Инструменты пользователя

Инструменты сайта


faq:secure_calls

Шифрованные звонки

Требуется версия АТС 2020.2.XXX+

Первым делом необходимо создать сертификаты. Пример команд:

keyDir='/storage/usbdisk1/mikopbx/custom_modules/SeqCalls';
mkdir -p "$keyDir";
ast_tls_cert -C 'miko.ru' -O "MIKO" -d "$keyDir"
ast_tls_cert -m client -c "$keyDir/ca.crt" -k "$keyDir/ca.key" -C 'miko.ru' -O "MIKO" -d "$keyDir" -o client
Сертификаты будут созданы в каталоге «/storage/usbdisk1/mikopbx/custom_modules/SeqCalls«
«MIKO» - замените на название своей организации
«miko.ru» - замените на даре сайта
При генерации сертификатов программа потребует ввести секретное слово.
  1. Перейдите в раздел СистемаКастомизация системных файлов.


  2. Откройте для редактирования конфигурационный файл pjsip.conf. Установите режим «Добавлять в конец файла».

  3. Добавьте следующую секцию:
    [transport-tls]
    type=transport
    protocol=tls
    bind=0.0.0.0:5061
    cert_file=/storage/usbdisk1/mikopbx/custom_modules/SeqCalls/asterisk.crt
    priv_key_file=/storage/usbdisk1/mikopbx/custom_modules/SeqCalls/asterisk.key
    method=sslv23
    
    ; Перечислим все локальные подсети
    local_net=172.16.31.0/24
    local_net=172.16.32.0/24
    local_net=172.16.33.0/24
    ; Опишем внешний адрес, если АТС находится за NAT и разрешено подключение из интернет. 
    external_media_address=93.188.43.120
    external_signaling_address=93.188.43.120
    external_signaling_port=5060
    
5061 - порт, который будет работать по защищенному протоколу.

Firewall

  1. Перейдите в раздел СистемаКастомизация системных файлов.


  2. Откройте для редактирования конфигурационный файл /etc/firewall_additional. Установите режим «Добавлять в конец файла».

  3. Добавьте разрешающее правило для ваших подсетей, из которых разрешено подключение:
iptables -I INPUT 2 -s 172.20.10.0/24 -p tcp -m tcp --dport 5061 -j ACCEPT
172.20.10.0/24 - пример подсети

SIP Аккаунт

  1. Перейдите в редактированию учетной записи сотрудника «Телефония» - «Сотрудники»
  2. Откройте карточку сотрудника для редактирования
  3. Откройте «Расширенные настройки», заполните в поле «Дополнительные параметры SIP учетки»
    [endpoint]
    media_encryption=sdes
  4. Сохраните изменения

Настройка софтфона Blink

  1. Перейдите в меню «Blink Lite» - «Preferences»
  2. Добавьте новый аккаунт
  3. В меню «Advansed» - «SIP signaling» установите параметр «Primary Proxy» в значение
    172.16.156.223:5061;transport=tls

    адрес сервера укажите свой.

  4. В меню «Advansed» - «RTP Media» установите параметр «Encryption» в значение «Mandatory SDES»
  5. Переподключите аккаунт В строке статуса появится «Замок».

Обратно к инструкциям

faq/secure_calls.txt · Последние изменения: 2020/12/15 08:38 — Алексей Портнов