Przejdź do menu nawigacji Przejdź do treści aktualnej strony
udogodnienia dla niedowidzących Rozmiar tekstu: Kontrast:  
Artboard 32 Artboard 5 Artboard 19

Konfiguracja Asterisk – FCN

Spis treści:

  1. Ważne ustawienia sekcji [general] w pliku sip.conf
  2. Rejestracja w pliku sip.conf
  3. Ustawienia peerow w pliku sip.conf
  4. Ustawienia extensions.conf
  5. Zmiany sip.conf
  6. Zmiany extension.conf
  7. Zmiana domyślnych haseł

1. Ważne ustawienia sekcji [general] w pliku sip.conf:

[general]
Pozycja Uwagi
context=default Wszystkie nieznane połączenia kierowane są do kontekstu default extensions.conf
bindport=5172 Zwykle atakujący szukają Asterisk-ów na domyślnym porcie sip, czyli 5060 ustawmy inny np. 5172
UWAGA! w konfiguracji telefonów trzeba będzie wpisać ten port jako port proxy zamiast 5060
srvlookup=yes dla zwiększenia redundancji włączymy rozwiązywanie domeny po rekordach SRV (w przypadku problemów z dodzwonieniem należy ustawić wartość „no”)
defaultexpiry=60 przydatne przy Asterisk-ach na niepublicznych adresach IP (za NATem)
allowguest=no zabezpiecza przed nieautoryzowanymi wywołaniami (domyślnie Asterisk zezwala na takie)
dtmfmode=rfc2833 tak jest we FreecoNet
nat=yes dla bramek/telefonów za NATem

 

Ustawienia dla Asterisk za NAT:
Pozycja Uwagi
defaultexpiry=60 przydatne przy Asterisk-ach na niepublicznych adresach iIP (za NATem)
localnet=192.168.1.0/255.255.255.0 adres i maska sieci lokalnej
externip=123.234.123.234 adres publiczny routera, za którym jest Asterisk

2. Rejestracja w pliku sip.conf:

Rejestracja w pliku sip.conf
Pozycja Uwagi
register => uzytkownik:haslo@sip.freeconet.pl/przychodzace1 przychodzące1 można dowolnie zmienić patrz: extensions.conf

3. Ustawienia peerow w pliku sip.conf:

[freeconet-out]
Pozycja Uwagi
type=peer do operatora
defaultuser=uzytkownik

fromuser=uzytkownik

nazwa konta we FreecoNet
secret=haslo  –
fromdomain=sip.freeconet.pl  –
context=freeconet na jaki kontekst w extensions.conf maja iść połączenia
host=sip.freeconet.pl  –
port=5060  –
outboundproxy=sip.freeconet.pl  –
outboundproxyport=5060  –
insecure=no maksymalnie nieufny Asterisk

 

[freeconet-in1]
Pozycja Uwagi
type=peer podobnie dwa peery dla połączeń przychodzących
fromdomain=sip.freeconet.pl  –
port=5060  –
context=freeconet  –
host=node00.freeconet.pl  –
insecure=no  –

 

[freeconet-in2]
Pozycja Uwagi
type=peer podobnie dwa peery dla połączeń przychodzących
fromdomain=sip.freeconet.pl  –
port=5060  –
context=freeconet  –
host=node01.freeconet.pl  –
insecure=no  –

 

[freeconet-in3]
Pozycja Uwagi
type=peer podobnie dwa peery dla połączeń przychodzących
fromdomain=sip.freeconet.pl  –
port=5060  –
context=freeconet  –
host=node08.freeconet.pl  –
insecure=no  –

 

[freeconet-in4]
Pozycja Uwagi
type=peer podobnie dwa peery dla połączeń przychodzących
fromdomain=sip.freeconet.pl  –
port=5060  –
context=freeconet  –
host=node09.freeconet.pl  –
insecure=no  –

 

[freeconet-in5]
Pozycja Uwagi
type=peer podobnie dwa peery dla połączeń przychodzących
fromdomain=sip.freeconet.pl  –
port=5060  –
context=freeconet  –
host=node02.freeconet.pl  –
insecure=no  –

 

[freeconet-in6]
Pozycja Uwagi
type=peer podobnie dwa peery dla połączeń przychodzących
fromdomain=sip.freeconet.pl  –
port=5060  –
context=freeconet  –
host=node03.freeconet.pl  –
insecure=no  –

 

[telefon 1] Przykład konfiguracji telefonu
Pozycja Uwagi
context=freeconet w jakim kontekście będzie przetwarzany
type=friend jest użytkownikiem
username=telefon1 nazwa użytkownika
secret=haslo1 hasło którym się ma uwierzytelniać
callerid=”Kowalski Jan” <100> id – tekst oraz numer
host=dynamic może być gdziekolwiek w sieci
nat=yes również na natem
accountcode=Kowalscy Kowalscy ;dodatkowe dla billingów wewnętrznych Asteriska
allow=all kodeki (tu wszystkie)

4. Ustawienia extensions.conf

[default]
Pozycja Uwagi
[default] niebezpieczny kontekst dla nieproszonych gości
exten => _.,1,Hangup bez szans na wykonanie połączenia

 

[freeconet]
Pozycja Uwagi
exten => t,1,Hangup  –
exten => _X.,1,SIPAddHeader(X-Fid: ${SIPCALLID}) opcjonalne to co stanie w miejscu ${SIPCALLID}
pojawi sie w billingach csv w panelu FreecoNet
exten => _X.,2,Dial(sip/${EXTEN}@freeconet-out) reszta podłączenia zajmiemy się my
exten => przychodzace1,1,Dial(SIP/telefon1,45,Tt) jeśli rozmowa z FreecoNet na konto użytkownik to skieruj do telefon1

Inny przyklad sip.conf i extension.conf (identyfikowanie rozmowy przychodzącej po numerze docelowym + wewnetrzne)

5. Zmiany sip.conf

[telefon 1]
Pozycja Uwagi
context=tel1 tworzymy różne konteksty dla telefonów
type=friend  –
username=telefon1  –
secret=haslo1  –
callerid=”Kowalski Jan” <10>  –
host=dynamic  –
nat=yes  –
accountcode=Kowalscy  –
allow=all

 

[telefon 2]
Pozycja Uwagi
context=tel1 tworzymy różne konteksty dla telefonów
type=friend  –
username=telefon1  –
secret=haslo1  –
callerid=”Kowalski Jan” <10>  –
host=dynamic  –
nat=yes  –
accountcode=Kowalscy  –
allow=all  –

6. Zmiany Extension.conf

[default]
Pozycja Uwagi
[deafult] niebezpieczny kontekst dla nieproszonych gości
exten => _.,1,Hangup bez szans na wkonanie połączenia

 

[freeconet]
Pozycja Uwagi
[freeconet] kontekst docelowy peerów FreecoNet
exten =>
przychodzace1,1,Set(TOHDR=${SIP_HEADER(To)})
 –
exten =>
przychodzace1,2,GotoIf($[„${REGEX(„221234567″ ${TOHDR})}” = „1”]?wew,10,1)
 –
exten =>
przychodzace1,3,GotoIf($[„${REGEX(„221234568″ ${TOHDR})}” = „1”]?wew,11,1)
 –

 

[tel 1]
Pozycja Uwagi
[tel 1]  –
include => wew  –
exten => t,1,Hangup  –
exten => h,1,Hangup  –
exten => _XXX.,1,SIPAddHeader(X-Fid: ${SIPCALLID}) opcjonalne to co stanie w miejscu ${SIPCALLID} pojawi się w billingach csv w panelu FreecoNet
exten => _XXX.,2,Set(CALLERID(num)=48221234567) ustawienie publicznego numeru telefonu (w panelu trzeba ustawić prezentację „użyj z bramki”)
exten => _XXX.,3,Dial(SIP/${EXTEN}@freeconet-out) reszta połączenia leży po stronie FreecoNet

 

[tel 2]
Pozycja Uwagi
[tel 2]  –
include => wew  –
exten => t,1,Hangup  –
exten => h,1,Hangup  –
exten => _XXX.,1,SIPAddHeader(X-Fid: ${SIPCALLID}) opcjonalne to co stanie w miejscu ${SIPCALLID} pojawi się w billingach csv w panelu FreecoNet
exten => _XXX.,2,Set(CALLERID(num)=48221234568) ustawienie publicznego numeru telefonu (w panelu trzeba ustawić prezentacje „użyj z bramki”)
exten => _XXX.,3,Dial(SIP/${EXTEN}@freeconet-out) reszta połączenia leży po stronie FreecoNet

 

[wew.]
[wew.]
exten => 10,1,Dial(SIP/telefon1,45,Tt)
exten => 11,1,Dial(SIP/telefon2,45,Tt)

UWAGA! Zalecamy również uruchomienie firewalli na serwerach linuxowych lub/i na firewallach sprzętowych wykorzystywanych do dostępu do internetu. Aby zezwolić wyłącznie na ruch przychodzący/wychodzący do platformy FreecoNet należy zezwolić na dostęp następujących adresów IP (protokół UDP):

Nowe zakresy adresów IP:

  • 195.200.214.0/24 (195.200.214.0-195.200.214.255) – Nowy zakres adresów IP
  • 82.177.255.72/29 (82.177.255.72-82.177.255.79) – Nowe zakresy adresów IP
  • 213.218.108.128/26 (213.218.108.128 – 213.218.108.191)
  • 213.218.116.64/27 (213.218.116.64 – 213.218.116.95)
  • 46.28.243.192/28 (46.28.243.192 – 46.28.243.207)
  • 88.220.105.88/29 (88.220.105.88 – 88.220.105.95)
  • 89.171.152.128/27 (89.171.152.128 – 89.171.152.159)
  • 93.159.41.32/28 (93.159.41.32 – 93.159.41.47)
  • 193.192.164.0/27 (193.192.164.0 – 193.192.164.31)
  • 213.218.125.64/29 (213.218.125.64 – 213.218.125.71)
  • 213.218.125.88/29 (213.218.125.88 – 213.218.125.95)

7. Zmiana domyślnych haseł

Dodatkowo użytkownikom oprogramowania TrixBox/Elastix zalecamy, aby zwrócili szczególną uwagę na konfigurację swoich urządzeń i zastosowanie się do poniższych zaleceń:

Zmienić domyślne hasła (dotyczy centrali TrixBox):

1. Zmiana domyślnego hasła FOP

Domyślne hasło do Flash Operator Panel jest następujące: pasw0rd W celu jego zmiany przejść do katalogu FOP:
/var/www/html/panel, a następnie edytować plik op_server.cfg.
Dokonać zmiany w linijce „security_code=passw0rd” ustawiając nowe wybrane hasło.
Aby zaakceptować zmiany zrestartować serwer amportal restart

2. Zmiana domyślnego hasła meetme.

Wprowadzić passwd-meetme, a następnie dwukrotnie powtórzyć nowe hasło.

3. Zmiana domyślnego hasła do System Mail.

Wprowadzić passwd admin, a następnie dwukrotnie powtórzyć nowe hasło.

4. Zmiana domyślnego hasła do SugarCRM.

Zaloguj się do SugarCRM z dowolnej przeglądarki przez adres HTTP://adres_ip_asterisk_server
Dane do logowania to admin/password, a następnie po kliknięciu MyAccoun/Change password zmień aktualne hasło.

Analogiczne czynności należy przeprowadzić dla centrali Elastix.

Kolejnym krokiem jest ograniczenie dostępu przez SSH.
Jeśli nie ma takiej konieczności, proszę ograniczyć dostęp SSH tylko wybranym użytkownikom (edycja pliku sshd_config, dodanie AllowUsers username), zaleca się wyłączenie dostępu dla użytkownika root (sshd_config, dodanie PermitRootLogin no).

Dobrym wyjściem jest też zmiana domyślnego portu SSH na inny i zezwolenie na logowanie z konkretnych adresów IP.
Proszę wyłączyć zdalny dostęp do bazy MySQL, zmienić domyślne hasło i usunąć domyślnych (nieużywanych) użytkowników.
Reguły firewalla proszę ograniczyć w taki sposób, aby dostęp do konfiguracji www i bazy danych miały tylko znane osoby (adresu ip).

Zalecamy restrykcyjną politykę dostępu do serwera zarówno dla protokołów VoIP, jak i protokołów dostępu do serwera, na którym zainstalowana jest centrala: ssh, http, https telnet itd. Restrykcyjna polityka powinna dotyczyć również połączeń inicjowanych od strony serwera z zainstalowanym oprogramowaniem TrixBox/Elastix.


Zamknij [X]