asterisk.ru

tem2016 писал(а):Вы правы, мне очередная двойка

Простите конечно, но вам уже просто кол

net.ipv4.ip_forward=1 в его блок-схеме, такая опция опасна. лучше строить на отдельных устройствах... и обойтись на сервере без этого. Все заработает конечно, но серпентарий ещё тот будет. Можно докрутить фильтрами ... но... - со всеми вытекающими !

И в чем же именно заключается опасность ? Что кто-то извне достучится до серых сетей ?
Firewall никто не отменял, да и серые сети фильтруются многими операторами (к сожалению не всеми).

Конечно нужно понимать как это работает и что ты делаешь, т.к. в противном случае уже сам факт подключения сервера к глобальной сети будет являться опасным.

Всем добрый день.
На данный момент я допилил VPN, осталось маршруты раздать в подсети клиента. Сетки друг друга видят, телефон из подсети клиента зарегистрировался на сервере телефонии в офисе и звонки проходят без проблем в обе стороны - всех слышно хорошо. Астериски подружить пока не смог. Прикидываю и понимаю, что сервер телефонии * у клиента по сути мне нахрен не нужен, т.к. у него пока 1 телефонный аппарат и, самое главное, отдельного выхода на СИП-провайдера у него не будет вообще (в ближайшем будущем, по крайней мере). Так что я забивал гвозди микроскопом, на клиенте по сути сервер Астериска вообще был не нужен! Достаточно шлюза с OpenVPN и регистрировать телефоны можно будет на сервере головного офиса, как сейчас и сделано.

Всем спасибо за помощь, я много нового узнал, жаль только, что так и осталось до специалиста в Астериске мне как до Китая.

virus_net писал(а):И в чем же именно заключается опасность ?
Что кто-то извне достучится до серых сетей ?
Firewall никто не отменял, да и серые сети фильтруются многими операторами (к сожалению не всеми).
Конечно нужно понимать как это работает и что ты делаешь, т.к. в противном случае уже сам факт подключения сервера к глобальной сети будет являться опасным.

"Ну так на то и лёд, чтобы скользить !"
Запустить в режиме роутера - это уже ответственность за настройки Firewall... да еще в одном флаконе, да с внешним миром. Это ж всё пасти надо. Тут покрути, там подкрути. Потом, этот gate для пользователей разных сетей через VPN задействуют, с силу лени человеческой. От одного астериска уже отказались - ну понятное дело, можно и из той сети подключиться (а станет побольше абонентов ? с трафиком местным что делать ? аааа ... ну тогда второй поставим *). Вот только, если все это грохнется, очень больно будет. В идеале, надо у астериска иметь один интерфейс (вполне достаточно), а все остальное на отдельных частях (узлах) проектировать и пусть даже на виртуалках - время страшная штука и главная опасность таких деяний!

Я согласен, что надо по уму делать все по максимуму на разных железках или виртуальных машинах. Обязательно периметр защищать какой-либо железкой - циской или иным межсетевым экраном. Но увы, бюджет ограничен на данный момент. Нет ничего более постоянного, чем что-то временное - но,надеюсь, инфраструктурой мы еще прирастем. Тогда и будем делать по-человечески.

Я это к чему написал, - если Вы сейчас не задумаетесь о структуре сети и распределению госового и прочего трафика, у Вас будут вполне предсказуемые проблемы - 1) другого гейта нет и VPN быстро забьется всякой дрянью и ухудшит голос 2) безопасность требует тестирования и фильтрации пакетов с др интерфейсов, а следовательно возростает со временем нагрузка на сервер и падает общая производительность (отдельное устройство роутер) 3) резать полосы, не имея правильной структуры, дело возможное, но неблагодарное...

- Для примера : в серьезных станциях, реализован огромный пласт ПО с временными зонами (регионами) и настройками работы телефонов, для того, чтобы трафик оставался в том регионе сети и в той временной зоне где он есть, - по возможности.

- вывод, стройте сразу и правильно, убеждайте начальство - бюджет тут невелик, на рынке хлама пока достаточно , а последствия будут плачевны. Лучше построить правильно на дешёвом оборудовании, чем породить этот комбайн !