hitman-5 Опубликовано 18 ноября, 2017 (изменено) · Жалоба Здравствуйте!Дано:Микротик в роли основного маршрутизатора с несколькими белыми ip адресами, через который работает всё.Только что поставленная система IP Телефонии CentOS7/Asterisk/Elastix (системник с 3-мя eth интерфейсами).Задача: Нужно один IP телефон установить в удаленном участке, через туннель VPN (L2TP/IPSec).И установить один софтфон в сети 10.10.10.0/24Вот тут уже голову ломаю, никак не могу решить как правильно реализовать это с соблюдением безопасности.Чтобы никто не имел возможность к подключению, не могли прослушивать и чтобы счета за непонятные звонки не пришлось оплачивать.По какой схеме решить задачу, может еще что нибудь добавить в сетку, как организовать надежный vpn? Подскажите пожалуйста!Как бы я решил задачу: Поднял бы впн l2tp/ipsec между микротами, организовал бы маршруты в обе стороны. и максимально ограничил бы доступ к управлению, что оставил бы только прохождение звонка, даже для локальной сети.связь с SMG только с Elastix и также установка сложных логинов и паролей.Кажется, что данный подход не самый надежный. И возможно, о чем то я не ведаю, т.к. первый раз столкнулся с IP телефонией.Схема: Изменено 19 ноября, 2017 пользователем hitman-5 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
grifin.ru Опубликовано 18 ноября, 2017 · Жалоба Давайте модель угроз. Говорить о безопасности без понимания что от чего и от кого мы защищаем - бессмысленно. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
hitman-5 Опубликовано 19 ноября, 2017 (изменено) · Жалоба 5 часов назад, grifin.ru сказал: Давайте модель угроз. Говорить о безопасности без понимания что от чего и от кого мы защищаем - бессмысленно. В первую очередь от внешних угроз, потом и от внутренних возможных.. Просто читал тут в просторах, что с Elastix-ом надо быть очень аккуратен, что он уязвимый.. Конечно, для начала мне бы хотелось представить себе, какие есть возможности взлома и как происходит взлом. Просто первый раз столкнулся с IP телефонией и много чего не знаю. Изменено 19 ноября, 2017 пользователем hitman-5 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
grifin.ru Опубликовано 19 ноября, 2017 · Жалоба Объясните четко и понятно, от какого "взлома" вы защищаетесь, от перехвата (прослушки), от звонков за ваш счет, какие требования ? Хотите совета - четко опишите задачу. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
hitman-5 Опубликовано 19 ноября, 2017 · Жалоба 6 часов назад, grifin.ru сказал: Объясните четко и понятно, от какого "взлома" вы защищаетесь, от перехвата (прослушки), от звонков за ваш счет, какие требования ? Хотите совета - четко опишите задачу. подкорректировал вопрос и схему, может теперь более понятно выражаю задачу, а то понимаю, что с этим у меня проблема:) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
grifin.ru Опубликовано 19 ноября, 2017 · Жалоба Вы все сами запутали. Вам нужно сначала просто настроить приватную сеть, один из сегментов которой подключен по VPN, потом в эту сеть (на серых адресах) повесить все телефоны и сам сервер телефонии. Т.е. делать безопасную среду нужно без оглядки на то, что в ней будет летать. А уже потом запускать в нее все, что нужно защищать, Телефонию в том числе. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
hitman-5 Опубликовано 19 ноября, 2017 · Жалоба 6 минут назад, grifin.ru сказал: Вы все сами запутали. Вам нужно сначала просто настроить приватную сеть, один из сегментов которой подключен по VPN, потом в эту сеть (на серых адресах) повесить все телефоны и сам сервер телефонии. Т.е. делать безопасную среду нужно без оглядки на то, что в ней будет летать. А уже потом запускать в нее все, что нужно защищать, Телефонию в том числе. Смотрите, вот я поднимаю туннель l2tp/ipsec на микроте1- local address -192.168.12.1 и remote address 192.168.12.2 подключаю микрот2 к нему и настраиваю политику так, что через него работает телефония и на него (input) доступ только портам для l2tp. так же настраиваю маршрут до атс 10.20.10.1/32 через шлюз 192.168.12.1 и на микроте1 прописываю маршрут до <ip телефона> через 192.168.12.2 и создаю правило "filter rule" запрещающий forward отовсюду в туннель и в сторону АТС, а так же разрешающее правило "исключение" forward от АТС в туннель и обратно от телефона до АТС, так же себе для администрирования. Правильно? И кстати, возникает, еще вопросик как сделать так, чтобы микротик2 не имел выход в инет,т.е. убрать шлюз по умолчанию 0.0.0.0/0 и оставить только то что нужно для подключения L2TP Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...