Разделение пользователей на контексты. Как и зачем это нужно?

При первичной настройке АТС на базе Asterisk VoIP-инженер рано или поздно сталкивается с задачей разграничения пользователей данной АТС на различные контексты. Подобные задачи являются по сути своей одними из наиболее распространенных и рутинных в работе. В данной статье мы рассмотрим: как это делать на станциях с веб-интерфейсом FreePBX, на «голом» Астериске, ну и сами причины для чего это вообще требуется. Думаю, что подобная статья будет полезна молодым инженерам, только начавшим свой путь на поприще ip-телефонии.

 Немного теории

В первую очередь, прежде чем перейти непосредственно к настройке стоит разобрать что такое вообще контексты.

Конфигурационный текстовый файл /etc/asterisk/extensions.conf содержит в себе логику звонков на нашей станции — диалплан, состоящий из области с описанием глобальных переменных и непосредственно контекстов. Контексты – это изолированные области диалплана в которых описывается поведение экстеншенов.

То есть, можно сказать, что контекст состоит из экстеншенов, а те в свою очередь состоят из последовательности команд. Выглядит это для АТС без веб-интерфейса примерно таким образом:

Как видно из скриншота, в файле прописан только один контекст from-internal с описанием логики внутренней связи для сотрудников с номерами от 100 до 999 (согласно шаблону) и отдельно для экстеншенов 101 и 102, а также 777 для эхотеста. Название контекста должно быть заключено в квадратные скобки. Стоит отметить, что контекст закончится ровно в том месте, где начнется другой контекст, т.е. новое название в квадратных скобках. Секции [general] и [global] НЕ являются контекстами! В них описываются глобальные переменные.

Информер: Астреиск определяет контекст для обработки по принципу откуда пришел вызов, а не куда.

Рассмотрим, для чего контексты вообще предназначены:

• Разделение абонентов по привилегиям
• Для маршрутизации вызовов
• Виртуализация АТС на уровне диалплана (для работы одной станции с несколькими компаниями, использующими одинаковые экстеншены)
• Построение различных технических решений (например, IVR, авторизация, обратный вызов и прочее)
• Использование системных команд сервера (на основе, например, linux)
• Безопасность и защита АТС от внешнего негативного воздействия (в простонародии — взлома)

В рамках нашей статьи нас заинтересуют пункты 1, 2 и 5. Обсудим их поподробнее.

Разделение по привилегиям. Предположим, у нас есть группа абонентов, которым необходимо совершать звонки по всем направлениям, но есть и вторая группа, которым мы хотим запретить звонки на мобильные номера или на международное направление. Просто распишем их логику в разных контекстах и присвоим эти контексты их номерам в файле /etc/asterisk/sip.conf.

Далее пара слов о маршрутизации вызовов. В принципе очень похоже на пункт 1, но со своими нюансами. Например, есть несколько групп абонентов и нам необходимо различное поведение при звонках на мобильные номера (для группы 1 — запрет, для группы 2 – свободно, а для группы 3 – запрос пин-кода на направление). Расписываем поведение для каждой группы в своем контексте. Стоит отметить, что с помощью контекстов реализовывать маршрутизацию можно огромным количеством способов, подбирая наиболее оптимальный для нас.

Ну и стоит сказать немного о безопасности. По сути своей защита, реализуемая с помощью контекстов, включает в себя комбинации различных приемов, таких как ограничение звонков по времени, запреты на различные направления для разных групп абонентов, авторизации по пин-кодам и прочее. В общем включает в себя все пункты описанные и упомянутые выше. В качестве примера можно рассмотреть ситуацию, когда злоумышленник таки смог подобрать брутфорсом пароль от учетной записи для телефона, например, бухгалтера нашей компании, и во внерабочее время пытается сгенерировать огромное количество звонков на междугороднее направление, но не может, потому что мы в контексте прописали запрет этого направления, да еще и ограничили остальные направления проверкой на рабочие часы.

Custom Contexts

Custom Contexts – это бесплатный модуль для веб-интерфейса FreePBX предназначенный для работы с пользовательскими контекстами. Этот модуль идеально подходит для решения рутинных задач по разграничению прав доступа пользователей к разным направлениям вызовов. На самом деле задач, решаемых с помощью этого модуля, огромное количество, все зависит лишь от фантазии и потребностей. По умолчанию этого модуля во FreePBX нет, его необходимо доустановить в разделе Module Admin. Как это делается рассматривать мы не будем, так как статья не об этом. После установки найти его можно в разделе Connectivity.

Рассматривать работу модуля будем на примере внутреннего номера 101, которому будем запрещать звонки по разным направлениям, а также для номера 102, исходящие с которого должны уходить с отличного внешнего номера нежели у 101.

Итак приступим. В первую очередь необходимо создать исходящие направления для этих номеров. Сделаем это мы в разделе Outbound Routes во вкладке Connectivity. Сначала создадим исходящий маршрут для номера 101, который сможет звонить только на мобильные номера и на номера города Москва. Зададим соответствующие шаблоны:

Далее создаем второй исходящий маршрут для номера 102 (направления не ограничены) и выставляем для него другой CID и выбираем другой транк для звонка. Должно получиться примерно так:

Следующим шагом необходимо создать 2 кастомных контекста во вкладке Custom Contexts в которых разрешим для 101 исходящее направление out-for-101. Выглядит это таким образом:

Делаем по аналогии и для 102 — out-for-102 соответственно:

После проделанных манипуляций внутренние номера, использующие эти кастомные шаблоны, будут звонить по назначенным маршрутам. Поэтому нам необходимо в настройках наших экстеншенов 101 и 102 выставить соответственные контексты (делается это в Applications->Extensions->Other) и на этом можно задачу считать выполненой.