Налаштування VPN маршрутизатор TP-Link TL-ER6020 для роботи з 3CX Phone System

Бездротові маршрутизатори компанії TP-Link отримали заслужене визнання, особливо в домашніх користувачів і невеликих компаній. Однак TP-Link виробляє також лінійку потужних і досить функціональних маршрутизаторів і точок доступу рівня підприємства. Зокрема, маршрутизатор бізнес класу TL-ER6020 за дуже доступною ціною володіє рядом цікавих можливостей:
  • 2 гігабітних порти WAN з можливістю резервного перемикання, 2 гігабітних порти LAN, 1 гігабітний порт LAN/DMZ і 1 консольний порт
  • Підтримка декількох протоколів VPN, включаючи сервери IPsec/PPTP/L2TP
  • Підтримка до 50 IPsec VPN тунелів за допомогою апаратного VPN обробника
  • Розширені функції захисту, що включають в себе інспекцію ARP-пакетів, захист від DoS-атак, фільтрацію по URL і ключовому слову доменного імені, і контроль доступу
image

Детальний опис можливостей та налаштування TL-ER6020 доступно тут. У даній статті ми обмежимося описом налаштування маршрутизатора TP-Link TL-ER6020 для роботи з 3CX Phone System.

Схема мережі передбачає розташування сервера 3CX на маршрутизатора NAT в мережі 192.168.0.0 / 24. IP-адреса маршрутизатора 192.168.0.1, а IP адреса сервера 3CX 192.168.0.2

image

Підготовка маршрутизатора
Насамперед необхідно оновити прошивку TL-ER6020, оскільки, як виявилося, навіть сама остання прошивка з офіційного сайту TP-Link має помилку, яка не дозволяє відключати SIP ALG. Відключення SIP ALG критично необхідно для коректної роботи різних SIP операторів з 3CX.
  1. Зайдіть в інтерфейс маршрутизатора за адресою 192.168.0.1 (адреса) з ім'ям користувача і паролем admin / admin
  2. Завантажте прошивку оновіть маршрутизатор image
  3. Після оновлення рекомендується скинути пристрій в налаштування за замовчуванням
Настройка маршрутизатора
Налаштування маршрутизатора складається з трьох етапів:
  1. Підключення хоча б одного WAN порту до мережі Інтернет
  2. Відключення сервісу SIP ALG
  3. Публікація сервісів (кидок портів) через NAT, необхідних для повноцінної роботи 3CX Phone System
  4. додаткові налаштування мережевого екрану для підвищення безпеки
  5. Тестування правильності налаштування TL-ER6020 вхідним і вихідним SIP викликом
Підключення маршрутизатора до Інтернет
Підключення одного (або обох) WAN портів до Інтернет робиться в розділі Network – WAN. У нижній частині інтерфейсу можна перевірити статус підключення. У даному прикладі використовується підключення PPPoE.

image

Відключення сервісу SIP ALG
Вимкніть SIP ALG в розділі Advanced – NAT – ALG.

image

Публікація сервісів (кидок портів) через NAT
Для коректної роботи зовнішніх SIP транков необхідно опублікувати низку портів сервера 3CX Phone System:
  • 5060 TCP/UDP – SIP
  • 5090 TCP/UDP – 3CX Tunnel
  • 5000, 5001 (для веб-сервера Abyss) або 80 і 443 (для сервера IIS) TCP – розширене керування 3CXPhone і автонастройка IP телефонів
  • 9000-9500 UDP – RTP і WebRTC медіапотік
Публікація сервісів проводиться у розділі Advanced – NAT – Virtual Server. Почнемо з SIP-сервера.

image

Після публікації всіх сервісів, інтерфейс повинен мати приблизно такий вигляд.

image

Налаштування мережевого екрану для підвищення безпеки
Публікація сервісів так, як вона реалізована в TL-ER6020, викликає справедливі побоювання: ми відкриваємо SIP порт 5060, який так люблять хакери, фактично, для всього світу. В інтерфейсі публікації немає ніякої можливості вказати, для яких IP адрес слід відкривати SIP порт сервера 3CX.

Наша наполеглива рекомендація: відкривати порт 5060 тільки для SIP-адрес операторів зв'язку / SIP провайдерів, з якими працює ваша система.

У нашому прикладі система працює з російським оператором Мегафон (послуга Мультіфон) і українським оператором Київстар, при цьому Мегафон використовує різні IP адреси SIP-сервера SIP проксі, а Київстар – єдиний SIP сервер.

Спершу визначимо сервіси / діапазони портів, доступ до яких слід обмежити в розділі Firewall – Access Control – Service.

image

Тут ми визначили тільки SIP порт 5060 і RTP порти 9000-9255. Оскільки інші сервіси 3CX повинні бути доступні для будь-якого IP адреси Інтернет та обмежувати доступ до них немає необхідності.

У розділі Firewall – Access Control – Access Rules додамо правила мережевого екрану, що дозволяють доступ до певних сервісів 3CX тільки з певних SIP-адрес.

image

Також необхідно додати одне загальне забороняє правило, що обмежує доступ до вказаних портів всіма адресами Інтернет. Зверніть увагу – це правило повинно стояти останнім у списку. Остаточний список правил повинен виглядати таким чином.

image

Друга частина списку із загальним забороняє правилом.

image
Тестування налаштування
Щоб перевірити правильність роботи мережевого екрану зробіть вихідний і вхідний виклики. Виклик повинен проходити успішно, чутність повинна бути двосторонньою і не повинно відбуватися обриву зв'язку через 32 секунди.

Висновок
Налаштування VPN маршрутизатор TP-Link TL-ER6020 для роботи з 3CX Phone System – досить нескладний процес, проте вимагає врахування деяких особливостей, з якими нам довелося зіткнутися. Також бажано мати поняття про основних принципів роботи VoIP технологій.

У цьому керівництві ми не розглянули таку цікаву можливість TL-ER6020, як резервування WAN каналу. Ця можливість дозволяє забезпечити безперебійну VoIP зв'язок навіть в разі «падіння» основного інтернет – підключення.

image

Однак майте на увазі, що таке резервування пред'являє певні вимоги до використовуваних SIP підключень:
  • Рекомендується використовувати SIP підключення з авторизацією по імені користувача та паролю. У цьому випадку, при відключенні основного інтернет-каналу, SIP підключення автоматично перереєстровується через другого оператора.
  • Якщо ви використовуєте SIP лінію з авторизацією по IP адресою (SIP транк), попросіть оператора авторизувати IP адресу резервного інтернет-підключення. Після цього оператор зможе приймати і направляти виклики через це підключення.
Додаткова інформація


Джерело: Хабрахабр

0 коментарів

Тільки зареєстровані та авторизовані користувачі можуть залишати коментарі.