- 2 гигабитных порта WAN с возможностью резервного переключения, 2 гигабитных порта LAN, 1 гигабитный порт LAN/DMZ и 1 консольный порт
- Поддержка нескольких протоколов VPN, включая серверы IPsec/PPTP/L2TP
- Поддержка до 50 IPsec VPN туннелей с помощью аппаратного VPN обработчика
- Расширенные функции защиты, включающие в себя инспекцию ARP-пакетов, защиту от DoS-атак, фильтрацию по URL и ключевому слову доменного имени, и контроль доступа
Подробное описание возможностей и настройки TL-ER6020 доступно здесь. В данной статье мы ограничимся описанием настройки маршрутизатора TP-Link TL-ER6020 для работы с 3CX Phone System.
Схема сети предусматривает расположение сервера 3CX на NAT маршрутизатора в сети 192.168.0.0 / 24. IP адрес маршрутизатора 192.168.0.1, а IP адрес сервера 3CX 192.168.0.2
Подготовка маршрутизатора
Прежде всего необходимо обновить прошивку TL-ER6020, поскольку, как оказалось, даже самая последняя прошивка с официального сайта TP-Link имеет ошибку, которая не позволяет отключать SIP ALG. Отключение SIP ALG критически необходимо для корректной работы различных SIP операторов с 3CX.
- Зайдите в интерфейс маршрутизатора по адресу 192.168.0.1 (адрес по умолчанию) с именем пользователя и паролем admin / admin
- Загрузите прошивку и обновите маршрутизатор
- После обновления рекомендуется сбросить устройство в настройки по умолчанию
Настройка маршрутизатора
Настройка маршрутизатора состоит из трех этапов:
- Подключение хотя бы одного WAN порта к сети Интернет
- Отключение сервиса SIP ALG
- Публикация сервисов (проброс портов) через NAT, необходимых для полноценной работы 3CX Phone System
- Дополнительная настройка сетевого экрана для повышения безопасности
- Тестирование правильности настройки TL-ER6020 входящим и исходящим SIP вызовом
Подключение маршрутизатора к Интернет
Подключение одного (или обоих) WAN портов к Интернет делается в разделе Network – WAN. В нижней части интерфейса можно проверить статус подключения. В данном примере используется подключение PPPoE.
Отключение сервиса SIP ALG
Отключите SIP ALG в разделе Advanced – NAT – ALG.
Публикация сервисов (проброс портов) через NAT
Для корректной работы внешних SIP транков необходимо опубликовать ряд портов сервера 3CX Phone System:
- 5060 TCP/UDP – SIP
- 5090 TCP/UDP – 3CX Tunnel
- 5000, 5001 (для веб сервера Abyss) или 80 и 443 (для сервера IIS) TCP – расширенное управление 3CXPhone и автонастройка IP телефонов
- 9000-9500 UDP – RTP и WebRTC медиапоток
Публикация сервисов производится в разделе Advanced – NAT – Virtual Server. Начнем с SIP сервера.
После публикации всех сервисов, интерфейс должен иметь примерно такой вид.
Настройка сетевого экрана для повышения безопасности
Публикация сервисов так, как она реализована в TL-ER6020, вызывает справедливые опасения: мы открываем SIP порт 5060, который так любят хакеры, фактически, для всего мира. В интерфейсе публикации нет никакой возможности указать, для каких IP адресов следует открывать SIP порт сервера 3CX.
Наша настоятельная рекомендация: открывать порт 5060 только для SIP адресов операторов связи / SIP провайдеров, с которыми работает ваша система.
В нашем примере система работает с российским оператором Мегафон (услуга Мультифон) и украинским оператором Киевстар, при этом Мегафон использует разные IP адреса для SIP сервера и SIP прокси, а Киевстар – единственный SIP сервер.
Сперва определим сервисы / диапазоны портов, доступ к которым следует ограничить в разделе Firewall – Access Control – Service.
Здесь мы определили только SIP порт 5060 и RTP порты 9000-9255. Поскольку остальные сервисы 3CX должны быть доступны для любого IP адреса в Интернет и ограничивать к ним доступ нет необходимости.
В разделе Firewall – Access Control – Access Rules добавим правила сетевого экрана, разрешающие доступ к определенным сервисам 3CX только с определенных SIP адресов.
Также необходимо добавить одно общее запрещающее правило, ограничивающее доступ к указанным портам всем адресам Интернет. Обратите внимание – это правило должно стоять последним в списке. Окончательный список правил должен выглядеть таким образом.
Вторая часть списка с общим запрещающим правилом.
Тестирование настройки
Чтобы проверить правильность работы сетевого экрана сделайте исходящий и входящий вызовы. Вызов должен проходить успешно, слышимость должна быть двухсторонней и не должно происходить обрыва связи через 32 секунды.
Заключение
Настройка VPN маршрутизатора TP-Link TL-ER6020 для работы с 3CX Phone System – достаточно несложный процесс, однако требует учета некоторых особенностей, с которыми нам пришлось столкнуться. Также желательно иметь понятие об основных принципов работы VoIP технологий.
В этом руководстве мы не рассмотрели такую интересную возможность TL-ER6020, как резервирование WAN канала. Эта возможность позволяет обеспечить бесперебойную VoIP связь даже в случае “падения” основного интернет – подключения.
Однако имейте ввиду, что такое резервирование предъявляет определенные требования к используемым SIP подключениям:
- Рекомендуется использовать SIP подключения с авторизацией по имени пользователя и паролю. В этом случае, при отключении основного интернет-канала, SIP подключение автоматически перерегистрируется через второго оператора.
- Если вы используете SIP линию с авторизацией по IP адресу (SIP транк), попросите оператора авторизовать IP адрес резервного интернет-подключения. После этого оператор сможет принимать и направлять вызовы через это подключение.
Дополнительная информация
- Используемые порты в 3CX Phone System
- Прохождение SIP и RTP трафика
- Рекомендации по настройке различных сетевых экранов для 3CX Phone System
- Форум технической поддержки TP-Link
- Утилита 3CX Remote Firewall Checker для обнаружения проблем с сетевыми экранами
Комментарии (14)
snezhko
17.04.2016 11:37Натыркать галочки — удел эникея. Правильно их установить, учитывая специфику данного оборудования и требования к безопастности сети — работа квалифицированного системного инженера. Мы стараемся помочь последним внедрять нашу систему.
mrobespierre
18.04.2016 23:06Я, может, сейчас сильно ошибусь, но квалифицированный инженер выберет Cisco/Juniper/HP/Huawei по вкусу и сам его настроит. Если денег нет даже на Б/У (но всё еще нормальную) железку — поставит pfsense/vyos в виртуалку или на рухлядь из запасников. Тему «Зачем 3CX квалифицированному инженеру» я, как большой поклонник FreeSWITCH и OpenSIPs, даже затрагивать не буду, боюсь обидеть кого ненароком.
snezhko
18.04.2016 23:16Квалификация, кроме прочего, подразумевает не покупку самого крутого или самого дорогого, или самого модного устройства на рынке, а выбор устройства, адекватного задаче. Если врач все время прописывает самые дорогие лекарства, которые реально пациенту не нужны, у такого врача очень скоро не будет практики и он пойдет работать, куда возьмут.
Если инженер в компании большой поклонник разного рода открытых систем и тюнингованных скриптов — честь ему и хвала. С одним условием — компания готова оплачивать его инженерно-конструкторские опыты и зациклить всю критичную инфраструктуру на одной персоне. Если же руководству компании важен быстрый результат, и оно не готово впасть в зависимость от большого любителя (подставить нужное) — предпочтение отдается распространненным коммерческим системам с гарантированной техподдержкой от производителя.
mrobespierre
19.04.2016 12:44>>Квалификация, кроме прочего, подразумевает не покупку самого крутого или самого дорогого, или самого модного устройства на рынке, а выбор устройства, адекватного задаче
Вот это вы очень точно подметили. Маршрутизатор TP-Link TL-ER6020 с его гигабитными портами подпадает под категорию «круто». И в категорию «дорого» тоже (cisco 1841 б/у дешевле обойдётся).
>>Если инженер в компании большой поклонник разного рода… тюнингованных скриптов.
А можно поподробнее об этом? Я не понял о чём речь.
>>компания готова оплачивать его инженерно-конструкторские опыты
Вот тут вы сами себе противоречите. Выше много раз пишите «квалифицированного системного инженера». Разве это высокая квалификация не подразумевает высокую зарплату? Тогда что в этом плохого?
>>зациклить всю критичную инфраструктуру на одной персоне
>>и оно не готово впасть в зависимость от большого любителя (подставить нужное)
Ну да. На свете ровно один CCNA и нет ни одного CCNP/CCIE.
>>предпочтение отдается распространненным коммерческим системам
Ещё раз в точку. Если нарисовать круговую диаграмму соотношения Cisco, Juniper, HP, Huawei и TP-Link, то долю последнего даже видно не будет.
teleavtomatika
17.04.2016 12:44А зачем вы советуете открывать наружу порт 5060, вы ожидаете входящих транков со стороны операторов связи? Или вы думаете, что инициированное из внутренней сети подключение на сторону оператора связи не будет работать?
snezhko
17.04.2016 19:54Многие операторы не требуют регистрации, а просто отправляют входящий вызов на заранее указанный IP адрес сервера (в данном случае, 3CX). Разумеется, если порт будет закрыт, вызов не пройдет. Кроме того, публикация портов необходима для реализации важного требования VoIP — Full Cone NAT http://www.3cx.com/blog/voip-howto/static-port-mappings/
teleavtomatika
18.04.2016 01:23Многие операторы не требуют регистрации, а просто отправляют входящий вызов на заранее указанный IP адрес сервера
Вы противоречите сами себе. Для того чтобы знать куда направлять звонки для абонента нужно эту информацию где-то прописать или получить. В 99% случаев это решается не ручным прописыванием, а регистрацией со стороны этого абонента.
Я не знаю насколько у вас большой опыт работы, но торчащий наружу 5060 вызывает адское количество пытающихся туда пробиться.snezhko
18.04.2016 01:26При заключении договора с оператором, вы передаете ему свой IP адрес, на который нужно направлять вызовы. Это совершенно типовая практика. http://westcall.spb.ru/for_office/tel-connection/voip/
Порт 5060 не торчит наружу, а ограничен только IP адресами используемых операторов связи. Именно этим настройкаи и посвящена часть инструкции.teleavtomatika
18.04.2016 01:38Видимо это совсем емкие транки или межоператорские договоренности. Я заключил десятки договоров на VoIP, в том числе с: билайн, мтс, ростелеком, sipnet. Везде требуют регистрацию. И никто не пытался ограничить меня белым статическим IP. Как правило сеть оператора заточена под то, что все абоненты регистрируются на платформе.
На мой взгляд, совет открывать порт 5060 наружу — очень опасный. Особенно для той аудитории на которую ориентирована ваша статья.snezhko
18.04.2016 01:53Разумеется, для крупной (и не очень) компании требуется емкий (многоканальный) транк. И, как правило, корпоративная система связи (узел связи) соединяется с VoIP оператором (узлом связи) именно SIP транком, а не множеством отдельных линий с множеством отдельных аккаунтов, ведь это сильно усложняет и ограничивает настройку транка. Регистрация используется, как правило, только для домашних абонентов или отдельных SIP телефонов.
Еще раз обращаю ваше внимание — в статье приводятся настройки ОГРАНИЧЕНИЯ порта 5060 только для IP адресов операторов связи.
Demon_i
Боже, на Хабре статья, как натыркать галочки в интерфейсе маршрутизатора.
Давайте статью, как в Dlink админ/админ ввести.
Mixim333
Тоже так подумал. По-моему, этой статье скорее место на GeekTimes или MegaMozg.
snezhko
Я установил галочку Обучающий материал.