Тема: KX-TDE100 схема подключения (вопрос от чайника)
Ну и что мешает понять, что при включении АТС с серым ip нужно настраивать разные другие сервисы для её соединения с провайдерами и абонентами?
Вопрос как?
Предположу, что АТС от провайдера получила 192.168.1.100 gw 192.168.1.1—-> SIP сервер провайдераДальше этой подсетки (предположим) провайдер меня не пускает.
То есть забрать еще какой-то городской номер от иного провайдера я не могу.Дальше - есть к примеру IP-телефон. Какой IP адрес у него должен быть, чтобы он смог зарегистрироваться на АТС. Он должен быть вида 192.168.1.X… а тут провайдер говорит “а-яйяй.. нельзя. у меня на этом айпи еще что-то”
Выходит ip-телефон должен быть в иной подсети...Я предполагал что либо сама АТС имеет возможность находится в разных подсетках, либо отдельные платы (такие как DSP16) имеют собственный интерфейс c собственными настройками IP
Ну лениво базовые вещи тебе рассказывать - про трансляцию адресов и портов, про туннелирование. Это вроде надо знать до того, как IP-сети проектировать? АТС - такое же устройство, как компьютер. У тебя писюк что - адреса в разных подсетях имеет? Сейчас ты говоришь, что купил комп, yandex.ru у тебя в одной подсети, сервер 1С - в другой (серой), а mail.ru - в третьей. И выражаешь недоумение - как твой писюк будет всех их троих видеть. Будет, если правильно настроено всё, ведь так? И для этого ему не надо три сетевухи иметь или даже три разных айпишника на одной из них.
Давай ты самостоятельно изучишь работу NAT, PAT, проксей всяких? Ну неужто тут надо объяснять принципы работы NAT, STUN-серверов, VPN? Мы ж тут только в проводах и телефончиках разбираемся, не у всех даже CCNA есть...
Хотелось бы чтобы на АТС можно было завести городские номера от разных провайдеров и чтобы к АТС
могли цепляться по SIP внутренние абоненты из разных уголков Интернета.
Варианта два.
Первый - все делаем на Панасонике. К сожалению, под лицензиями на ip-телефоны подразумеваются лицензии на MGCP телефоны “Панасоник”. Так что на SIP придется подкупить еще лицензий, при чем, не по числу одновременных разговоров, а по числу аппаратов.
Теперь по подключению. Сама TDE не умеет ни статических маршрутов, ни VLAN. Нет в ней встроенного фаервола или системы блокировки атакующего узла. Все это придется реализовать на внешнем маршрутизаторе, адрес которого и прописать станции как “шлюз по умолчанию”. Как правильно заметили коллеги, если пробросить порты для сип телефонов, станцию, скорее всего, положат.
К счастью, есть второй путь. Соединяем TDE с Астериском, а уже к нему цепляем телефоны, транки провайдеров и другие АТС. Все проблемы при этом уходят, схема получается красивая и безопасная. Лицензий используется 4 на сип-транки, но это у вас будет 4 одновременных разговора между ip частью и абонентами TDE.
К счастью, есть второй путь.
Поддерживаю.
Wowa, привет.
Про “второй путь”
Зачем плодить лишнее, когда без него можно обойтись?
Тем более в ситуации, когда автор с трудом осваивает то, что есть.
Я понимаю, предложить * когда речь идет о функциях, которых нет, но ситуация не та.
Wowa, я понимаю, для тебя это “любимое дитя”, но (ничего личного) “вшивый все о бане”.
Предположим, она получит серые адреса от провайдера. В таком случае непонятно как подключать
IP-телефоны(внутренние), ведь они должны иметь адреса из той же подсети, на что провайдер врядли согласится.
В этом же случае, не понятно как, к примеру, завести на АТС другой городской номер, купленный у другого
провайдера.Если же дать АТС белые IP-адреса и выставить в Интернет, возникает вновь вопрос как подключать IP-телефоны
(откуда взять столько белых IP) и встает вопрос защиты АТС от атак.
Ставишь маршрутизатор (можешь обычный роутер), поднимаешь на нём NAT, подключаешь к нему провайдера интернета с 1 белым IP адресом.
Делаешь свою подсеть внутренних адресов(внутри твоей внутренней сети)., можешь включить DHCP для автоматической раздачи адресов.
Делаешь на маршрутизаторе проброс порта 5060 на внутренний IP адрес станции., а от станции в интернет можешь всё открыть для упрощения =)
Теперь можешь подключать станцию к любым SIP провайдерам.
Для работы внешних телефонов например родных Panasonic требуется проброс порта протокола MGCP., если SIP телефоны например CISO то вроде достаточно порта 5060 (SIP)
На внешних телефонах IP адрес SIP шлюза будет твой 1 тот самый белый адрес провайдера.
На внутренних телефонах адресом SIP шлюза естественно будет внутренний адрес станции в твоей сети.
Что касается безопасности, то как вариант на маршрутизаторе можешь разрешать проброс 5060 отдельным внешним адресам, которых собираешься цеплять к станции из вне.
Вот как-то так вижу. Возможно где-то ошибаюсь.
Делаешь на маршрутизаторе проброс порта 5060 на внутренний IP адрес станции., а от станции в интернет можешь всё открыть для упрощения =)
Теперь можешь подключать станцию к любым SIP провайдерам.
Для работы внешних телефонов например родных Panasonic требуется проброс порта протокола MGCP., если SIP телефоны например CISO то вроде достаточно порта 5060 (SIP)
На внешних телефонах IP адрес SIP шлюза будет твой 1 тот самый белый адрес провайдера.
На внутренних телефонах адресом SIP шлюза естественно будет внутренний адрес станции в твоей сети.Что касается безопасности, то как вариант на маршрутизаторе можешь разрешать проброс 5060 отдельным внешним адресам, которых собираешься цеплять к станции из вне.
Вот как-то так вижу. Возможно где-то ошибаюсь.
Точно ошибаешься. Изучи - по каким портам работает протокол SIP. Там не один порт. И простой “проброс порта” не поможет. И порт снаружи надо ставить не 5060, а другой. Количество атак будет меньше во много раз.
Короче - советы вредноватые. Ум надо набирать не из форумов от таких же нубов, а из документации и кошерных книжек. Почему народ вместо чтения хороших книг спрашивает вопросы у первых встречных? Они что - думают, что первый встречный всегда даст правильный совет?.. В 95% случаев совет будет неправильный.
Делаешь на маршрутизаторе проброс порта 5060 на внутренний IP адрес станции., а от станции в интернет можешь всё открыть для упрощения =)
Теперь можешь подключать станцию к любым SIP провайдерам.
Для работы внешних телефонов например родных Panasonic требуется проброс порта протокола MGCP., если SIP телефоны например CISO то вроде достаточно порта 5060 (SIP)
На внешних телефонах IP адрес SIP шлюза будет твой 1 тот самый белый адрес провайдера.
На внутренних телефонах адресом SIP шлюза естественно будет внутренний адрес станции в твоей сети.Что касается безопасности, то как вариант на маршрутизаторе можешь разрешать проброс 5060 отдельным внешним адресам, которых собираешься цеплять к станции из вне.
Вот как-то так вижу. Возможно где-то ошибаюсь.
Точно ошибаешься. Изучи - по каким портам работает протокол SIP. Там не один порт. И простой “проброс порта” не поможет. И порт снаружи надо ставить не 5060, а другой. Количество атак будет меньше во много раз.
Короче - советы вредноватые. Ум надо набирать не из форумов от таких же нубов, а из документации и кошерных книжек. Почему народ вместо чтения хороших книг спрашивает вопросы у первых встречных? Они что - думают, что первый встречный всегда даст правильный совет?.. В 95% случаев совет будет неправильный.
Да, сомневался я что только SIP, помню что ещё что-то, но ещё многое зависит от оборудования которое будет подключаться... Ну и ALG с SIP_UDP…
Порт поменять идея отличная., но не на всём оборудовании можно это сделать, а именно внешний порт изменить и осуществить проброс на 5060 в адрес станции.. А это придётся тогда ещё ему и оборудование изучать)))))))))))
Зато у человека хоть представление есть, а то он хотел интернет прям в станцию вставлять))))))
... Ну и ALG с SIP_UDP…
Простите - Вы в каждый свой пост вставляете ALG… - у Вас что пунктик на этих буквах или звучит прикольно?
... Ну и ALG с SIP_UDP…
Простите - Вы в каждый свой пост вставляете ALG… - у Вас что пунктик на этих буквах или звучит прикольно?
=))) Просто гемороя много было с этим однажды....
... Ну и ALG с SIP_UDP…
Простите - Вы в каждый свой пост вставляете ALG… - у Вас что пунктик на этих буквах или звучит прикольно?
=))) Просто гемороя много было с этим однажды....
Может оно просто лишним было? 😉
... Ну и ALG с SIP_UDP…
Простите - Вы в каждый свой пост вставляете ALG… - у Вас что пунктик на этих буквах или звучит прикольно?
=))) Просто гемороя много было с этим однажды....
Может оно просто лишним было? 😉
=) первый раз когда столкнулся было не лишним...
=) первый раз когда столкнулся было не лишним...
Надо просто понимать, зачем оно. TDE и сама умеет преодолевать NAT, путем подстановки адреса или с использованием STUN. Второе требует внешней поддержки, а первый способ весьма годный. Гораздо надежней, когда правильный адрес передает сама АТС, чем пакеты будет курочить подозрительный роутер с ALG.
Проблема возникает, когда нужен доступ по SIP к локальному серверу и удаленному одновременно. Тдешку нельзя научить, что б при обращении к серверам из чужой сети подставляла wan-адрес, а к тем, что в своей сети - нет. Хотя, тот же Астериск, к примеру, делает это на автомате, плюс позволяет задавать дополнительный список локальных сетей.
Вот в такой ситуации владельцам Панасоников и приходится полагаться на реализацию SIP ALG в роутерах сторонних производителей.
=) первый раз когда столкнулся было не лишним...
Надо просто понимать, зачем оно. TDE и сама умеет преодолевать NAT, путем подстановки адреса или с использованием STUN. Второе требует внешней поддержки, а первый способ весьма годный. Гораздо надежней, когда правильный адрес передает сама АТС, чем пакеты будет курочить подозрительный роутер с ALG.
Проблема возникает, когда нужен доступ по SIP к локальному серверу и удаленному одновременно. Тдешку нельзя научить, что б при обращении к серверам из чужой сети подставляла wan-адрес, а к тем, что в своей сети - нет. Хотя, тот же Астериск, к примеру, делает это на автомате, плюс позволяет задавать дополнительный список локальных сетей.
Вот в такой ситуации владельцам Панасоников и приходится полагаться на реализацию SIP ALG в роутерах сторонних производителей.
Спасибо. Не знал что TDE может сама преодолевать NAT. Возможно где-то надо включить ей эту функцию...
У меня просто так не работала...
Да, нужно навести мышу на v-sipgw16 и в меню выбрать первый пункт - свойства системного блока.
По умолчанию обход NAT стоит “выкл”.
Да, нужно навести мышу на v-sipgw16 и в меню выбрать первый пункт - свойства системного блока.
По умолчанию обход NAT стоит “выкл”.
ооо, буду знать... полезная вещь...
