Курсы по использованию Asterisk

IP-телефония — технология будущего. Обучитесь работе с IP-АТС Asterisk для того чтобы внедрить и профессионально использовать при решении коммуникационных задач.

Работайте с Asterisk профессионально!

Многоуровневая защита IP-АТС Asterisk

Телефонные станции очень часто становятся объектами хакерских атак. Узнайте, каким образом необходимо строить многоуровневую защиту для Вашей IP-АТС.

Не оставьте хакерам шансов. Защитите свой Asterisk от атак.

Используйте Веб-Интерфейс для удобства настройки

Панель управление FreePBX позволяет легко и удобно управлять всей системой. Научитесь эффективно использовать FreePBX для решения своих задач.

Управление станцией и статистика в окне браузера.

Научитесь работать с Asterisk из консоли

Для понимания работы с Asterisk необходимо уметь настраивать его вручную с конфигурационными файлами и командной строкой CLI Asterisk.

Научитесь «тонкой» настройке Asterisk

Цель курсов - максимум практики.

Обучение нацелено на практическую работу с IP-оборудованием: платы потоков E1, VoIP-телефонные аппараты, голосовые шлюзы FXS и прочее.

Обучение на реальном оборудовании — залог успеха.

Настройка L2TP/IPsec туннеля между роутерами Mikrotik

База знаний Настройка VoIP-оборудования

Ниже преведён пример настройки L2TP/IPsec туннеля между двумя роутерами Mikrotik.
Настройки первого роутера:
WAN интерфейс - ether1
WAN IP - 10.0.0.101/24
LAN интерфейс - bridge-local
LAN IP - 192.168.10.0/24

Настройки второго роутера:
WAN интерфейс - ether1
WAN IP - 10.0.0.102/24
LAN интерфейс - bridge-local
LAN IP - 192.168.20.0/24

Настройки L2TP-сервера на первом роутере

Настройки L2TP-клиента на втором роутере

Настройки IPsec-сервера на первом роутере

Настройки IPsec-клиента на втором роутере

Настройки файрвола

Скрипт для IPsec-клиентов с динамическим IP-адресом


Настройки L2TP-сервера на первом роутере

1. Создаем пул адресов для транзитной сети (здесь 192.168.254.0/26)

/ip pool
add name=l2tp-pool ranges=192.168.254.2-192.168.254.62

2. Создаем PPP-профиль для подключения, шифрование включать не нужно, т.к. будет использоваться IPsec

/ppp profile
add change-tcp-mss=yes local-address=192.168.254.1 name=l2tp remote-address=l2tp-pool

3. Заводим PPP-аккаунт для клиента

/ppp secret
add name=client1 password=secret1 profile=l2tp service=l2tp

3. Настраиваем и включаем L2TP-сервер

/interface l2tp-server server
set authentication=mschap2 default-profile=l2tp enabled=yes keepalive-timeout=15 max-mru=1418 max-mtu=1418

Настройки L2TP-клиента на втором роутере

Настраиваем и включаем L2TP-клиент

/interface l2tp-client
add allow=mschap2 connect-to=10.0.0.102 disabled=no max-mru=1418 max-mtu=1418 name=l2tp-to-m1 user=client1 password=secret1 profile=default

ПРИМЕЧАНИЕ: 1. Значение MTU 1418 - максимальное значение, при котором не будет фрагментации с использованием IPsec с алгоритмами SHA1 для подписи и AES-128 для шифрования. При использовании других алгоритмов значение MTU будет другим. Если используется механизм обхода NAT IPsec, следует понизить MTU на 28.
2. На этом этапе следует проверить работоспособность L2TP-подключения.

Настройки IPsec-сервера на первом роутере

1. Настройка IPsec-пира, IPsec политика будет создаваться автоматически, при подключении клиента (с динамическим созданием политики, роутер может принимать подключения от множества VPN-клиентов без донастройки. В данном случае VPN-канал поднимается между двумя роутерами и можно настроить статическую политику, как на втором роутере). Пароль, который будет использоваться при аутентификации и генерации секрета для шифрования соединения, задается в параметре secret

/ip ipsec peer
add address=0.0.0.0/0 port=500 auth-method=pre-shared-key hash-algorithm=md5 enc-algorithm=aes-256 generate-policy=port-strict exchange-mode=main nat-traversal=no secret="ipsec-secret" send-initial-contact=no dpd-interval=15s dpd-maximum-failures=2

2. Настройка алгоритмов для шифрования и подписи соединения

/ip ipsec proposal
set defaul auth-algorithms=sha1 enc-algorithms=aes-128 name=default

ПРИМЕЧАНИЕ: 1. Если не указать значение address=0.0.0.0/0 для peer, оно будет подставлено автоматически, но работать IPsec не будет - баг RouterOS.
2. nat-traversal=yes для peer следует указывать, только если часть клиентов будет подключаться из-за NAT.

Настройки IPsec-клиента на втором роутере

1. Настройка IPsec-пира

/ip ipsec peer
add address=10.0.0.101/32 port=500 auth-method=pre-shared-key hash-algorithm=md5 enc-algorithm=aes-256 exchange-mode=main nat-traversal=no secret="ipsec-secret" send-initial-contact=yes dpd-interval=15s dpd-maximum-failures=2

2. Настройка политики IPsec

/ip ipsec policy
add action=encrypt ipsec-protocols=esp level=require proposal=default protocol=udp sa-src-address=10.0.0.102 src-address=10.0.0.102/32 src-port=any sa-dst-address=10.0.0.101 dst-address=10.0.0.101/32 dst-port=any tunnel=no

2. Настройка алгоритмов для шифрования и подписи соединения

/ip ipsec proposal
set defaul auth-algorithms=sha1 enc-algorithms=aes-128 name=default

Настройки файрвола

Сервер должен принимать:
UDP:1701 - L2TP, но только по IPsec
UDP:500 - IPsec, установление соединения
UDP:4500 - IPsec, для обхода NAT
IP протокол 50 - IPsec ESP

Отмечаем ESP пакеты, L2TP будем принимать только в них

/ip firewall mangle
add action=mark-packet chain=input new-packet-mark=esp protocol=ipsec-esp

/ip firewall filter
add chain=input comment=L2TP dst-port=1701 packet-mark=esp protocol=udp src-address=10.0.0.102
add chain=input comment=IPSEC-NAT dst-port=4500 protocol=udp src-address=10.0.0.102
add chain=input comment=IPSEC dst-port=500 protocol=udp src-address=10.0.0.102
add chain=input comment=IPSEC protocol=ipsec-esp src-address=10.0.0.102

Клиенту достаточно принимать пакеты в состоянии established

Скрипт для IPsec-клиентов с динамическим IP-адресом

Скрипт взят здесь http://gregsowell.com/?p=1290. Данный скрипт проверяет IP-адрес WAN-интерфейса и меняет IP-адреса в политике IPsec, если они не совпадают с IP-адресами, указанными в политике IPsec.
У политики IPsec должен быть комментарий "dynamic ip" для работы скрипта.

:local WANip [/ip address get [find interface="ether1"] address]
:local shortWANip ( [:pick "$WANip" 0 [:find "$WANip" "/" -1]] )
:set WANip ( $shortWANip . "/32" )

:local IPSECip [/ip ipsec policy get [find comment="dynamic ip"] sa-src-address]

if ($shortWANip != $IPSECip) do={
/ip ipsec policy set [find comment="dynamic ip"] sa-src-address=$shortWANip src-address=$WANip
}

Ставим скрипт на выполнение раз в две минуты

/system scheduler
add disabled=no interval=2m name=check-wan-for-ipsec on-event=ipsec-wan-addr policy=read,write

l2tp, ipsec, файрвол, firewall, настройка, инструкция, шлюз, routeros, mikrotik