Перейти к содержимому
Калькуляторы

Схема реализации надежной IP-телефонии в сети

Здравствуйте!
Дано:
Микротик в роли основного маршрутизатора с несколькими белыми ip адресами, через который работает всё.
Только что поставленная система IP Телефонии CentOS7/Asterisk/Elastix (системник с 3-мя eth интерфейсами).

Задача: Нужно один IP телефон установить в удаленном участке, через туннель VPN (L2TP/IPSec).
И установить один софтфон в сети 10.10.10.0/24

Вот тут уже голову ломаю, никак не могу решить как правильно реализовать это с соблюдением безопасности.
Чтобы никто не имел возможность к подключению, не могли прослушивать и чтобы счета за непонятные звонки не пришлось оплачивать.
По какой схеме решить задачу, может еще что нибудь добавить в сетку, как организовать надежный vpn? Подскажите пожалуйста!

Как бы я решил задачу: 
Поднял бы впн l2tp/ipsec между микротами, организовал бы маршруты в обе стороны. и максимально ограничил бы доступ к управлению, что оставил бы только прохождение звонка, даже для локальной сети.
связь с SMG только с Elastix и также установка сложных логинов и паролей.
Кажется, что данный подход не самый надежный. И возможно, о чем то я не ведаю, т.к. первый раз столкнулся с IP телефонией.
Схема:

5b823c03f88b169e6f7ccb1b976c5fd6-full.pn

 

Изменено пользователем hitman-5

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Давайте модель угроз. Говорить о безопасности без понимания что от чего и от кого мы защищаем - бессмысленно.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

5 часов назад, grifin.ru сказал:

Давайте модель угроз. Говорить о безопасности без понимания что от чего и от кого мы защищаем - бессмысленно.

В первую очередь от внешних угроз, потом и от внутренних возможных.. 

Просто читал тут в просторах, что с Elastix-ом надо быть очень аккуратен, что он уязвимый..

Конечно, для начала мне бы хотелось представить себе, какие есть возможности взлома и как происходит взлом.

Просто первый раз столкнулся с IP телефонией и много чего не знаю.

Изменено пользователем hitman-5

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Объясните четко и понятно, от какого "взлома" вы защищаетесь, от перехвата (прослушки), от звонков за ваш счет, какие требования ? Хотите совета - четко опишите задачу.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

6 часов назад, grifin.ru сказал:

Объясните четко и понятно, от какого "взлома" вы защищаетесь, от перехвата (прослушки), от звонков за ваш счет, какие требования ? Хотите совета - четко опишите задачу.

подкорректировал вопрос и схему, может теперь более понятно выражаю задачу, а то понимаю, что с этим у меня проблема:)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Вы все сами запутали. Вам нужно сначала просто настроить приватную сеть, один из сегментов которой подключен по VPN, потом в эту сеть (на серых адресах) повесить все телефоны и сам сервер телефонии.

Т.е. делать безопасную среду нужно без оглядки на то, что в ней будет летать. А уже потом запускать в нее все, что нужно защищать, Телефонию в том числе.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

6 минут назад, grifin.ru сказал:

Вы все сами запутали. Вам нужно сначала просто настроить приватную сеть, один из сегментов которой подключен по VPN, потом в эту сеть (на серых адресах) повесить все телефоны и сам сервер телефонии.

Т.е. делать безопасную среду нужно без оглядки на то, что в ней будет летать. А уже потом запускать в нее все, что нужно защищать, Телефонию в том числе.

Смотрите, вот я поднимаю туннель l2tp/ipsec на микроте1-  local address -192.168.12.1  и  remote address 192.168.12.2

подключаю микрот2 к нему и настраиваю политику так, что через него работает телефония и на него (input) доступ только портам для l2tp.

так же настраиваю маршрут до атс 10.20.10.1/32 через шлюз 192.168.12.1

и на микроте1 прописываю маршрут до <ip телефона> через 192.168.12.2

и создаю правило "filter rule" запрещающий forward отовсюду в туннель и в сторону АТС,

а так же разрешающее правило "исключение" forward от АТС в туннель и обратно от телефона до АТС, так же себе для администрирования.

Правильно?

 

И кстати, возникает, еще вопросик как сделать так, чтобы микротик2 не имел выход в инет,т.е. убрать шлюз по умолчанию 0.0.0.0/0

и оставить только то что нужно для подключения L2TP

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Гость
Ответить в тему...

×   Вставлено в виде отформатированного текста.   Вставить в виде обычного текста

  Разрешено не более 75 смайлов.

×   Ваша ссылка была автоматически встроена.   Отобразить как ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.