Беспроводные маршрутизаторы компании TP-Link получили заслуженное признание, особенно у домашних пользователей и небольших компаний. Однако TP-Link производит также линейку мощных и довольно функциональных маршрутизаторов и точек доступа уровня предприятия. В частности, маршрутизатор бизнес класса TL-ER6020 при весьма доступной цене обладает рядом интересных возможностей:
- 2 гигабитных порта WAN с возможностью резервного переключения, 2 гигабитных порта LAN, 1 гигабитный порт LAN/DMZ и 1 консольный порт
- Поддержка нескольких протоколов VPN, включая серверы IPsec/PPTP/L2TP
- Поддержка до 50 IPsec VPN туннелей с помощью аппаратного VPN обработчика
- Расширенные функции защиты, включающие в себя инспекцию ARP-пакетов, защиту от DoS-атак, фильтрацию по URL и ключевому слову доменного имени, и контроль доступа
Подробное описание возможностей и настройки TL-ER6020 доступно здесь. В данной статье мы ограничимся описанием настройки маршрутизатора TP-Link TL-ER6020 для работы с 3CX Phone System.
Схема сети предусматривает расположение сервера 3CX на NAT маршрутизатора в сети 192.168.0.0 / 24. IP адрес маршрутизатора 192.168.0.1, а IP адрес сервера 3CX 192.168.0.2
Подготовка маршрутизатора
Прежде всего необходимо обновить прошивку TL-ER6020, поскольку, как оказалось, даже самая последняя прошивка с официального сайта TP-Link имеет ошибку, которая не позволяет отключать SIP ALG. Отключение SIP ALG критически необходимо для корректной работы различных SIP операторов с 3CX.
- Зайдите в интерфейс маршрутизатора по адресу 192.168.0.1 (адрес по умолчанию) с именем пользователя и паролем admin / admin
- Загрузите прошивку и обновите маршрутизатор
- После обновления рекомендуется сбросить устройство в настройки по умолчанию
Настройка маршрутизатора
Настройка маршрутизатора состоит из трех этапов:
- Подключение хотя бы одного WAN порта к сети Интернет
- Отключение сервиса SIP ALG
- Публикация сервисов (проброс портов) через NAT, необходимых для полноценной работы 3CX Phone System
- Дополнительная настройка сетевого экрана для повышения безопасности
- Тестирование правильности настройки TL-ER6020 входящим и исходящим SIP вызовом
Подключение маршрутизатора к Интернет
Подключение одного (или обоих) WAN портов к Интернет делается в разделе Network – WAN. В нижней части интерфейса можно проверить статус подключения. В данном примере используется подключение PPPoE.
Отключение сервиса SIP ALG
Отключите SIP ALG в разделе Advanced – NAT – ALG.
Публикация сервисов (проброс портов) через NAT
Для корректной работы внешних SIP транков необходимо опубликовать ряд портов сервера 3CX Phone System:
- 5060 TCP/UDP – SIP
- 5090 TCP/UDP – 3CX Tunnel
- 5000, 5001 (для веб сервера Abyss) или 80 и 443 (для сервера IIS) TCP – расширенное управление 3CXPhone и автонастройка IP телефонов
- 9000-9500 UDP – RTP и WebRTC медиапоток
Публикация сервисов производится в разделе Advanced – NAT – Virtual Server. Начнем с SIP сервера.
После публикации всех сервисов, интерфейс должен иметь примерно такой вид.
Настройка сетевого экрана для повышения безопасности
Публикация сервисов так, как она реализована в TL-ER6020, вызывает справедливые опасения: мы открываем SIP порт 5060, который так любят хакеры, фактически, для всего мира. В интерфейсе публикации нет никакой возможности указать, для каких IP адресов следует открывать SIP порт сервера 3CX.
Наша настоятельная рекомендация: открывать порт 5060 только для SIP адресов операторов связи / SIP провайдеров, с которыми работает ваша система.
В нашем примере система работает с российским оператором Мегафон (услуга Мультифон) и украинским оператором Киевстар, при этом Мегафон использует разные IP адреса для SIP сервера и SIP прокси, а Киевстар – единственный SIP сервер.
Сперва определим сервисы / диапазоны портов, доступ к которым следует ограничить в разделе Firewall – Access Control – Service.
Здесь мы определили только SIP порт 5060 и RTP порты 9000-9255. Поскольку остальные сервисы 3CX должны быть доступны для любого IP адреса в Интернет и ограничивать к ним доступ нет необходимости.
В разделе Firewall – Access Control – Access Rules добавим правила сетевого экрана, разрешающие доступ к определенным сервисам 3CX только с определенных SIP адресов.
Также необходимо добавить одно общее запрещающее правило, ограничивающее доступ к указанным портам всем адресам Интернет. Обратите внимание – это правило должно стоять последним в списке. Окончательный список правил должен выглядеть таким образом.
Вторая часть списка с общим запрещающим правилом.
Тестирование настройки
Чтобы проверить правильность работы сетевого экрана сделайте исходящий и входящий вызовы. Вызов должен проходить успешно, слышимость должна быть двухсторонней и не должно происходить обрыва связи через 32 секунды.
Заключение
Настройка VPN маршрутизатора TP-Link TL-ER6020 для работы с 3CX Phone System – достаточно несложный процесс, однако требует учета некоторых особенностей, с которыми нам пришлось столкнуться. Также желательно иметь понятие об основных принципов работы VoIP технологий.
В этом руководстве мы не рассмотрели такую интересную возможность TL-ER6020, как резервирование WAN канала. Эта возможность позволяет обеспечить бесперебойную VoIP связь даже в случае “падения” основного интернет – подключения.
Однако имейте ввиду, что такое резервирование предъявляет определенные требования к используемым SIP подключениям:
- Рекомендуется использовать SIP подключения с авторизацией по имени пользователя и паролю. В этом случае, при отключении основного интернет-канала, SIP подключение автоматически перерегистрируется через второго оператора.
- Если вы используете SIP линию с авторизацией по IP адресу (SIP транк), попросите оператора авторизовать IP адрес резервного интернет-подключения. После этого оператор сможет принимать и направлять вызовы через это подключение.
Дополнительная информация
- Используемые порты в 3CX Phone System
- Прохождение SIP и RTP трафика
- Рекомендации по настройке различных сетевых экранов для 3CX Phone System
- Форум технической поддержки TP-Link
- Утилита 3CX Remote Firewall Checker для обнаружения проблем с сетевыми экранами
ссылка на оригинал статьи https://habrahabr.ru/post/281757/
Добавить комментарий