Беспроводные маршрутизаторы компании TP-Link получили заслуженное признание, особенно у домашних пользователей и небольших компаний. Однако TP-Link производит также линейку мощных и довольно функциональных маршрутизаторов и точек доступа уровня предприятия. В частности, маршрутизатор бизнес класса TL-ER6020 при весьма доступной цене обладает рядом интересных возможностей:
  • 2 гигабитных порта WAN с возможностью резервного переключения, 2 гигабитных порта LAN, 1 гигабитный порт LAN/DMZ и 1 консольный порт
  • Поддержка нескольких протоколов VPN, включая серверы IPsec/PPTP/L2TP
  • Поддержка до 50 IPsec VPN туннелей с помощью аппаратного VPN обработчика
  • Расширенные функции защиты, включающие в себя инспекцию ARP-пакетов, защиту от DoS-атак, фильтрацию по URL и ключевому слову доменного имени, и контроль доступа

image

Подробное описание возможностей и настройки TL-ER6020 доступно здесь. В данной статье мы ограничимся описанием настройки маршрутизатора TP-Link TL-ER6020 для работы с 3CX Phone System.

Схема сети предусматривает расположение сервера 3CX на NAT маршрутизатора в сети 192.168.0.0 / 24. IP адрес маршрутизатора 192.168.0.1, а IP адрес сервера 3CX 192.168.0.2

image

Подготовка маршрутизатора


Прежде всего необходимо обновить прошивку TL-ER6020, поскольку, как оказалось, даже самая последняя прошивка с официального сайта TP-Link имеет ошибку, которая не позволяет отключать SIP ALG. Отключение SIP ALG критически необходимо для корректной работы различных SIP операторов с 3CX.
  1. Зайдите в интерфейс маршрутизатора по адресу 192.168.0.1 (адрес по умолчанию) с именем пользователя и паролем admin / admin
  2. Загрузите прошивку и обновите маршрутизатор image
  3. После обновления рекомендуется сбросить устройство в настройки по умолчанию

Настройка маршрутизатора


Настройка маршрутизатора состоит из трех этапов:
  1. Подключение хотя бы одного WAN порта к сети Интернет
  2. Отключение сервиса SIP ALG
  3. Публикация сервисов (проброс портов) через NAT, необходимых для полноценной работы 3CX Phone System
  4. Дополнительная настройка сетевого экрана для повышения безопасности
  5. Тестирование правильности настройки TL-ER6020 входящим и исходящим SIP вызовом

Подключение маршрутизатора к Интернет


Подключение одного (или обоих) WAN портов к Интернет делается в разделе Network – WAN. В нижней части интерфейса можно проверить статус подключения. В данном примере используется подключение PPPoE.

image

Отключение сервиса SIP ALG


Отключите SIP ALG в разделе Advanced – NAT – ALG.

image

Публикация сервисов (проброс портов) через NAT


Для корректной работы внешних SIP транков необходимо опубликовать ряд портов сервера 3CX Phone System:
  • 5060 TCP/UDP – SIP
  • 5090 TCP/UDP – 3CX Tunnel
  • 5000, 5001 (для веб сервера Abyss) или 80 и 443 (для сервера IIS) TCP – расширенное управление 3CXPhone и автонастройка IP телефонов
  • 9000-9500 UDP – RTP и WebRTC медиапоток

Публикация сервисов производится в разделе Advanced – NAT – Virtual Server. Начнем с SIP сервера.

image

После публикации всех сервисов, интерфейс должен иметь примерно такой вид.

image

Настройка сетевого экрана для повышения безопасности


Публикация сервисов так, как она реализована в TL-ER6020, вызывает справедливые опасения: мы открываем SIP порт 5060, который так любят хакеры, фактически, для всего мира. В интерфейсе публикации нет никакой возможности указать, для каких IP адресов следует открывать SIP порт сервера 3CX.

Наша настоятельная рекомендация: открывать порт 5060 только для SIP адресов операторов связи / SIP провайдеров, с которыми работает ваша система.

В нашем примере система работает с российским оператором Мегафон (услуга Мультифон) и украинским оператором Киевстар, при этом Мегафон использует разные IP адреса для SIP сервера и SIP прокси, а Киевстар – единственный SIP сервер.

Сперва определим сервисы / диапазоны портов, доступ к которым следует ограничить в разделе Firewall – Access Control – Service.

image

Здесь мы определили только SIP порт 5060 и RTP порты 9000-9255. Поскольку остальные сервисы 3CX должны быть доступны для любого IP адреса в Интернет и ограничивать к ним доступ нет необходимости.

В разделе Firewall – Access Control – Access Rules добавим правила сетевого экрана, разрешающие доступ к определенным сервисам 3CX только с определенных SIP адресов.

image

Также необходимо добавить одно общее запрещающее правило, ограничивающее доступ к указанным портам всем адресам Интернет. Обратите внимание – это правило должно стоять последним в списке. Окончательный список правил должен выглядеть таким образом.

image

Вторая часть списка с общим запрещающим правилом.

image

Тестирование настройки


Чтобы проверить правильность работы сетевого экрана сделайте исходящий и входящий вызовы. Вызов должен проходить успешно, слышимость должна быть двухсторонней и не должно происходить обрыва связи через 32 секунды.

Заключение


Настройка VPN маршрутизатора TP-Link TL-ER6020 для работы с 3CX Phone System – достаточно несложный процесс, однако требует учета некоторых особенностей, с которыми нам пришлось столкнуться. Также желательно иметь понятие об основных принципов работы VoIP технологий.

В этом руководстве мы не рассмотрели такую интересную возможность TL-ER6020, как резервирование WAN канала. Эта возможность позволяет обеспечить бесперебойную VoIP связь даже в случае “падения” основного интернет – подключения.

image

Однако имейте ввиду, что такое резервирование предъявляет определенные требования к используемым SIP подключениям:
  • Рекомендуется использовать SIP подключения с авторизацией по имени пользователя и паролю. В этом случае, при отключении основного интернет-канала, SIP подключение автоматически перерегистрируется через второго оператора.
  • Если вы используете SIP линию с авторизацией по IP адресу (SIP транк), попросите оператора авторизовать IP адрес резервного интернет-подключения. После этого оператор сможет принимать и направлять вызовы через это подключение.

Дополнительная информация


Комментарии (14)


  1. Demon_i
    17.04.2016 11:35
    +2

    Боже, на Хабре статья, как натыркать галочки в интерфейсе маршрутизатора.
    Давайте статью, как в Dlink админ/админ ввести.


    1. Mixim333
      17.04.2016 12:21

      Тоже так подумал. По-моему, этой статье скорее место на GeekTimes или MegaMozg.


      1. snezhko
        17.04.2016 12:30

        Я установил галочку Обучающий материал.


  1. snezhko
    17.04.2016 11:37

    Натыркать галочки — удел эникея. Правильно их установить, учитывая специфику данного оборудования и требования к безопастности сети — работа квалифицированного системного инженера. Мы стараемся помочь последним внедрять нашу систему.


    1. mrobespierre
      18.04.2016 23:06

      Я, может, сейчас сильно ошибусь, но квалифицированный инженер выберет Cisco/Juniper/HP/Huawei по вкусу и сам его настроит. Если денег нет даже на Б/У (но всё еще нормальную) железку — поставит pfsense/vyos в виртуалку или на рухлядь из запасников. Тему «Зачем 3CX квалифицированному инженеру» я, как большой поклонник FreeSWITCH и OpenSIPs, даже затрагивать не буду, боюсь обидеть кого ненароком.


      1. snezhko
        18.04.2016 23:16

        Квалификация, кроме прочего, подразумевает не покупку самого крутого или самого дорогого, или самого модного устройства на рынке, а выбор устройства, адекватного задаче. Если врач все время прописывает самые дорогие лекарства, которые реально пациенту не нужны, у такого врача очень скоро не будет практики и он пойдет работать, куда возьмут.

        Если инженер в компании большой поклонник разного рода открытых систем и тюнингованных скриптов — честь ему и хвала. С одним условием — компания готова оплачивать его инженерно-конструкторские опыты и зациклить всю критичную инфраструктуру на одной персоне. Если же руководству компании важен быстрый результат, и оно не готово впасть в зависимость от большого любителя (подставить нужное) — предпочтение отдается распространненным коммерческим системам с гарантированной техподдержкой от производителя.


        1. mrobespierre
          19.04.2016 12:44

          >>Квалификация, кроме прочего, подразумевает не покупку самого крутого или самого дорогого, или самого модного устройства на рынке, а выбор устройства, адекватного задаче
          Вот это вы очень точно подметили. Маршрутизатор TP-Link TL-ER6020 с его гигабитными портами подпадает под категорию «круто». И в категорию «дорого» тоже (cisco 1841 б/у дешевле обойдётся).
          >>Если инженер в компании большой поклонник разного рода… тюнингованных скриптов.
          А можно поподробнее об этом? Я не понял о чём речь.
          >>компания готова оплачивать его инженерно-конструкторские опыты
          Вот тут вы сами себе противоречите. Выше много раз пишите «квалифицированного системного инженера». Разве это высокая квалификация не подразумевает высокую зарплату? Тогда что в этом плохого?
          >>зациклить всю критичную инфраструктуру на одной персоне
          >>и оно не готово впасть в зависимость от большого любителя (подставить нужное)
          Ну да. На свете ровно один CCNA и нет ни одного CCNP/CCIE.
          >>предпочтение отдается распространненным коммерческим системам
          Ещё раз в точку. Если нарисовать круговую диаграмму соотношения Cisco, Juniper, HP, Huawei и TP-Link, то долю последнего даже видно не будет.


  1. teleavtomatika
    17.04.2016 12:44

    А зачем вы советуете открывать наружу порт 5060, вы ожидаете входящих транков со стороны операторов связи? Или вы думаете, что инициированное из внутренней сети подключение на сторону оператора связи не будет работать?


    1. snezhko
      17.04.2016 19:54

      Многие операторы не требуют регистрации, а просто отправляют входящий вызов на заранее указанный IP адрес сервера (в данном случае, 3CX). Разумеется, если порт будет закрыт, вызов не пройдет. Кроме того, публикация портов необходима для реализации важного требования VoIP — Full Cone NAT http://www.3cx.com/blog/voip-howto/static-port-mappings/


      1. teleavtomatika
        18.04.2016 01:23

        Многие операторы не требуют регистрации, а просто отправляют входящий вызов на заранее указанный IP адрес сервера


        Вы противоречите сами себе. Для того чтобы знать куда направлять звонки для абонента нужно эту информацию где-то прописать или получить. В 99% случаев это решается не ручным прописыванием, а регистрацией со стороны этого абонента.

        Я не знаю насколько у вас большой опыт работы, но торчащий наружу 5060 вызывает адское количество пытающихся туда пробиться.


        1. snezhko
          18.04.2016 01:26

          При заключении договора с оператором, вы передаете ему свой IP адрес, на который нужно направлять вызовы. Это совершенно типовая практика. http://westcall.spb.ru/for_office/tel-connection/voip/

          Порт 5060 не торчит наружу, а ограничен только IP адресами используемых операторов связи. Именно этим настройкаи и посвящена часть инструкции.


          1. teleavtomatika
            18.04.2016 01:38

            Видимо это совсем емкие транки или межоператорские договоренности. Я заключил десятки договоров на VoIP, в том числе с: билайн, мтс, ростелеком, sipnet. Везде требуют регистрацию. И никто не пытался ограничить меня белым статическим IP. Как правило сеть оператора заточена под то, что все абоненты регистрируются на платформе.

            На мой взгляд, совет открывать порт 5060 наружу — очень опасный. Особенно для той аудитории на которую ориентирована ваша статья.


            1. snezhko
              18.04.2016 01:53

              Разумеется, для крупной (и не очень) компании требуется емкий (многоканальный) транк. И, как правило, корпоративная система связи (узел связи) соединяется с VoIP оператором (узлом связи) именно SIP транком, а не множеством отдельных линий с множеством отдельных аккаунтов, ведь это сильно усложняет и ограничивает настройку транка. Регистрация используется, как правило, только для домашних абонентов или отдельных SIP телефонов.

              Еще раз обращаю ваше внимание — в статье приводятся настройки ОГРАНИЧЕНИЯ порта 5060 только для IP адресов операторов связи.


  1. teleavtomatika
    18.04.2016 01:38

    -