Прекрасно, дальше куда копать?

Внимание студия! Вопрос! А почему он слабый?

Ну писал человек что наблюдал проблемы

С головой у него... скорее всего. Но это не точно

Что ужасного в сип по ВПН а голос по интернет?

То есть сейчас сам астериск будет слать голос с внешнего IP но вот слать он будет его на IP который прилетит от телефона соотвествеено пофиксив его на IP VPN Сети

Прекрасно, дальше куда копать?

В логи и дамп

телепатов тут нету, они остались в jabber канале :)

То есть сейчас сам астериск будет слать голос с внешнего IP но вот слать он будет его на IP который прилетит от телефона соотвествеено пофиксив его на IP VPN Сети

Телефон шлёт первый пакет на Астер по открытому порту ртп, Астер шлёт голос в обратку.

@Gjiugdbjiiygfdethvfdtuh2347 Схемы подключения Астер-Телефон-Транк мы не вкурсе в каких звонках и как нет звука тоже

Телефон шлёт первый пакет на Астер по открытому порту ртп, Астер шлёт голос в обратку.

Не выдержал я. Да нахера ты сигналку прячешь в впн, если медиа голая бегать будет??? Настрой уже без всяких впн-ов TLS SIP + SRTP

Если у тебя действительно без впн быстрее

Ну, есть печальный опыт выставления sip наружу

Теперь на уровне фобии

SIP через интернет, потому что раньше нас хакали и у меня теперь фобия. Шта??

Хотя то был голый сип без тлс

Чтоб вас снова хакнули и голос хакера пошел в VPN?) Клева!

Ну не о взломе ВПН речь)

А я и не о взломе VPN говорю

врятли хакали, скорей всего всё открыто было

а про хакали это руководству сказали

Телефон шлёт первый пакет на Астер по открытому порту ртп, Астер шлёт голос в обратку.

Учить матчасть Вы до RTP еще не добрались

вам сначала с сигналкой разобраться надо

прочитайте внимательно что я вам написал

Учить матчасть Вы до RTP еще не добрались

Это хотя бы возможно?

Если есть воможность контролировать данные которые присылает телефон и правилньо их фиксить то да

но на сколкьо я понимаю в Вашем случае этой вомонжости нет

Изза одного телефона столько флуда

?‍♂️

https://voxlink.ru/kb/asterisk-configuration/ispolzovanie-pravil-ocheredi-dlya-izmeneniya-operatorov/

Что-то не то, мне нужно добиться того, чтобы сначала звонил у сотрудника 1, а потом вместе зазвонили 1 и 2 одновременно. У меня получается, что вызов просто переходит на 2. Не подскажете в чем проблема? Я так понял что пенальти работает, если сотрудник 1 занят или недоступен

IPsec vs TLS/SRTP в обеспечении безопасности VoIP / Хабр https://habr.com/post/346862/

IPsec vs TLS/SRTP в обеспечении безопасности VoIP / Хабр https://habr.com/post/346862/

Это обеспечивает шифрование, а не безопасность

Логин пароль admin admin по https не становятся безопаснее http

Я так думаю сертификаты

Что-то не то, мне нужно добиться того, чтобы сначала звонил у сотрудника 1, а потом вместе зазвонили 1 и 2 одновременно. У меня получается, что вызов просто переходит на 2. Не подскажете в чем проблема? Я так понял что пенальти работает, если сотрудник 1 занят или недоступен

тогда делайте не через пинальти а local-channel

Это обеспечивает шифрование, а не безопасность

+1 Безопасность - это комплекс мер, на разных уровнях системы

Я так думаю сертификаты

Я думаю что проблемы безопасности надо решать другими способами, чем костылить то что ты хочешь сделать. Тем более при наличии микротика перед астером

@voxlink тут нужна реклама доклада Романа на астерконфе :)))

Ну, есть печальный опыт выставления sip наружу

Господи, как вы это делаете то... Почти год, сипом в мир смотрю, и все ок

Вот и я про то

Да лан, там особо усердия не надо. Особенно, если http у фряхи жопой вперед в интернет торчит

Под фряхой имеется в виду FreePBX. Мы ж в чате Астерискеров)

Товарищи, напомните, если у меня в шаблоне стоит вконце ! это обозначает всё кроме?

пример: _000!

Добрый день! Задача - АТС, торчащая наружу (в DMZ) Количество внутренних номеров в перспективе порядка 200+. (Сейчас ~70) Подскажите, пожалуйста, какая архитектура будет недежнее и безопаснее: 1. VPN-client + SIP (без какого-то шифрования) 2. SIP TLS/SRTP 3. Что-то еще?

1.

плюс что-то еще. т.к. от угроз внутри никто не защищается обычно. и от угрозы "а давайте-ка мы для теста пробросим 5060 и забудем, что мы это сделали"

пример: _000!

! - это шаблон, означаюший 0 и более любых символов. типа того что под него подойдет и ваше 000 и 0000

"плюс что-то еще" - это какая-то другая архитектура или это какая-то дополнительная защита? (меня интересует именно концепция подключения удаленных сотрудников)

дополнительная защита.

понимание того, как работает f2b, чем сложный пароль от простого отличается, мониторинг, защита на уровне диалплана и всякое-всякое-всякое

у нас пошли по п.2...

млять, вот сколько раз всем говорить, что TLS/SRTP (с подключением по паролю) - это вообще ни разу не про безопасность. это про защиту от прослушки

SIP торчит наружу, доступен с любых IP адресов (сотрудники будут подключаться из любой точки)

у меня не хватило аргументов в пользу VPN + SIP

поэтому как сказали - так и сделали )))

вопрос скорее был для личного успокоения (своей версии с использованием VPN)...но за безопасность отвечают другие )))

если за безопасность отвечают другие - в этом и есть ваше успокоение)

млять, вот сколько раз всем говорить, что TLS/SRTP (с подключением по паролю) - это вообще ни разу не про безопасность. это про защиту от прослушки

Я правильно понимаю, что мне надо стать MITM, чтобы перехватить трафик и прослушать его? (в Wireshark-е)

без SRTP - да.

а с SRTP нормально настроенным - то никуда не встанете

если за безопасность отвечают другие - в этом и есть ваше успокоение)

спокойствие! только спокойствие! )))

сказал Карлсон и улетел на крышу

ну у нас с SRTP

ну у нас с SRTP

я бы это еще проверил)

я бы это еще проверил)

В >sip show peer Prim.Transp. : TLS Allowed.Trsp : UDP,TLS Reg. Contact : sip:20000@192.168.1.3:5079;transport=tls Encryption : Yes

Так пойдет? )

пойдет)

пойдет)

Спасибо! ))) Тогда можно и на обед сходить )))

"Approved by Voxlink" )))))

И послать нахер всех клиентов с динамическим IP - ништяк совет)))

на 3G например чтобы либо голос либо сигналка ))

Ну так сложилось в России что дохрена кто 3G gпользует потому что 4G покрытие даже в 2018 - херовое

сценарии тетечек продованов живущих в частных домах и удаленно работающих

Домой интернет вести дорого

проще купить симку и шарить на комп интернет

да все это в топку. самый норм - это FMC

Ахренеть как портит потери поакетов о 70%

Да пофигу там на условия Просаживается канал сильно Не стабильным становится Оператор и так приоритет voip траффику отдает а тут еще и постоянная нагрузка Любой мобильный оператор первым делом режет такой траффик

Просто этого не вино при обычном интернет серфинге

а как только дело касается реалтайм сервисов - все сразу приобретает совсем другую картину

именно по этой причине mobile apps практически никогда не используют websockets Потому что они подобную нагрузку так же дают

И подобные проблемы отгребают

Если там внешние по отношению к АТС пользователи, то если мы привяжем провайдеров к iptables, то только через vpn внешних клиентов подключать, а вот если нужно без vpn , например? На сколько это распространено? У провайдеров-то это (почти) всегда без vpn .