По какой схеме реализовать надежную IP-телефонию в сети?

Question

[Артур ССС]

Здравствуйте, уважаемые форумчане!
Дано:
Микротик в роли основного маршрутизатора с несколькими белыми ip адресами, через который работает всё.
Только что поставленная система IP Телефонии CentOS7/Asterisk/Elastix (системник с 3-мя eth интерфейсами).

Задача: Нужно один IP телефон установить в удаленном участке, через туннель VPN (L2TP/IPSec).
И установить один софтфон в сети 10.10.10.0/24

Вот тут уже голову ломаю, никак не могу решить как правильно реализовать это с соблюдением безопасности.
Чтобы никто не имел возможность к подключению и чтобы счета за непонятные звонки не пришлось оплачивать.
По какой схеме решить задачу, может еще что нибудь добавить в сетку, как организовать надежный vpn? Подскажите пожалуйста!

Как бы я решил задачу:
Поднял бы впн l2tp/ipsec между микротами, организовал бы маршруты в обе стороны. и максимально ограничил бы доступ к управлению, что оставил бы только прохождение звонка, даже для локальной сети.
связь с SMG только с Elastix и также установка сложных логинов и паролей.
Кажется, что данный подход не самый надежный. И возможно, о чем то я не ведаю, т.к. первый раз столкнулся с IP телефонией.
Схема:

Comments

[Wexter]

а проблема то в чём? а то вопрос у вас из разряда "надеть мне серую рубашку или белую?"

[Артур ССС]

Wexter, в том, что нуждаюсь в совете, вот как бы вы реализовали данную ? по какой схеме? чтобы в дальнейшем вы были спокойны, что не придут счета на оплату за какие то непонятные звонки, понимаете?

[Wexter]

Артур ССС, чтобы не пришли непонятные счета надо ограничить возможность подключения/авторизации к атс третьими лицами, впн тут в последнюю очередь влияет на это, ибо звонки будут не с роутера, а с конечной точки.
Тут надо копать в сторону привязки доступа конкретной железки к атс, например авторизация по mac адресу на dhcp сервере + блокировка лишних хостов.

[Артур ССС]

Wexter, подкорректировал вопрос и схему, может теперь более понятно выражаю задачу, а то понимаю, что с этим у меня проблема:)

[Михаил]

По мимо сетевой изоляции, можно поменять стандартный порт на АТС (sip), поставить fail2bane, ограничить количество СЛ до 1 на абонента. Так же можно организовать звонки на международные номера( самые дорогие ) через пароль или вообще ограничить звонки на эти номера в маршрутах.

[Ctacfs]

Михаил, добавлю еще, не использовать стандартные добавочные 9 и 810, а ещё лучше настроить на отправку письма с уведомлением при попытке позвонить с ними, отрезать звонки мн тем, кому не надо. И ещё Вы забыли ACL.

Насчёт счетов, уточните у провайдера телефонии, блокирует ли он мн при подозрительной активности и договоритесь о кредитному лимите с разумным запасом, а не как это обычно бывает, в десять раз больше, чем средний счёт.

[fasst]

А что вам мешает, соединиться напрямую sip-аппаратом на сервер l2tp? Исключая микротик на удаленной стороне(зачем он в схеме, если только как шлюз, если там нет другого, но если чтобы поднять туннель, он лишний)? Или лучше поднять openvpn server на CentOS или Microtik и опять же соединиться voip аппаратом в роли клиента. У меня есть один такой телефон, реализован на yealink работает уже 2 года без какого-либо вмешательства.

Answer 1

[Сергей Бирюков]

Ваш подход правильный, только смысл подключать телефоны в офисе на отдельный физический порт в Asterisk? Вы не используете VLAN'ы дабы разделить голосовой трафик и данные?
Если у вас неуправляемые свитчи, где нет возможности нарезать VLAN'ы, тогда этот подход имеет смысл.

По поводу сложных логинов/паролей - все правильно.

Не понял только начало схемы, вы городские номера где принимаете? Если на аналоговой АТС - тогда проблем нету, выход в/на город у вас все равно будет проходить через аналоговую АТС. В этом случае у Вас Asterisk выступает просто в роли расширения функционала АТС до уровня "цифра в локалке" и вы не принимаете из города SIP-звонки напрямую.

Крутим "гайки" дальше. На тунеле микротика можно разрешить только SIP-трафик (разрешайте TCP/UDP 5060). Если не будете использовать SSL, то можно только UDP/5060 - это стандартный порт для SIP.

Не забываем про файервол в самом CentOS (вроде бы в вебке Elastix вожно настраивать доверенные узлы).

Так что подводя короткий итог, если вы не принимаете напрямую SIP из интернета и пользователи у Вас в периметре безопасности локалки, то Ваша схема имеет место "быть".