Телефония для домена: различия между версиями

Материал из Webko Wiki
Перейти к навигации Перейти к поиску
(Новая страница: «Телефония для домена Изучение протокола SIP привело к пониманию того, что он изначальн…»)
 
Строка 81: Строка 81:
 
*"" — поле Regexp. Регулярное выражение для извлечения доменного имени. В данном случае пустое.
 
*"" — поле Regexp. Регулярное выражение для извлечения доменного имени. В данном случае пустое.
 
*_sip._udp.mysite.ru. — имя SRV записи (сервер, отвечающий за этот тип связи).
 
*_sip._udp.mysite.ru. — имя SRV записи (сервер, отвечающий за этот тип связи).
 +
 +
Далее нужно настроить SRV запись:
 +
 +
<syntaxhighlight lang="bash">
 +
host -t srv _sip._udp.mysite.ru
 +
_sip._udp.mysite.ru has SRV record 10 0 5060 asterisk.mysite.ru.
 +
</syntaxhighlight>
 +
 +
*_sip — поле Service. Сервис телефонии.
 +
*_udp — поле Proto — протокол. Обычно _udp или _tcp.
 +
*mysite.ru — доменное имя для которого создается запись.
 +
*10 — поле Priority — задает приоритет этой записи.
 +
*0 — поле weight — относительный приоритет. Играет значение для записей с одинаковым Priority.
 +
*5060 — поле Port. Указывает, на каком порту сервер принимает SIP команды.
 +
*asterisk.mysite.ru. — поле Target — имя сервера.
 +
 +
 +
Как показала практика, многие SIP клиенты проверяют только SRV записи _sip._udp. и _sip._tcp. для вашего домена без учета информации в NAPTR.
 +
 +
== Настройка сервера Asterisk ==
 +
 +
Для начала, нужно разрешить звонки без авторизации и поместить их в отдельный контекст. Для этого в sip.conf:
 +
<syntaxhighlight lang="bash">
 +
[general]
 +
...
 +
context=guest-call
 +
allowguest=yes
 +
...
 +
</syntaxhighlight>
 +
 +
Далее нужно создать этот контекст в файле extensions.conf:
 +
<syntaxhighlight lang="bash">
 +
[guest-call]
 +
exten = > director,1,Log(NOTICE,Good call IP=${CHANNEL(peerip)})
 +
exten = > director,n,Dial(SIP/105@default)
 +
exten = > alex,1,Log(NOTICE, Good call IP=${CHANNEL(peerip)})
 +
exten = > alex,n,Dial(SIP/106@default)
 +
exten = > 101,1,Log(NOTICE, Good call IP=${CHANNEL(peerip)})
 +
exten = > 101,n,Dial(SIP/101@default)
 +
exten = > _.,1,Log(WARNING,Wrong call IP=${CHANNEL(peerip)})
 +
exten = > _.,n,Playback(bad-user)
 +
exten = > _.,n,Hangup()
 +
</syntaxhighlight>
 +
 +
Применяем конфигурацию sip reload и dialplan reload. В данном контексте мы логируем все неавторизованные вызовы. Далее происходит вызов локального абонента. Поменяйте default на ваш контекст с локальными пользователями. Прописываем сюда всех пользователей, для которых будем принимать неавторизованные звонки.
 +
 +
Ошибочные вызовы логируются с отдельным сообщением. Мы можем добавить анализ этого сообщения в fail2ban для блокировки подбора, например в файле конфигурации /etc/fail2ban/filter.d/asterisk.conf добавляем строку:
 +
<syntaxhighlight lang="bash">
 +
failregex = …
 +
 +
 +
Wrong call IP=<HOST>
 +
</syntaxhighlight>
 +
 +
Особое внимание надо уделить этому диалплану — разрешать стоит только звонки локальным пользователям. Корректная настройка избавит вас от неприятных неожиданностей получить большой счет за телефонные звонки.
 +
 +
Так же следует помнить, что уязвимости могут быть найдены в любом программном обеспечении, например в реализации протокола SIP или даже SSH сервере. Поэтому, желательно устанавливать лимиты по балансу у вашего провайдера, чтобы избежать риска получения огромного счета.

Версия 13:21, 11 февраля 2016

Телефония для домена

Изучение протокола SIP привело к пониманию того, что он изначально поддерживает работу с доменными именами. В частности, достаточно создать DNS записи типа SRV и NAPTR для указания SIP клиентам где искать ваш сервер телефонии. В результате мы получаем возможность заводить пользователей типа [email protected], [email protected], [email protected] и делать звонки напрямую на эти номера. В частности, эти номера могут совпадать с адресом электронной почты.

Бесплатные звонки

Время, когда можно будет позвонить через Интернет любому человеку на его SIP URI номер, так же как и на обычный телефон — еще далеко, но уже сейчас можно получить явные преимущества.

Маркетинговая составляющая: Можно рекламировать свою компанию как максимально нацеленную на контакт с клиентом, и давать им различные способы связи с сотрудниками.

Например, на визитке сотрудника можно указывать контакты для связи по аналогии с e-mail как sip: [email protected]. Бонусом такого звонка будет обход голосового меню, нет необходимости донабора внутреннего номера – сразу соединяетесь с интересующим вас сотрудником — экономите свое время.

Можно совершать звонки на телефон бесплатно прямо с браузера через WebRTC с различных web сервисов — это возможность сэкономить на оплате счетов за телефон горячей линии 8 800. Многим вашим клиентам может быть удобно звонить сразу с компьютера в один клик через гарнитуру, а не набирать номер на мобильнике.

В большинстве случаев, звонки на SIP номера бесплатны для обеих сторон. И позволяют по полной использовать возможности современной телефонии, например видеосвязь. Можно проводить открытые конференции и семинары.

Рассмотрим настройку на популярной офисной АТС Asterisk

При настройке собственного сервера очень большое внимание следует уделять безопасности. К сожалению, сегодня телефония является лакомым кусочком для взлома.

Считаем, что Asterisk уже установлен и настроен для обычных звонков.

Первым делом проверяем, включен ли и настроен брандмауэр на этом сервере. Пример конфигурации для iptables для Debian. Конфигурацию сохраняем в /etc/iptables.up. Загружаем с помощью iptables-restore.

Файл настроек /etc/iptables.up:

*filter 
# Запрещаем принимать все, для чего нет разрешающих правил 
:INPUT DROP 
# Разрешаем пересылку пакетов 
:FORWARD ACCEPT 
# Разрешаем отправку пакетов 
:OUTPUT ACCEPT 

# Разрешаем установленные соединения 
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT 
# Разрешаем локальные соединения 
-A INPUT -i lo -j ACCEPT 
# Отвечаем на ping 
-A INPUT -p icmp -m icmp --icmp-type 8 -j ACCEPT 
# и подключения по SSH 
-A INPUT -p tcp -m tcp --dport 22 -j ACCEPT 
# RTP порты для передачи голоса, берем из /etc/asterisk/rtp.conf 
-A INPUT -p udp -m udp --dport 10000:20000 -j ACCEPT 
# SIP порт 
-A INPUT -p udp -m udp --dport 5060 -j ACCEPT 
-A INPUT -p tcp -m tcp --dport 5060 -j ACCEPT 
COMMIT

По необходимости дописываем правила для таблиц nat и mangle, если сервер используется в качестве шлюза в локальную сеть.

Делаем автозагрузку конфигурации. Для этого в файл /etc/network/interfaces после описания интерфейса добавляем строчку post-up iptables-restore < /etc/iptables.up:

allow-hotplug eth1 
iface eth1 inet dhcp 
        post-up iptables-restore < /etc/iptables.up

Далее настраиваем fail2ban для анализа логов. Рекомендую включить модули SSH и Asterisk. Подробнее настройка описана здесь.

Настройка DNS записей

Для звонков на SIP URI нужно рассказать звонящим вам, где искать сервер телефонии. Для этого используются NAPTR и SRV записи:

Запись NAPTR для домена mysite.ru рассказывает, какие сервисы поддерживаются:

~$ host -t naptr mysite.ru 
mysite.ru has NAPTR record 10 50 "s" "SIP+D2U" "" _sip._udp.mysite.ru. 
mysite.ru has NAPTR record 10 51 "s" "SIP+D2U" "" _sip._udp.second.mysite.ru. 
mysite.ru has NAPTR record 20 50 "s" "SIP+D2T" "" _sip._tcp.mysite.ru. 
mysite.ru has NAPTR record 20 50 "s" "SIPS+D2T" "" _sips._tcp.mysite.ru.

В данном случае для домена mysite.ru определены 4 NAPTR записи.

  • 10 — поле Order — приоритет сервиса. Чем ниже значение, тем выше приоритет.
  • 50 — поле Preference — приоритет правила. Проверяется только для одинаковых значений Order. В данном случае, если клиент поддерживает сервис «SIP+D2U», то сначала будет отправляться запрос к _sip._udp.mysite.ru, если он не доступен — то к _sip._udp.second.mysite.ru
  • «s» — поле Flags. Означает, что используется SRV запись.
  • «SIP+D2U» — поле Service. Протокол, который поддерживается. В данном случае SIP с использованием UDP пакетов. SIP+D2T — для TCP пакетов. SIPS+D2T использовать шифрование TLS поверх TCP пакетов.
  • "" — поле Regexp. Регулярное выражение для извлечения доменного имени. В данном случае пустое.
  • _sip._udp.mysite.ru. — имя SRV записи (сервер, отвечающий за этот тип связи).

Далее нужно настроить SRV запись:

host -t srv _sip._udp.mysite.ru
_sip._udp.mysite.ru has SRV record 10 0 5060 asterisk.mysite.ru.
  • _sip — поле Service. Сервис телефонии.
  • _udp — поле Proto — протокол. Обычно _udp или _tcp.
  • mysite.ru — доменное имя для которого создается запись.
  • 10 — поле Priority — задает приоритет этой записи.
  • 0 — поле weight — относительный приоритет. Играет значение для записей с одинаковым Priority.
  • 5060 — поле Port. Указывает, на каком порту сервер принимает SIP команды.
  • asterisk.mysite.ru. — поле Target — имя сервера.


Как показала практика, многие SIP клиенты проверяют только SRV записи _sip._udp. и _sip._tcp. для вашего домена без учета информации в NAPTR.

Настройка сервера Asterisk

Для начала, нужно разрешить звонки без авторизации и поместить их в отдельный контекст. Для этого в sip.conf:

[general]
...
context=guest-call
allowguest=yes
...

Далее нужно создать этот контекст в файле extensions.conf:

[guest-call]
exten = > director,1,Log(NOTICE,Good call IP=${CHANNEL(peerip)})
exten = > director,n,Dial(SIP/105@default)
exten = > alex,1,Log(NOTICE, Good call IP=${CHANNEL(peerip)})
exten = > alex,n,Dial(SIP/106@default)
exten = > 101,1,Log(NOTICE, Good call IP=${CHANNEL(peerip)})
exten = > 101,n,Dial(SIP/101@default)
exten = > _.,1,Log(WARNING,Wrong call IP=${CHANNEL(peerip)})
exten = > _.,n,Playback(bad-user)
exten = > _.,n,Hangup()

Применяем конфигурацию sip reload и dialplan reload. В данном контексте мы логируем все неавторизованные вызовы. Далее происходит вызов локального абонента. Поменяйте default на ваш контекст с локальными пользователями. Прописываем сюда всех пользователей, для которых будем принимать неавторизованные звонки.

Ошибочные вызовы логируются с отдельным сообщением. Мы можем добавить анализ этого сообщения в fail2ban для блокировки подбора, например в файле конфигурации /etc/fail2ban/filter.d/asterisk.conf добавляем строку:

failregex =	…
		…
		…
		Wrong call IP=<HOST>

Особое внимание надо уделить этому диалплану — разрешать стоит только звонки локальным пользователям. Корректная настройка избавит вас от неприятных неожиданностей получить большой счет за телефонные звонки.

Так же следует помнить, что уязвимости могут быть найдены в любом программном обеспечении, например в реализации протокола SIP или даже SSH сервере. Поэтому, желательно устанавливать лимиты по балансу у вашего провайдера, чтобы избежать риска получения огромного счета.