Блокирование посторонних подключений к SiSky
Если по каким-то причинам не доверяете брандмауэру Windows XP или не хватает его возможностей по блокированию посторонних подключений, можно использовать для защиты SiSky другой Firewall. При настройке Firewall потребуется:
• открыть UDP порт 5060 для входящей связи с адреса Elastix
• открыть UDP порты 10000-20000 для входящей связи с адреса Elastix
• открыть порты, использованные в каналах Skype (см. настройки каждой копии Skype)
• открыть исходящую связь в сторону Elastix
• открыть исходящие подключения, инициируемые программой SiSky (необходимо, в частности, для активации лицензий на приобретенные каналы)
Неплохим выбором будет использование Comodo Firewall. Старая версии этой программы предоставляется бесплатно:
https://personalfirewall.comodo.com/international/russian/download_firewall.html
Собственный шлюз SKYPE-SIP-Skype на ОСНОВЕ FreeSWITCH
Для создания собственного шлюза для звонков абонентам Skype из Elastix и в обратном направлении можно использовать отдельный сервер, программу FreeSWITCH, программу mod_skypopen:
• установить сервер CentOS 6 или Ubuntu 14.04
• установить и настроить FreeSWITCH
• установить и настроить mod_skypopen
• настроить подключение между Elastix и созданным сервером
• настроить правила входящих и исходящих звонков аналогично описанному выше примеру Ippi
Подробнее читайте:
• https://wiki.freeswitch.org/
• http://wiki.freeswitch.org/wiki/Mod_skypopen_Skype_Endpoint_and_Trunk
• http://netconfigure.net/index.php/ru/forum/5-ip-telefoniya/6-skype-shlyuz-na-baze-freeswitch-i-asterisk
Подключение абонентов к Elastix
С системой Elastix можно использовать любые SIP-телефоны, которые предлагает рынок. Можно использовать и программные SIP-телефоны, но для стационарных рабочих мест лучше найти средства для аппаратных телефонов. Конечно, телефоны, которыми будет удобно пользоваться стоят около 4000–5000 рублей, что дороже некоторых смартфонов, и бесконечно дороже бесплатных программных телефонов. Но время сотрудников тоже не бесплатный ресурс.
При использовании аппаратных телефонов для ПК следует иметь в виду:
✔ дешевые SIP-телефоны плохо справляются с компенсацией эха и других шумов
✔ дешевые SIP-телефоны не всегда имеют дисплей, а при наличии не всегда умеют отображать русские имена
✔ аппаратные SIP-телефоны удобнее и надежнее программных в использовании – всегда готовы к приему звонка, всегда готовы к исходящему звонку, зависают крайне редко, в отличие от программных
✔ SIP-телефоны с PoE при наличии PoE-свичей могут обеспечить связь даже при аварии электропитания в здании (пока не разрядится аккумулятор в серверной, питающий PoE-свичи и роутер)
✔ при наличии встроенного в телефон хаба (два Ethernet-гнезда в телефоне) не требуют дополнительной розетки Ethernet – компьютер можно подключить к локальной сети через телефон
При использовании программных телефонов для ПК следует иметь в виду:
✔ при выключенном ПК с сотрудником невозможно связаться (хотя можно установить на станции переадресацию на мобильный)
✔ сотрудник редко весь день сидит в гарнитуре и входящий звонок может просто не услышать. Покупать мониторы с динамиками? Загромождать столы динамиками? Выгода тает, а удобство остается низким.
✔ при повышенной нагрузке на ресурсы ПК звук будет "захлебываться" (открыл экономист большую таблицу в Excel и звук на время исчез, открыл дизайнер большой макет и звук на время исчез)
✔ программные телефоны зависают в разы чаще, чем аппаратные
✔ мобильный сотрудник может всегда оставаться на связи, установив на ноутбук программный SIP-телефон
✔ при разговаре через гарнитуру руки остаются свободными
✔ не нужно использовать ни PoE-свичи, ни занимать лишнюю электрическую розетку при отсутствии PoE
При использовании программных телефонов для смартфонов следует иметь в виду:
✔ при проблемах с WiFi будут возникать сложности с приемом звонков. Обеспечить надежное WiFi покрытие всего офиса не просто и весьма затратно.
✔ при поездках сотрудникам лучше отключать программный телефон на смартфоне, так как через мобильный Интернет связь пока ужасна. При возвращении в офис сотрудники будут забывать включать программный телефон и станция будет переадресовывать вызовы на мобильный, что обойдется в копеечку
✔ программные телефоны зависают в разы чаще, чем аппаратные
✔ смартфон разрядится быстрее, а аккумуляторы пока и так с трудом держат сутки
✔ мобильный сотрудник может всегда оставаться на связи, программный SIP-телефон на смартфоне прекрасная альтернатива DECT-телефонам
✔ при перебоях питания остаются на связи пока хватает аккумуляторов в серверной для роутера, соединяющего офис с Интернет, и для точек доступа WiFi
Централизованная настройка телефонов (Autoprovisioning/Endpoint configurator)
При установке SIP-телефонов в одной локальной сети с сервером Elastix или при подключении офисов к Elastix через VPN-каналы открывается возможность удаленной централизованной настройки (Autoprovisioning), доступной в меню PBX\Batch Configuration\Endpoint Configurator:
Настройка телефонов в локальной сети
В большинстве случаев Endpoint Configurator позволяет забыть о ручной настройке каждого телефона, достаточно:
• нажать "Discover Endpoints in this Network"
• для обнаруженных телефонов:
• выбрать "Model"
• выбрать абонента в поле "Extension to assign"
• отметить галочкой в столбце "Set"
• нажать "Set", чтобы перезагрузить телефоны и применить новые настройки
Настройка телефонов в удаленных сетях
Чуть сложнее обстоит задача при установке станции в Дата-центре. Для удаленной настройки телефонов потребуется объединить офисы с Elastix через VPN. Для этого можно воспользоваться бесплатным дополнением MyVPN Client, чтобы подключить станцию к офисам по протоколу OpenVPN. После настройки роутеров в офисе и установления VPN-соединений для настройки телефонов в офисах:
• указать адрес и маску сети, используемые в настраиваемом офисе
• нажать "Discover Endpoints in this Network"
• настроить обнаруженные телефоны
Хранение настроек телефонов
После сопоставления телефонов и учетных записей Elastix сохраняет файлы настроек "/tftpboot/VVVVVVXXXXXX.cfg", где VVVVVVXXXXXX – MAC-адрес соответствующего телефона.
Автоматическая загрузка настроек на телефоны
Поддерживающие Autoprovisioning SIP-телефоны умеют загружать свежие настройки при включении/перезагрузке или по расписанию. Можно вручную прописать на телефоне адрес сервера Elastix, но еще проще задействовать опцию 66 на сервере DHCP, в котором необходимо указать адрес сервера Elastix:
Если в качестве DHCP-сервера в офисе используется роутер, необходимо опцию 66 настроить на нем. После этого на телефоне достаточно активировать Autoptovisioning по опции DHCP.
Если же не удалось настроить опцию 66 на DHCP-сервере, для автоматической загрузки настроек на телефонах потребуется вручную прописать адрес Elastix в качестве сервера Autoprovisioning:
Для работы Autoprovisioning необходимо убедиться, что на Elastix в Security\Firewall включен протокол TFTP, через который работает данный сервис.
Настройка безопасности при использовании Autoprovisioning по TFTP
Следует вдумчиво относиться к использованию функции Autoprovisioning, поскольку логины и пароли хранятся в файлах "/tftpboot/VVVVVVXXXXXX.cfg" в незашифрованном виде. Хотя сервис TFTP не предоставляет возможности прочитать список хранящихся на нем файлов и папок (http://tools.ietf.org/html/rfc1350), злоумышленники могут попытаться перебрать все файлы подряд – первые шесть символов файла (VVVVVV) уникальны для каждого производителя SIP-телефонов. Казалось бы, остающиеся шесть знаков дают 16 миллионов уникальных комбинаций, но чтобы попытаться загрузить с сервера все возможные файлы достаточно в течение месяца каждую секунду проверять наличие всего лишь 6–7 файлов. Поэтому, если TFTP будет открыт всем подряд, злоумышленники вскоре добудут пароли ко всем учетным записям. В сравнении с подбором паролей этот путь дает очень простой путь для взлома и использования станции в преступных целях.