопасности делают так

1) Покупают девайсы tl703n в количестве равном количеству офисов

2) Разрабатывают openvpn прошивку, которая прямо роутит спец подсеть для каждого офиса свою через tl703n(или покупают у когото, кто уже сделал).

3) Телефонам выдают отдельный vlan(если свичи позволяют) и адреса из сети, которая имеет дефаулт гейт за openvpn сервером(через tl703n).

Все. У вас за $20 на офис +время разработки шифрованное соединение и полное отсутвие проблем с нат или сменой адресов провайдера. Если есть второе интренет соединение, можно добавить vpn bonding, что улучшит характеристики канала. Бонусом у вас есть коробкисо спичечный коробок, которые могут вам организовать беспроводную сеть и телефонию в любом месте, куда вы их принесете(при наличии в этом месте интернета с dhcp)

ссылка удалить спам редактировать

ответил 2016-08-26 22:58:30 +0400

meral Gravatar meral flag of Ukraine
23347 24 20 177
http://pro-sip.net/

Comments

там МОБИЛЬНЫЕ, предлагаешь с ранцевым аккумом роутик с собой таскать? Гы..

Zavr2008 ( 2016-08-31 03:12:40 +0400 )редактировать

у каждого разные понятия о мобильности. Вообщето tl-703n с аккумулятором на 2-3ампер часа весит грам 300(из которы 250-аккумулятор).

meral ( 2016-08-31 12:14:14 +0400 )редактировать

оффтоп: на дачу микротик поставил и lte свисток - подвесил под крышу, сигнал супер. добавил vpn - лепота ..

Zavr2008 ( 2016-09-01 00:32:07 +0400 )редактировать

А если добавить простую антенну еще на 5 метров выше, станет еще лучше. Вообще lte показывает 5 палок при -90дб. Там увеличивается скорость отдачи, не количество палок. Может показывать 5 палок, а snr 2 и ничего не работает.

meral ( 2016-09-01 19:42:49 +0400 )редактировать

Ваш ответ

Please start posting your answer anonymously - your answer will be saved within the current session and published after you log in or create a new account. Please try to give a substantial answer, for discussions, please use comments and please do remember to vote (after you log in)!
[скрыть предварительный просмотр]

Закладки и информация

Добавить закладку

подписаться на rss ленту новостей

Статистика

Задан: 2016-08-26 05:26:12 +0400

Просмотрен: 738 раз

Обновлен: Aug 31 '16

Похожие вопросы:

Проект компании "АТС Дизайн"
Asterisk® и Digium® являются зарегистрированными торговыми марками компании Digium, Inc., США.
IP АТС Asterisk распространяется под лицензией GNU GPL.