+7 (812) 336-42-42

Напишите в мессенджер
Позвоните мне
Личный кабинет

+7 (812) 336-42-42

ГлавнаяТехподдержкаНастройка IP-АТС на линию сети Телфин на примере программного продукта Asterisk

SRV в Телфин — справка

Для обеспечения резервирования домену sip.telphin.com присвоена SRV запись:

_sip._udp.sip.telphin.com has SRV record 10 50 5060 vip1.sip.telphin.com.

_sip._udp.sip.telphin.com has SRV record 20 50 5060 vip2.sip.telphin.com.

где:

vip1.sip.telphin.com — адрес основного сервера телефонии

vip2.sip.telphin.com — адрес резервного сервера телефонии

Нo, в случае с Asterisk, даже при включении параметра «srvlookup», он неправильно обрабатывает приоритеты SRV записей, что приводит к ситуации неправильного использования адресов серверов телефонии. Поэтому, если оборудованиe не поддерживает / не корректно поддерживает работу с SRV, необходимо отключить её(SRV) поддержку и, при настройке транков, использовать доменные адреса:

vip1.sip.telphin.com — адрес основного сервера телефонии

vip2.sip.telphin.com — адрес резервного сервера телефонии

как это описано ниже.

Настройка IP-АТС на линию сети Телфин на примере программного продукта Asterisk

ПРИМЕЧАНИЕ: В примере используются две вымышленные линии сети Телфин 000АААААА и 000ББББББ в качестве АОН-ов для которых в личном кабинете указаны вымышленные номера 78120001122 и 74950001133 соответственно.

Рекомендуемый вариант со статическим взаимодействием

Рекомендуемый нами вариант взаимодействия Астериска(на самом деле любой IP АТС) с нашим SIP сервером — это организация статического SIP транка между клиентской IP АТС и нашим сервером телефонии.

Для этого у Астериска (любой другой IP АТС) обязательно должен быть внешний статический IP-адрес.

Данный статический IP-адрес также может быть настроен на роутере(маршрутизаторе), через который IP АТС, находящаяся в локальной сети, взаимодействует с внешней сетью. В этом случае в настройках роутера(маршрутизатора) должен быть организован правильный проброс соответствующих портов, используемых вашей АТС.

Основной IP-адрес сервера sip.telphin.com - 213.170.92.166(vip1.sip.telphin.com). Но, как показывает практика, в сети интернет иногда бывают аварии, в результате которых некоторым пользователям сети интернет, какие-то ресурсы иногда становятся недоступными. За 2017 год мы дважды наблюдали такие аварии у транзитных интернет провайдеров, в результате чего наш адрес 213.170.92.166 на некоторое время становился недоступным части наших клиентов. Именно поэтому мы реализовали поддержку DNS SRV и в частности возможность работы с сервером sip.telphin.com путем обращения на резервный IP-адрес 95.161.144.20(vip2.sip.telphin.com)

Входящие контексты IP АТС должны быть равны номерам в формате Е.164, по которым ожидаются входящие вызовы.К примеру: если вы ожидаете входящий вызов по номеру 78120001122, то в extensions.conf должен быть соответствующий идентичный [78120001122] контекст для обработки этих вызовов.

Отправка запросов регистрации и любых других дежурных SIP пакетов в этом должны быть отключена,чтобы IP-адрес АТС, в случае проблем на маршруте до сервера телефонии, не попал в блокировку за SIP flood. Снятие ограничений на количество запросов, при наличии любых дежурных SIP пакетов, не обсуждается, т.к. от этого зависит отказоустойчивость работы остальных пользователей.

Данная схема уже протестирована и является абсолютно рабочим вариантом.

Куда: на адрес нашей тех.поддержки support@telphin.ru

От кого: ОБЯЗАТЕЛЬНО с контактного эл.адреса указанного в вашем личном кабинете

Тело запроса: Прошу для линии 000ХХХХХХ задать статический маршрут входящих вызовов с резервированием входящей связи на адрес(а) моей АТС (выберите один из вариантов)

Первое:

sip:ALIAS-REGVIP1@IP-вашей-АТС-1:порт — основной иsip:ALIAS-REGVIP2@IP- вашей-АТС-1:порт — резервный (если у вашей АТС только один внешний IP-адрес)

sip:ALIAS-REGVIP1@IP-вашей-АТС-1:порт — основной иsip:ALIAS-REGVIP2@IP- вашей-АТС-2:порт — резервный (если у вашей АТС несколько внешних IP-адресов)

Второе:

Прошу для линии(ях) 000ХХХХХХ(указать все линии) задать авторизацию исходящих запросов на соединение по IP-адресу(ам) ХХХ.ХХХ.ХХХ.ХХХ(указать все адреса). А также сменить на этой(их) линии(ях) пароль устройства и не сообщать его мне, для того, чтобы ответственность за его сохранность нёс Телфин. Понимаю, что ответственность за сохранность пароля(ей) устройства, при его(их) повторном запросе, снова будет на мне.

Вариант организации динамического взаимодействия

Для организации отказоустойчивости при прохождении динамической регистрации рекомендуется производить её сразу на двух адресах vip1.sip.telphin.com(213.170.92.166) и vip2.sip.telphin.com(95.161.144.20).

В качестве DID, при регистрации через основной и резервный адреса, необходимо указать SIP серверу разные поля Contact, в противном случае одна регистрация перезапишет вторую. Для этого нами введены специальные значения ALIAS- REGVIP1 и ALIAS-REGVIP2. При их использовании, при входящем вызове SIP сервер, как через основной маршрут, так и через резервный, направит в вашу АТС запрос на соединение с указанием вызываемого городского номера в качестве DID, в формате Е.164.

Для работы по этому варианту никаких дополнительных запросов нам писать не нужно. Указанный функционал доступен по умолчанию на любой линии сети Телфин вида 000ХХХХХХ.

Оба варианта подключения позволяют иметь в личном кабинете Телфин только одну линию с подключенными на ней всеми вашими номерами. Исходящая связь с подстановкой АОН-а в зависимости от региона/страны вызова может быть достигнута путем использования услуги «Будь своим» Она избавит вас от необходимости описывать в настройках вашей АТС разные исходящие контексты для вызовов через разные линии сети Телфин с разными АОН-ами, привязка которых к каждой линии статическая и осуществляется в личном кабинете Телфин.

Ниже описано подключение IP АТС по схеме резервирования входящей и исходящей связи по номерам(вымышленным) 78120001122(линия 000АААААА) и 74950001133(линия 000ББББББ) на примере Asterisk-а.

К примеру: если позвонят на номер 8(812)000-11-22, то в АТС будет направлен Инвайт с SIP URI содержащими номер 78120001122 в качестве DID. Именно в этом формате(Е.164) необходимо задавать входящие контексты на стороне вашей АТС.

Настройки для файла sip.conf с использованием схемы резервирования входящей и исходящей связи

[general]
;externip="внешний IP адрес вашего роутера"            ;раскомментировать и заполнить актуальными данными, если Asterisk находится за NAT-ом
;localnet="внутренний ip адрес asterisk/маска"         ;раскомментировать и заполнить актуальными данными, если Asterisk находится за NAT-ом
;nat=force_rport,comedia                               ;раскомментировать, если Asterisk находится за NAT-ом
alwaysauthreject = yes                                 
srvlookup=no
dtmfmode=rfc2833
bindport=5090                                          ;в целях безопасности настоятельно рекомендуется изменить стандартный порт Asterisk-а 5060 на любой другой, например, 5090
directmedia=no
disallow=all
allow=ulaw
allow=alaw
allow=g729
;;раскомментировать команды register ниже при необходимости прохождения динамической регистрации на SIP сервере Телфин, указав актуальные номера линий
;register => 000АААААА:пароль@vip1.sip.telphin.com:5060/ALIAS-REGVIP1            ;регистрация на основном IP, вызовы через который будут направляться в первую очередь
;register => 000АААААА:пароль@vip2.sip.telphin.com:5060/ALIAS-REGVIP2            ;регистрация на резервном IP, вызовы через который будут направляться в случае неответа по основному маршруту
;;аналогично для второй линии
;register => 000ББББББ:пароль@vip1.sip.telphin.com:5060/ALIAS-REGVIP1            ;регистрация на основном IP, вызовы через который будут направляться в первую очередь
;register => 000ББББББ:пароль@vip2.sip.telphin.com:5060/ALIAS-REGVIP2            ;регистрация на резервном IP, вызовы через который будут направляться в случае неответа по основному маршруту
;;транк линии с номером 78120001122
[telphin_000АААААА_a]                                                           ;основной транк линии 000АААААА
context=inbound_telphin
type=peer
username=000АААААА
fromuser=000АААААА
secret=пароль от линии
host=vip1.sip.telphin.com
insecure=invite,port
qualify=no
port=5060
[telphin_000АААААА_b]                                                           ;резервный транк линии 000АААААА
context=inbound_telphin
type=peer
username=000АААААА
fromuser=000АААААА
secret=пароль от линии
host=vip2.sip.telphin.com
insecure=invite,port
qualify=no
port=5060
;;транк линии с номером 74950001133
[telphin_000ББББББ_a]                                                           ;основной транк линии 000ББББББ
context=inbound_telphin
type=peer
username=000ББББББ
fromuser=000ББББББ
secret=пароль от линии
host=vip1.sip.telphin.com
insecure=invite,port
qualify=no
port=5060
[telphin_000ББББББ_b]                                                           ;резервный транк линии 000ББББББ
context=inbound_telphin
type=peer
username=000ББББББ
fromuser=000ББББББ
secret=пароль от линии
host=vip2.sip.telphin.com
insecure=invite,port
qualify=no
port=5060

ВНИМАНИЕ: в параметре qualify значения yes/xxx(секунды) рекомендуется использовать только при нахождении Астериска за NAT-ом и только для поддержания открытым NAT соединения, если этого не удается достигнуть корректной работой проброса портов на роутере/маршрутизаторе. Использование этого параметра для тестирования доступности сервера Телфин пакетами OPTIONS может привести к полному расходованию ограниченного количества доступных SIP сообщений с одного IP-адреса и как следствие ко временной блокировке вашего IP-адреса за SIP флуд.

На случай недоступности маршрута от Астериска до SIP сервера sip.telphin.com, в этом руководстве описано, как настроить работу с SIP сервером sip.telphin.com используя резервирование как входящей, так и исходящей связи.

Входящие звонки будут приходить в контекст Астериска [inbound_telphin] на экстеншн равный DID номера, через который поступил входящий вызов.

В случае блокировок со стороны роутера/провайдера можно использовать порт 5068 для работы с адресами vip1.sip.telphin.com:5068 и vip2.sip.telphin.com:5068

В этом случае не забудьте указать его в том числе и в описании входящих каналов [telphin_000АААААА_a],[telphin_000АААААА_b] и [telphin_0000ББББББ_a],[telphin_000ББББББ_b] в параметре «port».

Настройка исходящей связи, с использованием схемы отказоустойчивости

[out_telphin_000АААААА]                                                      ;исходящая связь через линию 000АААААА с возможностью использования резервного маршрута до сервера Телфин
exten=> _X.,1,Dial(SIP/${EXTEN}@telphin_000АААААА_a)
exten=> _X.,n,Gotoif($["${DIALSTATUS}"=="CHANUNAVAIL"]?sec_channel:hangup)
exten=> _X.,n(hangup),Hangup()
exten=> _X.,n(sec_channel),Dial(SIP/${EXTEN}@telphin_000АААААА_b)
exten=> _X.,n,Hangup()

Исходящая маршрутизация через другие линии сети Телфин(с другими АОН-ами) настраивается аналогично.

Чтобы определение номера задавалось сервером Телфин автоматически в зависимости от направления региона/страны вызова для вас доступна услуга «Будь своим», настройка которой осуществляется непосредственно в Личном кабинете. При ее использовании все исходящие вызовы вашей АТС достаточно направлять через линию с этой услугой.

Обязательно нужно проверить:

что в вашем Firewall-е есть разрешающее правило для приема входящих вызовов с сервера телефонии.

Firewall должен разрешать весь UDP траффик для vip1.sip.telphin.com(213.170.92.166) и vip2.sip.telphin.com(95.161.144.20) и не блокировать его по портам, указанным в настройках вашего rtp.conf, т.к. обмен голосовым трафиком осуществляется напрямую с терминирующими узлами вышестоящих операторов.

В целях безопасности, настоятельно рекомендуется использовать голосовые порты, указанные в rtp.conf, ИСКЛЮЧИТЕЛЬНО для обмена голосовым RTP трафиком! В этом случае для них можно без ущерба безопасности разрешить весь UDP трафик.

Убедитесь, что в настройках вашего/вашего интернет-провайдера роутера/маршрутизатора включена функция сборки/пропуска фрагментированных пакетов, т.к. входящие запросы на соединение по номерам некоторых поставщиков могут поступать в фрагментированном виде.

Не смотря на то, что система фрод-мониторинга Телфин прикладывает все усилия для того, чтобы выявлять случаи взлома и блокирует аккаунты абонентов, которые подвергаются взлому, исходя из сложившейся практики поведения/хитрости мошенников мы настоятельно рекомендуем ВАМ в том числе и САМОСТОЯТЕЛЬНО снижать риски, обращая внимание на настройки безопасности вашей АТС.

Также, используя бесплатный программный продукт Asterisk вы должны понимать, что любые ошибки в работе и защите Asterisk-а должен находить и устранять его администратор, т.к. данные вопросы относятся исключительно к настройке Asterisk-а, а не к настройкам на сервере телефонии.

Для любого клиента сети Телфин существует возможность запретить все вызовы за пределы РФ, что лишает злоумышленника возможности совершать вызовы через ваш аккаунт на МН направление даже в том случае, когда он смог получить ваши конфиденциальные SIP данные. Для этого необходимо написать соответствующий запрос на адрес info@telphin.ru с вашего контактного эл.адреса, указанного в данных личного кабинета.

Если за безопасное использование виртуальной АТС «Телфин.Офис» отвечают наши технические специалисты, то позаботиться о защищенном использовании телефонной станции других решений, вам придется самостоятельно. Поэтому рекомендуем ознакомиться с тем, как обезопасить телефонную сеть, которая работает на базе бесплатного решения Asterisk, от взлома и несанкционированного использования.

Настоятельно рекомендуем ознакомиться с рекомендациями по соблюдению информационной безопасности VOIP-оборудования для избежания генерации несанкционированного трафика на МН-направления

Если вы нашли ошибку в данной статье, напишите, пожалуйста, нам о ней на адрес нашей технической поддержки support@telphin.ru

Top.Mail.Ru