- PVSM.RU - https://www.pvsm.ru -
Беспроводные маршрутизаторы компании TP-Link получили заслуженное признание, особенно у домашних пользователей и небольших компаний. Однако TP-Link производит также линейку мощных и довольно функциональных маршрутизаторов и точек доступа уровня предприятия. В частности, маршрутизатор бизнес класса TL-ER6020 при весьма доступной цене обладает рядом интересных возможностей:
Подробное описание возможностей и настройки TL-ER6020 доступно здесь [2]. В данной статье мы ограничимся описанием настройки маршрутизатора TP-Link TL-ER6020 для работы с 3CX Phone System.
Схема сети предусматривает расположение сервера 3CX на NAT маршрутизатора в сети 192.168.0.0 / 24. IP адрес маршрутизатора 192.168.0.1, а IP адрес сервера 3CX 192.168.0.2
Прежде всего необходимо обновить прошивку TL-ER6020, поскольку, как оказалось [4], даже самая последняя прошивка с официального сайта TP-Link имеет ошибку, которая не позволяет отключать SIP ALG [5]. Отключение SIP ALG [6] критически необходимо для корректной работы различных SIP операторов с 3CX.
Настройка маршрутизатора состоит из трех этапов:
Подключение одного (или обоих) WAN портов к Интернет делается в разделе Network – WAN. В нижней части интерфейса можно проверить статус подключения. В данном примере используется подключение PPPoE.
Отключите SIP ALG в разделе Advanced – NAT – ALG.
Для корректной работы внешних SIP транков необходимо опубликовать ряд портов сервера [11] 3CX Phone System:
Публикация сервисов производится в разделе Advanced – NAT – Virtual Server. Начнем с SIP сервера.
После публикации всех сервисов, интерфейс должен иметь примерно такой вид.
Публикация сервисов так, как она реализована в TL-ER6020, вызывает справедливые опасения: мы открываем SIP порт 5060, который так любят хакеры, фактически, для всего мира. В интерфейсе публикации нет никакой возможности указать, для каких IP адресов следует открывать SIP порт сервера 3CX.
Наша настоятельная рекомендация: открывать порт 5060 только для SIP адресов операторов связи / SIP провайдеров, с которыми работает ваша система.
В нашем примере система работает с российским оператором Мегафон (услуга Мультифон) и украинским оператором Киевстар, при этом Мегафон использует разные IP адреса для SIP сервера и SIP прокси [15], а Киевстар – единственный SIP сервер. [16]
Сперва определим сервисы / диапазоны портов, доступ к которым следует ограничить в разделе Firewall – Access Control – Service.
Здесь мы определили только SIP порт 5060 и RTP порты 9000-9255 [18]. Поскольку остальные сервисы 3CX должны быть доступны для любого IP адреса в Интернет и ограничивать к ним доступ нет необходимости.
В разделе Firewall – Access Control – Access Rules добавим правила сетевого экрана, разрешающие доступ к определенным сервисам 3CX только с определенных SIP адресов.
Также необходимо добавить одно общее запрещающее правило, ограничивающее доступ к указанным портам всем адресам Интернет. Обратите внимание – это правило должно стоять последним в списке. Окончательный список правил должен выглядеть таким образом.
Вторая часть списка с общим запрещающим правилом.
Чтобы проверить правильность работы сетевого экрана сделайте исходящий и входящий вызовы. Вызов должен проходить успешно, слышимость должна быть двухсторонней и не должно происходить обрыва связи через 32 секунды [22].
Настройка VPN маршрутизатора TP-Link TL-ER6020 для работы с 3CX Phone System – достаточно несложный процесс, однако требует учета некоторых особенностей, с которыми нам пришлось столкнуться. Также желательно иметь понятие об основных принципов работы VoIP технологий.
В этом руководстве мы не рассмотрели такую интересную возможность TL-ER6020, как резервирование WAN канала. Эта возможность позволяет обеспечить бесперебойную VoIP связь даже в случае “падения” основного интернет – подключения.
Однако имейте ввиду, что такое резервирование предъявляет определенные требования к используемым SIP подключениям:
Автор: 3CX Ltd.
Источник [28]
Сайт-источник PVSM.RU: https://www.pvsm.ru
Путь до страницы источника: https://www.pvsm.ru/voip/118207
Ссылки в тексте:
[1] Image: http://igorsnezhko.files.wordpress.com/2016/04/image7.png
[2] здесь: http://www.tp-linkru.com/download/TL-ER6020.html
[3] Image: http://igorsnezhko.files.wordpress.com/2016/04/image18.png
[4] как оказалось: http://forum.tp-linkru.ru/viewtopic.php?f=262&t=8279
[5] SIP ALG: http://www.3cx.ru/voip-sip/alg/
[6] Отключение SIP ALG: http://www.3cx.ru/docs/firewall-router-configuration-voip/#h.vbntni6x8gau
[7] Загрузите прошивку: http://forum.tp-linkru.ru/fws/TL-ER6020v1_en_1.1.0_[20150616-rel72317]_up.rar
[8] Image: http://igorsnezhko.files.wordpress.com/2016/04/image8.png
[9] Image: http://igorsnezhko.files.wordpress.com/2016/04/image9.png
[10] Image: http://igorsnezhko.files.wordpress.com/2016/04/image10.png
[11] портов сервера: http://www.3cx.ru/docs/firewall-router-configuration-voip/#h.tv64ako3hpg9
[12] 3CX Tunnel: http://www.3cx.ru/docs/3cx-tunnel-session-border-controller/
[13] Image: http://igorsnezhko.files.wordpress.com/2016/04/image11.png
[14] Image: http://igorsnezhko.files.wordpress.com/2016/04/image12.png
[15] разные IP адреса для SIP сервера и SIP прокси: http://multifon.ru/help/
[16] единственный SIP сервер.: http://www.kyivstar.ua/f/1/business/fixed/archive/ip_telephony_arch/IP_rus.docx
[17] Image: http://igorsnezhko.files.wordpress.com/2016/04/image13.png
[18] RTP порты 9000-9255: http://www.3cx.com/blog/docs/ports-used/
[19] Image: http://igorsnezhko.files.wordpress.com/2016/04/image14.png
[20] Image: http://igorsnezhko.files.wordpress.com/2016/04/image15.png
[21] Image: http://igorsnezhko.files.wordpress.com/2016/04/image16.png
[22] через 32 секунды: https://andrewjprokop.wordpress.com/2013/07/02/understanding-sip-timers-part-i/
[23] Image: http://igorsnezhko.files.wordpress.com/2016/04/image17.png
[24] Прохождение SIP и RTP трафика: http://blog.lithiumblue.com/2007/07/understanding-relationship-between-sip.html
[25] Рекомендации по настройке: http://www.3cx.com/support/firewall-configuration/
[26] Форум технической поддержки TP-Link: http://forum.tp-linkru.ru/index.php
[27] Утилита 3CX Remote Firewall Checker: http://www.3cx.com/blog/voip-howto/3cx-firewall-checker-client/
[28] Источник: https://habrahabr.ru/post/281757/
Нажмите здесь для печати.