Настройка VPN маршрутизатора TP-Link TL-ER6020 для работы с 3CX Phone System

от автора

Беспроводные маршрутизаторы компании TP-Link получили заслуженное признание, особенно у домашних пользователей и небольших компаний. Однако TP-Link производит также линейку мощных и довольно функциональных маршрутизаторов и точек доступа уровня предприятия. В частности, маршрутизатор бизнес класса TL-ER6020 при весьма доступной цене обладает рядом интересных возможностей:

  • 2 гигабитных порта WAN с возможностью резервного переключения, 2 гигабитных порта LAN, 1 гигабитный порт LAN/DMZ и 1 консольный порт
  • Поддержка нескольких протоколов VPN, включая серверы IPsec/PPTP/L2TP
  • Поддержка до 50 IPsec VPN туннелей с помощью аппаратного VPN обработчика
  • Расширенные функции защиты, включающие в себя инспекцию ARP-пакетов, защиту от DoS-атак, фильтрацию по URL и ключевому слову доменного имени, и контроль доступа

image

Подробное описание возможностей и настройки TL-ER6020 доступно здесь. В данной статье мы ограничимся описанием настройки маршрутизатора TP-Link TL-ER6020 для работы с 3CX Phone System.

Схема сети предусматривает расположение сервера 3CX на NAT маршрутизатора в сети 192.168.0.0 / 24. IP адрес маршрутизатора 192.168.0.1, а IP адрес сервера 3CX 192.168.0.2

image

Подготовка маршрутизатора

Прежде всего необходимо обновить прошивку TL-ER6020, поскольку, как оказалось, даже самая последняя прошивка с официального сайта TP-Link имеет ошибку, которая не позволяет отключать SIP ALG. Отключение SIP ALG критически необходимо для корректной работы различных SIP операторов с 3CX.

  1. Зайдите в интерфейс маршрутизатора по адресу 192.168.0.1 (адрес по умолчанию) с именем пользователя и паролем admin / admin
  2. Загрузите прошивку и обновите маршрутизатор image
  3. После обновления рекомендуется сбросить устройство в настройки по умолчанию

Настройка маршрутизатора

Настройка маршрутизатора состоит из трех этапов:

  1. Подключение хотя бы одного WAN порта к сети Интернет
  2. Отключение сервиса SIP ALG
  3. Публикация сервисов (проброс портов) через NAT, необходимых для полноценной работы 3CX Phone System
  4. Дополнительная настройка сетевого экрана для повышения безопасности
  5. Тестирование правильности настройки TL-ER6020 входящим и исходящим SIP вызовом

Подключение маршрутизатора к Интернет

Подключение одного (или обоих) WAN портов к Интернет делается в разделе Network – WAN. В нижней части интерфейса можно проверить статус подключения. В данном примере используется подключение PPPoE.

image

Отключение сервиса SIP ALG

Отключите SIP ALG в разделе Advanced – NAT – ALG.

image

Публикация сервисов (проброс портов) через NAT

Для корректной работы внешних SIP транков необходимо опубликовать ряд портов сервера 3CX Phone System:

  • 5060 TCP/UDP – SIP
  • 5090 TCP/UDP – 3CX Tunnel
  • 5000, 5001 (для веб сервера Abyss) или 80 и 443 (для сервера IIS) TCP – расширенное управление 3CXPhone и автонастройка IP телефонов
  • 9000-9500 UDP – RTP и WebRTC медиапоток

Публикация сервисов производится в разделе Advanced – NAT – Virtual Server. Начнем с SIP сервера.

image

После публикации всех сервисов, интерфейс должен иметь примерно такой вид.

image

Настройка сетевого экрана для повышения безопасности

Публикация сервисов так, как она реализована в TL-ER6020, вызывает справедливые опасения: мы открываем SIP порт 5060, который так любят хакеры, фактически, для всего мира. В интерфейсе публикации нет никакой возможности указать, для каких IP адресов следует открывать SIP порт сервера 3CX.

Наша настоятельная рекомендация: открывать порт 5060 только для SIP адресов операторов связи / SIP провайдеров, с которыми работает ваша система.

В нашем примере система работает с российским оператором Мегафон (услуга Мультифон) и украинским оператором Киевстар, при этом Мегафон использует разные IP адреса для SIP сервера и SIP прокси, а Киевстар – единственный SIP сервер.

Сперва определим сервисы / диапазоны портов, доступ к которым следует ограничить в разделе Firewall – Access Control – Service.

image

Здесь мы определили только SIP порт 5060 и RTP порты 9000-9255. Поскольку остальные сервисы 3CX должны быть доступны для любого IP адреса в Интернет и ограничивать к ним доступ нет необходимости.

В разделе Firewall – Access Control – Access Rules добавим правила сетевого экрана, разрешающие доступ к определенным сервисам 3CX только с определенных SIP адресов.

image

Также необходимо добавить одно общее запрещающее правило, ограничивающее доступ к указанным портам всем адресам Интернет. Обратите внимание – это правило должно стоять последним в списке. Окончательный список правил должен выглядеть таким образом.

image

Вторая часть списка с общим запрещающим правилом.

image

Тестирование настройки

Чтобы проверить правильность работы сетевого экрана сделайте исходящий и входящий вызовы. Вызов должен проходить успешно, слышимость должна быть двухсторонней и не должно происходить обрыва связи через 32 секунды.

Заключение

Настройка VPN маршрутизатора TP-Link TL-ER6020 для работы с 3CX Phone System – достаточно несложный процесс, однако требует учета некоторых особенностей, с которыми нам пришлось столкнуться. Также желательно иметь понятие об основных принципов работы VoIP технологий.

В этом руководстве мы не рассмотрели такую интересную возможность TL-ER6020, как резервирование WAN канала. Эта возможность позволяет обеспечить бесперебойную VoIP связь даже в случае “падения” основного интернет – подключения.

image

Однако имейте ввиду, что такое резервирование предъявляет определенные требования к используемым SIP подключениям:

  • Рекомендуется использовать SIP подключения с авторизацией по имени пользователя и паролю. В этом случае, при отключении основного интернет-канала, SIP подключение автоматически перерегистрируется через второго оператора.
  • Если вы используете SIP линию с авторизацией по IP адресу (SIP транк), попросите оператора авторизовать IP адрес резервного интернет-подключения. После этого оператор сможет принимать и направлять вызовы через это подключение.

Дополнительная информация

ссылка на оригинал статьи https://habrahabr.ru/post/281757/


Комментарии

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *