По какой схеме реализовать надежную IP-телефонию в сети?

Question

Артур ССС @hitman-5

По какой схеме реализовать надежную IP-телефонию в сети?

Здравствуйте, уважаемые форумчане!
Дано:
Микротик в роли основного маршрутизатора с несколькими белыми ip адресами, через который работает всё.
Только что поставленная система IP Телефонии CentOS7/Asterisk/Elastix (системник с 3-мя eth интерфейсами).

Задача: Нужно один IP телефон установить в удаленном участке, через туннель VPN (L2TP/IPSec).
И установить один софтфон в сети 10.10.10.0/24

Вот тут уже голову ломаю, никак не могу решить как правильно реализовать это с соблюдением безопасности.
Чтобы никто не имел возможность к подключению и чтобы счета за непонятные звонки не пришлось оплачивать.
По какой схеме решить задачу, может еще что нибудь добавить в сетку, как организовать надежный vpn? Подскажите пожалуйста!

Как бы я решил задачу:
Поднял бы впн l2tp/ipsec между микротами, организовал бы маршруты в обе стороны. и максимально ограничил бы доступ к управлению, что оставил бы только прохождение звонка, даже для локальной сети.
связь с SMG только с Elastix и также установка сложных логинов и паролей.
Кажется, что данный подход не самый надежный. И возможно, о чем то я не ведаю, т.к. первый раз столкнулся с IP телефонией.
Схема:

Вопрос задан более трёх лет назад
2029 просмотров

7 комментариев

Подписаться 8 Простой 7 комментариев

Wexter @Wexter

а проблема то в чём? а то вопрос у вас из разряда "надеть мне серую рубашку или белую?"

Написано более трёх лет назад
Артур ССС @hitman-5 Автор вопроса

Wexter, в том, что нуждаюсь в совете, вот как бы вы реализовали данную ? по какой схеме? чтобы в дальнейшем вы были спокойны, что не придут счета на оплату за какие то непонятные звонки, понимаете?

Написано более трёх лет назад
Wexter @Wexter

Артур ССС, чтобы не пришли непонятные счета надо ограничить возможность подключения/авторизации к атс третьими лицами, впн тут в последнюю очередь влияет на это, ибо звонки будут не с роутера, а с конечной точки.
Тут надо копать в сторону привязки доступа конкретной железки к атс, например авторизация по mac адресу на dhcp сервере + блокировка лишних хостов.

Написано более трёх лет назад
Артур ССС @hitman-5 Автор вопроса

Wexter, подкорректировал вопрос и схему, может теперь более понятно выражаю задачу, а то понимаю, что с этим у меня проблема:)

Написано более трёх лет назад
Михаил @ARMADIK

По мимо сетевой изоляции, можно поменять стандартный порт на АТС (sip), поставить fail2bane, ограничить количество СЛ до 1 на абонента. Так же можно организовать звонки на международные номера( самые дорогие ) через пароль или вообще ограничить звонки на эти номера в маршрутах.

Написано более трёх лет назад
Ctacfs @Ctacfs

Михаил, добавлю еще, не использовать стандартные добавочные 9 и 810, а ещё лучше настроить на отправку письма с уведомлением при попытке позвонить с ними, отрезать звонки мн тем, кому не надо. И ещё Вы забыли ACL.

Насчёт счетов, уточните у провайдера телефонии, блокирует ли он мн при подозрительной активности и договоритесь о кредитному лимите с разумным запасом, а не как это обычно бывает, в десять раз больше, чем средний счёт.

Написано более трёх лет назад
fasst @fasst

А что вам мешает, соединиться напрямую sip-аппаратом на сервер l2tp? Исключая микротик на удаленной стороне(зачем он в схеме, если только как шлюз, если там нет другого, но если чтобы поднять туннель, он лишний)? Или лучше поднять openvpn server на CentOS или Microtik и опять же соединиться voip аппаратом в роли клиента. У меня есть один такой телефон, реализован на yealink работает уже 2 года без какого-либо вмешательства.

Написано более трёх лет назад

Пригласить эксперта

Ответы на вопрос 1

Комментировать

Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации

Похожие вопросы

Системное администрирование

+4 ещё

Простой
Зачем использовать свою АТС на базе Asterisk если есть облачная от провайдера?
- 1 подписчик
- час назад
- 70 просмотров
2

ответа
Linux

+2 ещё

Простой
Что выбрать для проекта Windows Embedded или Linux?
- 1 подписчик
- 3 часа назад
- 95 просмотров
4

ответа
Linux

+1 ещё

Средний
Как переименовать файлы и папки с одинаковым именем, но разным регистром?
- 1 подписчик
- 5 часов назад
- 71 просмотр
0

ответов
Linux

Простой
Почему не отрабатывает REISUB?
- 1 подписчик
- 12 часов назад
- 55 просмотров
1

ответ
Linux

+1 ещё

Средний
Как выглядят данные об авторизации linux?
- 1 подписчик
- 18 часов назад
- 135 просмотров
2

ответа
Linux

+1 ещё

Простой
Как сделать автоматическую проверку работоспособности и рестарт Apache и Mariadb в случае падения?
- 1 подписчик
- 18 часов назад
- 84 просмотра
2

ответа
Сетевое администрирование

+2 ещё

Средний
Логирование посещения сайтов windows server 2008, 2008 R2, 2019?
- 1 подписчик
- 23 часа назад
- 126 просмотров
0

ответов
Linux

Средний
При включении установочника Astra Linux — выдаёт ошибку «Error:out of memory», что делать?
- 2 подписчика
- вчера
- 232 просмотра
2

ответа
Windows Server

+2 ещё

Средний
Как восстановить работу Active Directory в связке Mikrotik + Windows Server?
- 2 подписчика
- вчера
- 184 просмотра
1

ответ
Linux

+1 ещё

Средний
Какой выбрать socks прокси и как правильно его настроить для большого количества юзеров?
- 2 подписчика
- вчера
- 103 просмотра
1

ответ
Показать ещё Загружается…

Программист C для Embedded Linux

Radiofid • Санкт-Петербург

от 120 000 до 180 000 ₽

Linux Администратор DevOps

ИМАГ • Москва

от 150 000 до 170 000 ₽

Системный администратор Linux (SysOps)

Sipuni

от 180 000 ₽

Внести ряд корректив на сайте c Bitrix

18 апр. 2024, в 17:20

3000 руб./за проект

Дизайн сайта для web3 проекта

18 апр. 2024, в 16:43

50000 руб./за проект

Составление технических заданий для разработчиков

18 апр. 2024, в 16:41

10000 руб./за проект

а проблема то в чём? а то вопрос у вас из разряда "надеть мне серую рубашку или белую?"
Wexter, в том, что нуждаюсь в совете, вот как бы вы реализовали данную ? по какой схеме? чтобы в дальнейшем вы были спокойны, что не придут счета на оплату за какие то непонятные звонки, понимаете?
Артур ССС, чтобы не пришли непонятные счета надо ограничить возможность подключения/авторизации к атс третьими лицами, впн тут в последнюю очередь влияет на это, ибо звонки будут не с роутера, а с конечной точки.
Тут надо копать в сторону привязки доступа конкретной железки к атс, например авторизация по mac адресу на dhcp сервере + блокировка лишних хостов.
Wexter, подкорректировал вопрос и схему, может теперь более понятно выражаю задачу, а то понимаю, что с этим у меня проблема:)
По мимо сетевой изоляции, можно поменять стандартный порт на АТС (sip), поставить fail2bane, ограничить количество СЛ до 1 на абонента. Так же можно организовать звонки на международные номера( самые дорогие ) через пароль или вообще ограничить звонки на эти номера в маршрутах.
Михаил, добавлю еще, не использовать стандартные добавочные 9 и 810, а ещё лучше настроить на отправку письма с уведомлением при попытке позвонить с ними, отрезать звонки мн тем, кому не надо. И ещё Вы забыли ACL.

Насчёт счетов, уточните у провайдера телефонии, блокирует ли он мн при подозрительной активности и договоритесь о кредитному лимите с разумным запасом, а не как это обычно бывает, в десять раз больше, чем средний счёт.
А что вам мешает, соединиться напрямую sip-аппаратом на сервер l2tp? Исключая микротик на удаленной стороне(зачем он в схеме, если только как шлюз, если там нет другого, но если чтобы поднять туннель, он лишний)? Или лучше поднять openvpn server на CentOS или Microtik и опять же соединиться voip аппаратом в роли клиента. У меня есть один такой телефон, реализован на yealink работает уже 2 года без какого-либо вмешательства.

Answer 1 · 2017-11-23 12:46:13

Ваш подход правильный, только смысл подключать телефоны в офисе на отдельный физический порт в Asterisk? Вы не используете VLAN'ы дабы разделить голосовой трафик и данные?
Если у вас неуправляемые свитчи, где нет возможности нарезать VLAN'ы, тогда этот подход имеет смысл.

По поводу сложных логинов/паролей - все правильно.

Не понял только начало схемы, вы городские номера где принимаете? Если на аналоговой АТС - тогда проблем нету, выход в/на город у вас все равно будет проходить через аналоговую АТС. В этом случае у Вас Asterisk выступает просто в роли расширения функционала АТС до уровня "цифра в локалке" и вы не принимаете из города SIP-звонки напрямую.

Крутим "гайки" дальше. На тунеле микротика можно разрешить только SIP-трафик (разрешайте TCP/UDP 5060). Если не будете использовать SSL, то можно только UDP/5060 - это стандартный порт для SIP.

Не забываем про файервол в самом CentOS (вроде бы в вебке Elastix вожно настраивать доверенные узлы).

Так что подводя короткий итог, если вы не принимаете напрямую SIP из интернета и пользователи у Вас в периметре безопасности локалки, то Ваша схема имеет место "быть".

По какой схеме реализовать надежную IP-телефонию в сети?

Войдите, чтобы написать ответ

Минуточку внимания

Войдите на сайт