AF
Asterisk Forum
обсуждения телефонии, VoIP и IP-PBX
12разделов
5 423тем
34 385сообщений
← К списку тем

Размещение asterisk на стороннем хостинге

Newbies/FAQ Forum 6 сообщений -
#1
Добрый день.

Имеем 2 офиса, между ними VPN-канал, в каждом своя АТС на базе Elastix, АТС-ки соединены между собой по IAX.
Имеется проблема задержек между серверами (офисами), т.е. иногда пинг нормальный в пределах 70-80, а иногда под 200 достигает и разговаривать не возможно... Повлиять на это не нельзя, офисы в разных регионах, провайдеры разные...

Возникла идея разместить АТС на внешнем хостинге, благо с обоих офисов пинг до выбранного хостинга всегда хороший.

Возник вопрос безопасности.
Сейчас АТС находится за NAT и снаружи не видна, порт 5060 не проброшен, помню как вначале пробрасывал порт (зачем?) и постоянно были попытки левых подключений в логах... Сейчас все пользователи в локалке, никто с удаленных рабочих мест не подключается, точнее подключается но через VPN.
Если разместить на внешнем хостинге, то получается порт надо по-любому будет открывать и настраивать какие-то жесткие правила в firewall + fail2ban или же как вариант пробросить VPN канал и уже внутри его всё сделать, что вроде бы как безопаснее получается.

В общем прошу совета кто был в такой ситуации по какому пути шли?
#2
Что мешает не отрывать - а настроить VPN из обеих офисов ? и NAT не будет
_________________
платный суппорт по мере возможностей
#3
Ну я вот к этому варианту и склоняюсь...
Интересуюсь так сказать общепринятыми подходами.
#4
Если офисы на статических внешних адресах, то в файрволе доступ к порту 5060 разрешается только с IP офисов. И fail2ban не нужен, и VPN городить не нужно.
#5
У меня есть пара предложений:
1) 200 мс - это много для 711 кодека, поставьте кодек g729 (можно ещё iLBC попробовать, но сам не тестировал), если не поможет, попробуйте изменить буфер джитера. Люди как-то же общаются через спутник (а там задержка 600 мс);

2) вариант с хостингом. как сделать, что бы порты не надо было пробрасывать ? - На хостинге делаете два IAX френда (можете порт IAX поменять для спокойствия), а с удаленных офисов делаете регистрацию на них. НАТ отработает (Исходящее соединение перейдёт в Установленное) и будет держать установленное соединение, то будет вам счастье!
_________________
http://arttel.ru
#6
Да, в офисах статика.

На самом деле почти всегда пинг в районе 70-80, т.е. то что я привел 200, это был очередной форс-мажор, видимо что-то там у провайдеров случается что трафик идет как-то очень медленным маршрутом... Т.е. сейчас даже если кодек поменяю, скорее всего не смогу понять лучше или хуже стало - когда будет следующий такой "пик" не знаю.

Склоняюсь всё таки к VPN, потому что в будущем планируется что некоторые сотрудники будут подключатся удаленно, хочется сделать максимально универсальное решение.