[hitman-5]

Здравствуйте!
Дано:
Микротик в роли основного маршрутизатора с несколькими белыми ip адресами, через который работает всё.
Только что поставленная система IP Телефонии CentOS7/Asterisk/Elastix (системник с 3-мя eth интерфейсами).

Задача: Нужно один IP телефон установить в удаленном участке, через туннель VPN (L2TP/IPSec).
И установить один софтфон в сети 10.10.10.0/24

Вот тут уже голову ломаю, никак не могу решить как правильно реализовать это с соблюдением безопасности.
Чтобы никто не имел возможность к подключению, не могли прослушивать и чтобы счета за непонятные звонки не пришлось оплачивать.
По какой схеме решить задачу, может еще что нибудь добавить в сетку, как организовать надежный vpn? Подскажите пожалуйста!

Как бы я решил задачу: 
Поднял бы впн l2tp/ipsec между микротами, организовал бы маршруты в обе стороны. и максимально ограничил бы доступ к управлению, что оставил бы только прохождение звонка, даже для локальной сети.
связь с SMG только с Elastix и также установка сложных логинов и паролей.
Кажется, что данный подход не самый надежный. И возможно, о чем то я не ведаю, т.к. первый раз столкнулся с IP телефонией.
Схема:

 

Edited November 19, 2017 by hitman-5

[grifin.ru]

Давайте модель угроз. Говорить о безопасности без понимания что от чего и от кого мы защищаем - бессмысленно.

[hitman-5]

5 часов назад, grifin.ru сказал:

Давайте модель угроз. Говорить о безопасности без понимания что от чего и от кого мы защищаем - бессмысленно.

В первую очередь от внешних угроз, потом и от внутренних возможных.. 

Просто читал тут в просторах, что с Elastix-ом надо быть очень аккуратен, что он уязвимый..

Конечно, для начала мне бы хотелось представить себе, какие есть возможности взлома и как происходит взлом.

Просто первый раз столкнулся с IP телефонией и много чего не знаю.

Edited November 19, 2017 by hitman-5

[grifin.ru]

Объясните четко и понятно, от какого "взлома" вы защищаетесь, от перехвата (прослушки), от звонков за ваш счет, какие требования ? Хотите совета - четко опишите задачу.

[hitman-5]

6 часов назад, grifin.ru сказал:

Объясните четко и понятно, от какого "взлома" вы защищаетесь, от перехвата (прослушки), от звонков за ваш счет, какие требования ? Хотите совета - четко опишите задачу.

подкорректировал вопрос и схему, может теперь более понятно выражаю задачу, а то понимаю, что с этим у меня проблема:)

[grifin.ru]

Вы все сами запутали. Вам нужно сначала просто настроить приватную сеть, один из сегментов которой подключен по VPN, потом в эту сеть (на серых адресах) повесить все телефоны и сам сервер телефонии.

Т.е. делать безопасную среду нужно без оглядки на то, что в ней будет летать. А уже потом запускать в нее все, что нужно защищать, Телефонию в том числе.

[hitman-5]

6 минут назад, grifin.ru сказал:

Вы все сами запутали. Вам нужно сначала просто настроить приватную сеть, один из сегментов которой подключен по VPN, потом в эту сеть (на серых адресах) повесить все телефоны и сам сервер телефонии.

Т.е. делать безопасную среду нужно без оглядки на то, что в ней будет летать. А уже потом запускать в нее все, что нужно защищать, Телефонию в том числе.

Смотрите, вот я поднимаю туннель l2tp/ipsec на микроте1-  local address -192.168.12.1  и  remote address 192.168.12.2

подключаю микрот2 к нему и настраиваю политику так, что через него работает телефония и на него (input) доступ только портам для l2tp.

так же настраиваю маршрут до атс 10.20.10.1/32 через шлюз 192.168.12.1

и на микроте1 прописываю маршрут до <ip телефона> через 192.168.12.2

и создаю правило "filter rule" запрещающий forward отовсюду в туннель и в сторону АТС,

а так же разрешающее правило "исключение" forward от АТС в туннель и обратно от телефона до АТС, так же себе для администрирования.

Правильно?

 

И кстати, возникает, еще вопросик как сделать так, чтобы микротик2 не имел выход в инет,т.е. убрать шлюз по умолчанию 0.0.0.0/0

и оставить только то что нужно для подключения L2TP