По какой схеме реализовать надежную IP-телефонию в сети?

Здравствуйте, уважаемые форумчане!
Дано:
Микротик в роли основного маршрутизатора с несколькими белыми ip адресами, через который работает всё.
Только что поставленная система IP Телефонии CentOS7/Asterisk/Elastix (системник с 3-мя eth интерфейсами).

Задача: Нужно один IP телефон установить в удаленном участке, через туннель VPN (L2TP/IPSec).
И установить один софтфон в сети 10.10.10.0/24

Вот тут уже голову ломаю, никак не могу решить как правильно реализовать это с соблюдением безопасности.
Чтобы никто не имел возможность к подключению и чтобы счета за непонятные звонки не пришлось оплачивать.
По какой схеме решить задачу, может еще что нибудь добавить в сетку, как организовать надежный vpn? Подскажите пожалуйста!

Как бы я решил задачу:
Поднял бы впн l2tp/ipsec между микротами, организовал бы маршруты в обе стороны. и максимально ограничил бы доступ к управлению, что оставил бы только прохождение звонка, даже для локальной сети.
связь с SMG только с Elastix и также установка сложных логинов и паролей.
Кажется, что данный подход не самый надежный. И возможно, о чем то я не ведаю, т.к. первый раз столкнулся с IP телефонией.
Схема:
5a115031b7dce237043544.png
  • Вопрос задан
  • 1871 просмотр
Пригласить эксперта
Ответы на вопрос 1
Serjio999
@Serjio999
самоучка =)
Ваш подход правильный, только смысл подключать телефоны в офисе на отдельный физический порт в Asterisk? Вы не используете VLAN'ы дабы разделить голосовой трафик и данные?
Если у вас неуправляемые свитчи, где нет возможности нарезать VLAN'ы, тогда этот подход имеет смысл.

По поводу сложных логинов/паролей - все правильно.

Не понял только начало схемы, вы городские номера где принимаете? Если на аналоговой АТС - тогда проблем нету, выход в/на город у вас все равно будет проходить через аналоговую АТС. В этом случае у Вас Asterisk выступает просто в роли расширения функционала АТС до уровня "цифра в локалке" и вы не принимаете из города SIP-звонки напрямую.

Крутим "гайки" дальше. На тунеле микротика можно разрешить только SIP-трафик (разрешайте TCP/UDP 5060). Если не будете использовать SSL, то можно только UDP/5060 - это стандартный порт для SIP.

Не забываем про файервол в самом CentOS (вроде бы в вебке Elastix вожно настраивать доверенные узлы).

Так что подводя короткий итог, если вы не принимаете напрямую SIP из интернета и пользователи у Вас в периметре безопасности локалки, то Ваша схема имеет место "быть".
Ответ написан
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации
Похожие вопросы
UMA.TECH Москва
от 90 000 до 160 000 руб.
Leningrad Media Санкт-Петербург
от 60 000 до 80 000 руб.
от 150 000 до 200 000 руб.
24 июн. 2019, в 12:59
15000 руб./за проект
24 июн. 2019, в 12:31
1000 руб./в час