FreePBX: первые шаги по граблям
Начиная знакомство с FreePBX, даже опытные системные администраторы зачастую допускают одни и те же ошибки, которые способны серьезно испортить настроение и отбить всякое желание продолжать освоение этой системы.
В первую очередь, безусловно, это ошибки, связанные с безопасностью станции. Помните, что подключаясь к оператору телефонии вы несете полную финансовую ответственность за звонки, даже если на самом деле вы их не совершали! Давайте посмотрим, что нужно сделать в первую очередь, а чего делать категорически нельзя.
Сразу же после установки системы необходимо отключить возможность приема гостевых и анонимных звонков, если, конечно, вы не собираетесь их использовать. В противном случае, вы фактически предоставляете возможность любому человеку осуществлять звонки через вашу станцию, что может привести к значительным финансовым потерям.
Настройки → Установки Asterisk для SIP → Общие настройки SIP
Настройки → Установки Asterisk для SIP → Установки канала SIP
Несмотря на то, что FreePBX постоянно обновляется, и разработчики прикладывают большие усилия к обеспечению безопасности системы, периодически обнаруживаются уязвимости в коде, используя которые злоумышленники могут получить, например, параметры доступа к вашим операторам связи. Несмотря на то, что в таком случае звонки будут поступать не с вашей станции, оператор, скорее всего, потребует оплаты именно с вас. Поэтому не следует забывать о защите веб-интерфейса: если сервер установлен в вашей локальной сети, не стоит пробрасывать 80 порт наружу — для удаленной настройки вы можете использовать vpn, ssh-тоннель или любой другой способ доступа. Если же FreePBX установлен на удаленном сервере или по какой-то другой причине имеет прямой доступ в сеть, можно ограничить возможность подключения по 80 порту на уровне iptables, а также использовать парольную защиту Basic Auth как дополнительное средство обеспечения безопасности.
В случае, если вы установили FreePBX с официального образа, вам нужно будет отредактировать файл
В самый конец, перед последней строкой нужно добавить следующее
и введите пароль для пользователя admin. Не забудьте перезагрузить apache:
И проверьте результат:
Также следует обратиться к вашему оператору связи и ограничить возможность подключения с вашими учетными данными по ip-адресу: в таком случае, даже если злоумышленники получат ваш логин и пароль, воспользоваться ими не получится.
Безусловно, нельзя забывать и о безопасности аккаунтов пользователей на вашей станции. Если возможно (например, все ваши пользователи находятся в локальной сети), обязательно ограничивайте возможность подключения по ip-адресам — даже если пароль определенного пользователя будет скомпрометирован, воспользоваться им извне злоумышленники не смогут.
Приложения → Внутренние номера → Внутренний номер → Расширенный
Бывают ситуации, когда ограничить пользователя по ip не представляется возможным — например, аккаунт используется с мобильного телефона, из разных 3g, 4g, и wifi-сетей. В таком случае, в первую очередь, проверьте надежность ваших паролей. Запомните, даже на “пустой” станции, даже для тестирования, никогда не нужно ставить пароли типа qwerty, ведь забыть впоследствии о таком аккаунте проще простого, как и подобрать такой пароль.
Приложения → Внутренние номера → Внутренний номер → Общие
Необходимо задуматься и о переборе паролей. Естественно, если ваш сервер обслуживает клиентов из одной сети и подключается к одному оператору связи, вы можете и даже должны ограничить возможность подключения к sip-порту (обычно, 5060) для всех, кроме известных адресов своих сетей и провайдеров, например, так, если вы устанавливали FreePBX вручную
Или воспользоваться встроенным модулем веб-интерфейса Firewall, если вы установили систему с официального образа. Вы можете задать доверенные и внешние сети вручную в меню
Подключения → Firewall → Zones → Network
И затем определить, к каким сервисам будет открыт доступ в закладке
Подключения → Firewall → Services
Но не всегда возможно оставить только несколько подсетей для sip-порта. В таком случае крайне рекомендуется поставить fail2ban и настроить его на использование с asterisk. Этот демон, основываясь на логах попыток авторизации, блокирует слишком настойчивых на определенное время после заданного числа попыток авторизации, что позволяет пресекать брутфорс. В последних версиях fail2ban правила для asterisk уже включены в поставку, но рекомендуется проверить его работоспособность — выполнить несколько попыток регистрации с заведомо неверным логином и паролем (только обязательно не с того же ip-адреса, с которого вы подключаетесь к серверу!) и проверить, заблокируется ли этот адрес командой
В официальной сборке FreePBX система защиты от перебора паролей уже установлена и настроена. Заблокированные адреса можно найти в закладке
Подключения → Firewall → Статус
Очень часто, особенно в небольших организациях, когда используется только один провайдер, системные администраторы не уделяют внимания грамотной настройке исходящих маршрутов, ограничиваясь шаблоном X., разрешая таким образом всем пользователям звонить на любой номер телефона. Даже если полностью исключить возможность совершения звонков злоумышленниками, нельзя забывать о том, что пользователь может просто ошибиться и позвонить куда-нибудь в Доминиканскую республику, так что ограничивать исходящие звонки нужно в обязательном порядке. Обычно достаточно добавить шаблоны вызова городских и мобильных номеров телефонов, для РФ маршрут может выглядеть так:
Подключения → Исходящая маршрутизация → Маршрут → Правила набора
Здесь мы задаем, что номер должен быть 11-значным, начинаться с 8, и вторая цифра должна быть 3,4,8 или 9, что полностью перекрывает все Российские номера, а также разрешаем звонить через этот маршрут только внутренним номерам 100-199. В случае, если кому-то из сотрудников нужно открыть международные звонки, следует добавить дополнительный маршрут для него перед основным, и обязательно в поле CID указать его номер или шаблон номеров, если таких сотрудников несколько.
А также стоит всегда указывать количество одновременных исходящих вызовов в настройках транков, особенно в том случае, если они не ограничены на стороне оператора (10 сотрудников никак не смогут сделать 100 исходящих вызовов), а вот в случае несанкционированных звонков взломщики пытаются звонить в максимальное количество потоков.
Подключения → Транки → Настройки Транка → Общие
Следующая частая ошибка — создание очереди звонков без ограничения по времени и без условия “покидать пустую очередь”. Особенно опасно такое действие, если вы используете номер 8-800 с оплатой за входящие — определенный отдел может остаться без связи (завис свитч, пропал свет, крысы съели витую пару), а входящие звонки для него будут продолжать поступать на очередь, и особо упорные звонящие могут ждать на линии часами.
Неприятности могут возникнуть и в том случае, если вы не используете 8-800, но оператор связи ограничивает количество одновременных входящих звонков, или используются медные линии или поток. В таком случае ресурс канала будет расходоваться просто на проигрывание музыки вызывающим абонентам, и в итоге может возникнуть ситуация, когда все ваши входящие каналы заняты ожидающими в пустой очереди. Именно поэтому нужно всегда ограничивать время ожидания в очереди и не допускать звонков в пустых очередях.
Приложения → Очереди → Настройки очереди → Параметры времени и операторов
Приложения → Очереди → Настройки очереди → Параметры емкости очереди
Голосовые приветствия и голосовые меню — безусловно, полезные и нужные функции, используемые почти каждой организацией, решившей перейти на FreePBX, но и при их настройке часто допускаются ошибки. Во-первых, модуль Приветствие, то есть просто воспроизведение голосового ролика, который нельзя пропустить (или можно пропустить по нажатию клавиши, о чем обычно забывают уведомить пользователя), стоит использовать только тогда, когда в этом есть насущная необходимость. Мне доводилось видеть как в Приветствие помещают ролик длительностью одна минута, и только после него следует IVR с предложением выбрать нужный отдел. Когда клиент звонит в первый раз, это воспринимается нормально, но когда он перезванивает пятый раз за час, и пятый раз подряд слушает о том, как компания рада его звонку, он начинает сомневаться в этом. Клиент уже точно знает, что ему нужно нажать кнопку 2 и переключиться на нужный отдел, но его раз от раза заставляют прослушать приветствие целиком. По максимуму сократите использование Приветствий, используйте IVR и разрешите прямые наборы — это позволит сократить время ожидания клиента и не раздражать его.
Еще при создании Интерактивного меню IVR часто забывают сменить настройки по умолчанию, касающиеся неверного набора — при нажатии клавиши, которая не описана в правилах, ролик повторяется несколько раз. Такое поведение уместно только в случае, если выбор должен быть сделан обязательно (крайне редкий случай), и совершенно неуместно в первом, приветственном голосовом меню. Отключайте повторы голосового меню и переводите звонок на назначение, используемое по умолчанию: на секретаря, в очередь менеджеров и так далее. То же касается и тайм-аута набора.
FreePBX 14 настройка с нуля
FreePBX – прежде всего это графический интерфейс (GUI) для управления IP-АТС Asterisk. В предыдущей статье мы рассказали как установить FreePBX 14 Distro. Поэтому, на данном этапе мы выбрали FreePBX 14 настройка с Asterisk 16. В статье мы также подробно опишем базовую настройку основных параметров четырнадцатой версии FreePBX сразу после установки дистрибутива.
Подключение к FreePBX
После этого по окончании установки в CLI вы также увидите информацию об IP-адресе, который вы указали на этапе установки. К тому же если вы забыли IP-адрес, вам необходимо подключить монитор и клавиатуру к серверу, авторизоваться и вы увидите данные системы:
К тому же, если версия Вашей системы отличается, IP-адрес можно также узнать через команду:
Данная команда позволит увидеть настройки всех сетевых интерфейсов.
Администратор системы и активация
После этого подключаемся к FreePBX 14 через браузер. Система несомненно предложит настроить ядро и после этого предварительно её настроить.
Во-первых, необходимо ввести параметры:
Далее убедитесь, что введенный пароль администратора соответствует отметке “Strong” при вводе пароля. Самое главное, чтобы пароль был достаточно надежный.
После этого вводим e-mail адрес аккаунта для активации.
Далее необходимо выбрать локальный язык системы, часовой пояс, а также язык звуковых файлов.
Далее включаем Firewall.
Тем временем предварительная активация и предварительная настройка окончена.
Отступление про активацию FreePBX 14
FreePBX всегда был OpenSource (то есть лицензируется по лицензии GPL) и всегда будет. Причина регистрации вашей системы FreePBX на серверах лицензий FreePBX состоит в том, чтобы позволить вам добавлять «коммерческие модули», не относящиеся к GPL. Эти коммерческие модули также включают в себя как бесплатные, так и платные модули, помогающие расширить набор функций FreePBX.
Что происходит с системой в случае активации
Когда вы регистрируете свою систему FreePBX на сервере лицензий FreePBX, происходит следующее:
также для мотивации новых пользователей, Sangoma периодически устраивает акции на коммерческие модули в случае активации системы. Мы производили установку 30.10.2019 (дата установки FreePBX) и нам был предложен модуль Extension Routing бесплатно!
FreePBX 14 настройка сети
Переходим в меню: Admin → System Admin → Network Settings. Устанавливаем параметры сети (Static IP, DHCP) на сетевой интерфейс.
Здесь мы настраиваем следующие опции:
Меню для настройки DNS-сервера находится по адресу: Admin → System Admin → DNS.
Настраиваем временную зону: Admin → System Admin → Time Zone.
Приступим к настройке служебных оповещений через электронную почту о работоспособности системы: Admin → System Admin → Notifications Settings.
FreePBX 14 настройки безопасности (Firewall)
В FreePBX 14 Distro встроена система обнаружения вторжений на базе Fail2Ban. Данная служба анализирует лог-файлы и блокирует злоумышленников. Настраиваем в меню: Admin → System Admin → Intrusion Detection.
Безусловно, мы настоятельно рекомендуем настроить блокировки и белый список IP-адресов (сетей), которые не требуется блокировать, как правило это: voip-сеть, voice-vlan, подсеть c IP-телефонами, VoIP-шлюзами и т.д.
FreePBX 14 настройка SIP
Модуль Settings → Asterisk SIP Settings → Genaral SIP Settings – это графическая визуализация файла /etc/asterisk/sip_general_additional.conf вашей системы. После этого откроется окно конфигурации.
Вкладка Genaral SIP Settings
Значение в Asterisk ‘rtptimeout‘. Значение по умолчанию rtptimeout=600.
В Asterisk это значение ‘rtpholdtimeout‘. Значение по умолчанию rtpholdtimeout=300.
Серверы TURN часто требуют аутентификации, поэтому предоставляются опции для настройки имени пользователя и пароля.
Успешную настройку можно проверить визуально, включив отладку SIP (sip set debug on) в консоли Asterisk и просматривая сообщения INVITE по мере их прохождения.
Перезаписывает значения оконечных устройств, согласно которому отправляется факс по протоколу T.38.
Этот метод позволяет с почти идеальной точностью передать данные, даже если передача осуществляется по каналу с большим количеством шумов.
Не стоит забывать про udptl set debug on для режима отладки.
Вкладка Chan SIP Settings
Данный параметр полезен, если у сервера внешний IP адрес динамический.
Значение в Asterisk ‘domain‘. Например domain=pro-voip.ru
Соответствует параметру ‘minexpiry’. По умолчанию 60 секунд. Мы рекомендуем устанавливать значение minexpiry=60
Соответствует параметру ‘maxepiry‘. Значение по умолчанию 3600 секунд. Также рекомендуем оставлять по умолчанию.
Наша команда разработчиков рекомендует использовать PjSIP во всех разработках, так как протокол SIP считает устаревающим.
Пример: Настройка сервера FreePBX, который использует канал chan_SIP (FreePBX 14 настройка Chan SIP Settings)
Вкладка Chan PjSIP Settings
Во всех проектах мы используем PjSIP, так как он является более гибким в управлении SIP Peers (endpoint)
FreePBX 14 настройка внутренних номеров
Для создания внутренних номеров используется модуль Applications → Extensions. Также создание внутренних номеров в FreePBX мы описали в отдельной статье :
Настройка SIP-транка
Протокол SIP – Deprecated, поэтому рассмотрим вариант подключения по PjSIP:
Настройка маршрутизации
После этого создадим SIP-транки к провайдеру телефонии, но том же духе необходимо настроить маршрутизацию вызовов. К тому же, пример настройки маршрутизации описана в статье:
FreePBX 14 настройка голосового меню (IVR)
Прежде всего, чтобы организация казалась “приличной” настроим аналогично и голосовое меню для возможности обработки поступающих вызовов. О том как это сделать, мы подобным образом рассказали в статье:
Любое использование материалов сайта возможно только с разрешения автора и с обязательным указанием источника.
ИТ База знаний
Полезно
— Онлайн генератор устойчивых паролей
— Онлайн калькулятор подсетей
— Руководство администратора FreePBX на русском языке
— Руководство администратора Cisco UCM/CME на русском языке
— Руководство администратора по Linux/Unix
Навигация
Серверные решения
Телефония
FreePBX и Asterisk
Настройка программных телефонов
Корпоративные сети
Протоколы и стандарты
FreePBX 13 настройка c нуля
Настройка FreePBX шаг за шагом
Графический интерфейс администратора IP – АТС Asterisk – FreePBX, насчитывает огромное количество опций настройки, вариантов маршрутизации, подключения различного оборудования, начиная от телефонных аппаратов и заканчивая шлюзами. Задумались о внедрении Asterisk? В статье мы опишем базовую настройку тринадцатой версии FreePBX сразу после установки дистрибутива FreePBX.
Базовый курс по Asterisk
Мы собрали концентрат всех must have знаний в одном месте, которые позволят тебе сделать шаг вперед на пути к экспертному владению Asterisk
Пошаговое видео
Подключение к FreePBX
Чтобы подключиться к графическому интерфейсу FreePBX, нужно ввести IP – адрес Asterisk, который вы указали на этапе установки. Если вы забыли, какой IP – адрес указали, то подключите монитор и клавиатуру к вашему серверу, а затем введите данные для пользователя root, как показано ниже:
При подключении, вам будет указан IP – адрес вашего сервера. Если версия вашего дистрибутива отличается, и вы не увидели аналогичного вывода, укажите следующую команду:
Вывод команды позволит вам увидеть все доступные интерфейсы и их IP – адреса.
Активация и пароль администратора
Подключившись к FreePBX 13 через интернет – браузер вам будет сразу предложено создать учетную запись администратора указав логин, пароль и адрес электронной почты администратора системы. После успешного создания, выберите на главной страницу пункт FreePBX Administration и укажите созданные параметры:
Сразу после подключение, перейдите во вкладку Admin → System Admin и нажмите кнопку Activation
Далее нажмите кнопку Activate
После этого, следуйте инструкциям инсталлятора. Необходимо будет указать адрес электронной почты, пароль, номер телефона и местоположение вашего сервера.
Настройки SIP
Модуль SIP Settings это графическая визуализация настроек в файле /etc/asterisk/sip_nat.conf. Здесь, с помощью графического интерфейса можно настроить важнейшие параметры, такие как настройки NAT, внешний IP – адрес и настройки кодеков. Чтобы перейти к настройке нажмите на вкладку Settings, а далее Asterisk Sip Settings.
Allow Anonymous inbound SIP Calls
Данная опция позволяет разрешить, или запретить входящие звонки с неизвестных номеров. Мы советуем запрещать данный вид звонков, так как потенциально, разрешенные анонимные звонки могут стать лазейкой для злоумышленников.
Local Networks
Введите локальные (находящиеся внутри вашей сети) адреса подсетей, которым Asterisk будет доверять. Например, 192.168.2.0/255.255.255.0
RTP Ranges
Укажите диапазон RTP портов. Рекомендуем все оставлять по умолчанию.
Strict RTP
Когда между двумя устройствами устанавливается RTP поток, то назначаются адреса источника и назначения. При включенной данной опции, все пакеты приходящие с другого IP – адреса буду отброшены. Мы рекомендуем не выключать данную опцию.
Codecs
Галочкой отметьте нужные кодеки.
Положение кодеков указывает их приоритет. Например, на скриншоте ниже приоритет отдан g.711 u-law, затем g.711 a-law, gsm и так далее. Более подробно про телефонные кодеки использующиеся в VoIP сетях вы можете прочитать в наших прошлых статях.
Настройка NAT в FreePBX
Обязательно укажите в настройках Local Networks в предыдущей вкладке вашу локальную подсеть. Помимо этого, пробросьте на вашем маршрутизаторе порт 5060 и диапазон портов из параметра RTP Ranges, по умолчанию равный 10000-20000
Настройка сетевых параметров FreePBX
Далее, переходим к настройке DNS. Для этого переходим в боковом меню навигации к пункту DNS. Здесь просто указываем адрес DNS сервера, например 8.8.8.8:
Идем дальше. Теперь настроим временную зону, перейдя в боковом меню навигации в пункт Time Zone. В данном примере, наш сервер располагается в Москве:
Настроим уведомления нашего сервера Asterisk, при таких сбоях, как например малое дисковое пространство или сбой в работе RAID массива:
Конфигурация системы безопасности
В Asterisk встроена система обнаружения вторжений – Fail2Ban. Для настройки системы перейдите во вкладку Admin → System Admin→ Intrusion Detection
Настройка внутренних номеров
Настройка голосового меню
Базовый курс по Asterisk
Мы собрали концентрат всех must have знаний в одном месте, которые позволят тебе сделать шаг вперед на пути к экспертному владению Asterisk
