User Tools

Site Tools


asterisk._телефонное_оборудование_и_безопасность

Differences

This shows you the differences between two versions of the page.

Link to this comparison view

Both sides previous revision Previous revision
Next revision
Previous revision
asterisk._телефонное_оборудование_и_безопасность [2021/06/02 13:26]
val [4.4 Настройка Asterisk для защиты от несанкционированного использования]
asterisk._телефонное_оборудование_и_безопасность [2023/05/24 12:48] (current)
val [4.2 Настройка безопасного распространения файлов конфигурации VoIP оборудования]
Line 2: Line 2:
  
 ===== Вебинар ===== ===== Вебинар =====
- 
-  * https://​global.gotomeeting.com/​join/​776166669 
  
 ===== Программа курса ===== ===== Программа курса =====
Line 25: Line 23:
  
 ==== Лабораторные работы:​ Настройка ip и voip сети предприятия ==== ==== Лабораторные работы:​ Настройка ip и voip сети предприятия ====
 +
 +  * [[Настройка стендов слушателей#​Скрипты автоконфигурации]]
  
 ==== 1.1 Настройка интернет шлюза и сервера ==== ==== 1.1 Настройка интернет шлюза и сервера ====
Line 98: Line 98:
   * [[https://​ru.wikipedia.org/​wiki/​%D0%AD%D1%80%D0%BB%D0%B0%D0%BD%D0%B3|Эрланг (обозначение Эрл) — безразмерная единица интенсивности нагрузки]]   * [[https://​ru.wikipedia.org/​wiki/​%D0%AD%D1%80%D0%BB%D0%B0%D0%BD%D0%B3|Эрланг (обозначение Эрл) — безразмерная единица интенсивности нагрузки]]
  
-==== Обзор интерфейсов для настройки телефонного оборудования (DTMF, Web интерфейс,​ Provisioning) ==== 
  
-  * SIP Phone Panasonic KX-UT1XX ([[SIP Phone Panasonic KX-UT1XX#​Включение WEB интерфейса]]) 
-  * Linksys SPA-3102 ([[Linksys SPA-3102#​Включение WEB интерфейса на WAN интерфейсе]]) 
-  * [[TAU-32M.IP]] 
-  * [[SMG-1016]] 
  
-==== Обзор процедур и форматов файлов конфигурации оборудования Cisco, LinkSys, Panasonic и Элтекс ==== 
  
-  * [[Cisco 7912]] 
-  * [[Linksys SPA-3102]] 
-  * [[SIP Phone Panasonic KX-HDVXXX]] 
-  * [[SMG-1016]] 
  
 ==== Лабораторные работы:​ Подключение голосовых шлюзов и IP телефонов к Asterisk ==== ==== Лабораторные работы:​ Подключение голосовых шлюзов и IP телефонов к Asterisk ====
Line 137: Line 127:
 </​code>​ </​code>​
  
 +  * [[Linksys SPA-3102#​Включение WEB интерфейса на WAN интерфейсе]] (Узнать назначенный устройству IP адрес)
   * [[Linksys SPA-3102#​Настройка VoIP параметров]]   * [[Linksys SPA-3102#​Настройка VoIP параметров]]
   * Подключение к VoIP ([[Сервис Asterisk#​Шаблон конфигурации для осуществления исходящих вызовов]])   * Подключение к VoIP ([[Сервис Asterisk#​Шаблон конфигурации для осуществления исходящих вызовов]])
Line 194: Line 185:
 <​code>​ <​code>​
 Для системы server использовать алиасы и адрес 192.168.1.10/​24 Для системы server использовать алиасы и адрес 192.168.1.10/​24
-Для системы host (win у прохода) использовать дополнительный адрес 192.168.1.5/​24 на LAN 
  
-Для системы ​client1 можно оставить dhcp (поможет в отладке лабы provisioning для spa3102)+Для системы ​host (win у прохода) использовать адрес 192.168.X.5/​24 
 +плюс дополнительный адрес 192.168.1.5/​24 на LAN  
 +(!!! сделать,​ чтобы не было два default и зависимости от gate) 
 + 
 +Для системы client1 ​оставить dhcp (поможет в отладке лабы provisioning для spa3102)
 </​code>​ </​code>​
  
Line 250: Line 244:
 ;      same => n,​NoOp(${DIALSTATUS}) ;      same => n,​NoOp(${DIALSTATUS})
  
-;      same => n,​GotoIf($["​${DIALSTATUS}"​ = "​CONGESTION"​]?​call_pbx) 
       same => n,​GotoIf($["​${DIALSTATUS}"​ = "​CHANUNAVAIL"​]?​call_pbx) ​         same => n,​GotoIf($["​${DIALSTATUS}"​ = "​CHANUNAVAIL"​]?​call_pbx) ​  
  
Line 268: Line 261:
 **Общий сценарий**:​ Старую АТС выключили. В компанию приходит несколько городских линий для абонентов 4XX. **Общий сценарий**:​ Старую АТС выключили. В компанию приходит несколько городских линий для абонентов 4XX.
  
-**Сценарий 1**:  Подключаем несколько (2-3) городских линий 84951234560+X к Asterisk с помощью однопортовых шлюзов слушателей с FXO интерфейсом. Телефон на столе преподавателя (84951234560) и телефоны слушателей,​ шлюзы которых не используются,​ играют роль абонентов PSTN. Так же, нужно добавить функционал отправки вызова обратно в город (телефон ​преподавателя) в случае отсутствия ответа.+**Сценарий 1**:  Подключаем несколько (2-3) городских линий 84951234560+X к Asterisk с помощью однопортовых шлюзов слушателей с FXO интерфейсом. Телефон на столе преподавателя (84951234560) и телефоны слушателей,​ шлюзы которых не используются,​ играют роль абонентов PSTN. Так же, нужно добавить функционал отправки вызова обратно в город (на телефон ​слушателя) в случае отсутствия ответа.
  
   * [[Linksys SPA-3102#​Настройка параметров аналоговой линии]] (Демонстрация важности настройки Disconnect Tone)   * [[Linksys SPA-3102#​Настройка параметров аналоговой линии]] (Демонстрация важности настройки Disconnect Tone)
Line 300: Line 293:
 ... ...
 exten => frompstn,​1,​Dial(SIP/​401&​SIP/​402,​10) exten => frompstn,​1,​Dial(SIP/​401&​SIP/​402,​10)
-       same => n,​Goto(default,​84951234560,1)+       same => n,​Goto(default,​84951234565,1)
 ... ...
 </​code>​ </​code>​
Line 330: Line 323:
 </​code>​ </​code>​
  
-==== 2.7 Подключение Asterisk к PBX через оборудование с интерфейсом PRI (SMG-1016) ​====+==== 2.7 Подключение Asterisk к PBX через оборудование с интерфейсом PRI ====
  
 **Сценарий**:​ В компании используется классическая ATC с PRI интерфейсом,​ разворачиваем рядом Asterisk, новые IP телефоны,​ план нумерации для них. Соединяем абонентов старой АТС и Asterisk с помощью шлюза с PRI интерфейсом. Программируем в классической ATC транк в номерной план Asterisk через PRI интерфейс. **Сценарий**:​ В компании используется классическая ATC с PRI интерфейсом,​ разворачиваем рядом Asterisk, новые IP телефоны,​ план нумерации для них. Соединяем абонентов старой АТС и Asterisk с помощью шлюза с PRI интерфейсом. Программируем в классической ATC транк в номерной план Asterisk через PRI интерфейс.
Line 357: Line 350:
 ... ...
 exten => _1XX,​1,​Dial(SIP/​smg1016/​${EXTEN}) exten => _1XX,​1,​Dial(SIP/​smg1016/​${EXTEN})
 +...
 +exten => _8XXXXXXXXXX,​1,​Dial(SIP/​smg1016/​${EXTEN})
 ... ...
 </​code>​ </​code>​
Line 434: Line 429:
 ==== Теория ==== ==== Теория ====
  
-  * [[http://wiki.sipnet.ru/index.php/Трансляция_сетевых_адресов_(NAT)_и_SIP|Трансляция сетевых адресов (NAT) и SIP]]+  * [[https://www.mango-office.ru/support/​tekhnicheskaya_podderzhka/​sip_oborudovanie/​obshchie_voprosy_po_sip_telefonam/​translyatsiya_setevykh_adresov_nat_vidy_skhemy_raboty/​|Трансляция сетевых адресов (NAT) и SIP]]
   * [[http://​voiplab.by/​wiki/​asterisk/​61-asterisk-13-za-nat-net-zvuka-v-odnu-storonu-net-slyshimosti|Asterisk 11 за NAT, нет звука в одну сторону,​ нет слышимости... Что делать?​]]   * [[http://​voiplab.by/​wiki/​asterisk/​61-asterisk-13-za-nat-net-zvuka-v-odnu-storonu-net-slyshimosti|Asterisk 11 за NAT, нет звука в одну сторону,​ нет слышимости... Что делать?​]]
   * [[http://​asterisk.ru/​knowledgebase/​RTP+Symmetric|Симметричный RTP]]   * [[http://​asterisk.ru/​knowledgebase/​RTP+Symmetric|Симметричный RTP]]
Line 491: Line 486:
  
 ==== 3.4 Подключение Asterisk, находящегося за NAT к VoIP провайдеру ==== ==== 3.4 Подключение Asterisk, находящегося за NAT к VoIP провайдеру ====
- 
-=== PJSIP === 
- 
-  * [[https://​wiki.asterisk.org/​wiki/​display/​AST/​Configuring+res_pjsip+to+work+through+NAT|Asterisk and Phones Connecting Through NAT to an ITSP]] 
-  * [[Сервис Asterisk#​Настройка RES_PJSIP каналов]] 
  
 === CHAN SIP === === CHAN SIP ===
Line 527: Line 517:
 </​code>​ </​code>​
  
 +=== PJSIP ===
 +
 +  * [[https://​wiki.asterisk.org/​wiki/​display/​AST/​Configuring+res_pjsip+to+work+through+NAT|Asterisk and Phones Connecting Through NAT to an ITSP]]
 +  * [[Сервис Asterisk#​Настройка RES_PJSIP каналов]]
 ==== 3.5 Использование DNS View для подключения к Asterisk предприятия ==== ==== 3.5 Использование DNS View для подключения к Asterisk предприятия ====
  
Line 553: Line 547:
 nat=force_rport,​comedia nat=force_rport,​comedia
 directmedia=no directmedia=no
-qualify=yes+;;qualify=yes
 ... ...
 </​code>​ </​code>​
Line 598: Line 592:
  
 ==== 4.2 Настройка безопасного распространения файлов конфигурации VoIP оборудования ==== ==== 4.2 Настройка безопасного распространения файлов конфигурации VoIP оборудования ====
 +
 +<​code>​
 +gate# dhcp-lease-list
 +
 +server# tcpdump -n -e -s0 -A host 192.168.X.IPPHONE and port 80
 +</​code>​
  
 <​code>​ <​code>​
 server# cd /​var/​www/​html/​ server# cd /​var/​www/​html/​
  
-server# mv spa-000E08NNNNNN.cfg /root/+server# mv -v spa-000E08NNNNNN.cfg /root/
 </​code>​ </​code>​
  
Line 608: Line 608:
   * Linksys SPA-3102 [[Linksys SPA-3102#​Безопасное распространение файлов конфигурации]]   * Linksys SPA-3102 [[Linksys SPA-3102#​Безопасное распространение файлов конфигурации]]
   * Linksys SPA-3102 [[Linksys SPA-3102#​Восстановление фабричных настроек]]   * Linksys SPA-3102 [[Linksys SPA-3102#​Восстановление фабричных настроек]]
- 
-<​code>​ 
-gate# dhcp-lease-list 
- 
-server# tcpdump -n -e -s0 -A host 192.168.X.IPPHONE 
-</​code>​ 
  
   * [[Пакет OpenSSL#​Создание самоподписанного сертификата]] для системы server.corpX.un   * [[Пакет OpenSSL#​Создание самоподписанного сертификата]] для системы server.corpX.un
Line 619: Line 613:
   * SIP Phone Panasonic KX-HDVXXX [[SIP Phone Panasonic KX-HDVXXX#​Использование Provisioning]]   * SIP Phone Panasonic KX-HDVXXX [[SIP Phone Panasonic KX-HDVXXX#​Использование Provisioning]]
  
-<​code>​ 
-server# tcpdump -n -e -s0 -A host 192.168.X.IPPHONE 
-</​code>​ 
  
 ==== 4.3 Шифрование телефонного трафика ==== ==== 4.3 Шифрование телефонного трафика ====
  
-  * Требует телефона с поддержкой TLS SRTP (например[[ZoIPer]] 3.15)+  * Требует телефона с поддержкой TLS SRTPнапример ​[[ZoIPer]] 3.15 (требует добавление самоподписанного сертификата в систему) или [[PhonerLite]] (принимает самоподписанный сертификат)
   * Прослушивание голосового трафика (на gate, [[Утилита Wireshark]],​ [[Файловый сервер SAMBA#​Публичный каталог доступный на запись]])   * Прослушивание голосового трафика (на gate, [[Утилита Wireshark]],​ [[Файловый сервер SAMBA#​Публичный каталог доступный на запись]])
  
 <​code>​ <​code>​
-gate# tcpdump -ni eth1 -s0 -w file1.dmp ​udp+gate# tcpdump -ni eth1 -s0 -w file1.dmp ​
 </​code>​ </​code>​
  
Line 715: Line 706:
  
 === Ограничиваем доступ к каналу === === Ограничиваем доступ к каналу ===
-<​code>​ 
-server# cat /​etc/​asterisk/​sip.conf 
-</​code><​code>​ 
-... 
-[office](!) 
-type=friend 
-host=dynamic 
-deny=0.0.0.0/​0.0.0.0 
-permit=192.168.X.0/​255.255.255.0 
- 
-[internet](!) 
-type=friend 
-host=dynamic 
-permit=0.0.0.0/​0.0.0.0 
-nat=force_rport,​comedia 
-qualify=yes 
-directmedia=no 
-;​call-limit=1 
- 
-[401](office) 
-secret=tpassword401 
- 
-[402](internet) 
-;​secret=tpassword402 
-md5secret=40b90878fa5389ead1bd297b247eaeef 
- 
-[403](office) 
-secret=tpassword403 
- 
-[404](office) 
-secret=tpassword404 
-... 
-</​code>​ 
  
 +  * [[Сервис Asterisk#​Использование шаблонов в именах CHAN_SIP каналов]]
 ==== 4.5 Использование контекстов,​ для построения матрицы доступа SIP каналов к номерным планам ==== ==== 4.5 Использование контекстов,​ для построения матрицы доступа SIP каналов к номерным планам ====
  
Line 830: Line 789:
 [incoming] [incoming]
 exten => voip1_00000X,​1,​Dial(SIP/​401&​SIP/​402&​SIP/​403&​SIP/​404) exten => voip1_00000X,​1,​Dial(SIP/​401&​SIP/​402&​SIP/​403&​SIP/​404)
-</​code><​code>​+</​code>​ 
 + 
 +  * Сервис FollowMe ([[Сервис Asterisk#​Переадресация вызовов на внешний номер]]) 
 + 
 +<​code>​
 server# cat /​etc/​asterisk/​extensions.conf server# cat /​etc/​asterisk/​extensions.conf
 </​code><​code>​ </​code><​code>​
 ... ...
 [to-pstn] [to-pstn]
 +;!!! Authenticate !!!
 +
 exten => _89XXXXXXXXX,​1,​Dial(SIP/​voip1_00000X/​${EXTEN}) exten => _89XXXXXXXXX,​1,​Dial(SIP/​voip1_00000X/​${EXTEN})
  
asterisk._телефонное_оборудование_и_безопасность.1622629607.txt.gz · Last modified: 2021/06/02 13:26 by val