IP-телефон через vpn

Обновлено: 06.06.2023

Если вы хотите масштабировать свой бизнес, VoIP может быть именно тем, что вам нужно. VoIP расшифровывается как Voice Over Internet Protocol и представляет собой телефонную услугу, которая используется через Интернет.

Внедрение VoIP продолжает расти, поскольку оно экономически эффективно и устраняет необходимость в стационарных телефонах для бизнеса. Организациям больше не нужно привязывать свои телефонные операции к определенному местоположению. Используя VoIP, они могут расширяться и выходить за пределы физических ограничений офиса.

Компании по всему миру используют VoIP в качестве своих основных телефонных систем, потому что это позволяет им выходить за пределы офиса, экономить деньги и поддерживать связь с людьми независимо от географического расстояния.

Однако телефоны всех типов, включая VoIP, могут быть взломаны хакерами. Вы можете добавить уровень безопасности, чтобы снизить риски безопасности VoIP с помощью VPN. Это защищает ваши данные и голосовой трафик, поскольку VPN обеспечивает шифрование VoIP.

Угрозы безопасности VoIP и решения

Телефонные звонки обычно не очень безопасны. Киберпреступники используют множество различных тактик, чтобы прослушивать звонки, которые вы получаете на свой мобильный телефон. Для них это на удивление легко — преступники могут использовать радиочастотные сканеры и интерпретатор цифровых данных, чтобы подслушивать незащищенные звонки. Однако с помощью системы VoIP вы можете настроить VPN для защиты телефонных звонков в вашей сети.

Объединив VPN с телефонной системой VoIP, вы сможете защитить весь свой голосовой трафик и трафик данных, а также защитить устройства, с которыми работают ваши сотрудники. Вы предоставляете своим командам шифрование для безопасной обработки всех видов звонков, где бы они ни находились.

Решения для обеспечения безопасности VPN и VoIP в действии

Возьмем, к примеру, компанию технической поддержки, которая обрабатывает звонки в службу поддержки для различных клиентов. Когда крупные корпорации хотят передать свои операции по поддержке клиентов на аутсорсинг, эта компания технической поддержки является их первым выбором. Вместо большого физического офиса колл-центра сотрудники этой компании принимают звонки из своих домашних офисов. Сотрудники могут работать из дома в разных часовых поясах, и компания использует передачу голоса по IP, чтобы обеспечить эту гибкость. Использование VoIP существенно снижает их эксплуатационные расходы.

Клиент управляет своей инфраструктурой VoIP из своего центра обработки данных. Их решение VoIP по своей сути не поддерживает безопасность — безопасные протоколы VoIP, такие как SIPS и SRTP, не используются, а это означает, что компании необходимо устранить некоторые риски безопасности VoIP. Поскольку их сотрудники работают из дома, при настройке сети необходимо решить следующие вопросы:

  • Защищенная связь по VoIP
  • Убедитесь, что VoIP работает независимо от настройки NAT в домашней сети сотрудника.
  • Гибкие возможности использования сотрудниками различных VoIP-устройств, таких как настольные телефоны, программные клиенты на ноутбуках или смартфонах.
  • Предотвращать атаки типа "отказ в обслуживании" на свою систему VoIP, разрешая подключение только подлинным клиентам

Протокол OpenVPN использует TLS/SSL и поэтому поддерживает NAT. Он может легко туннелировать протоколы VoIP через NAT. Использование IP-адресов, назначенных VPN, также создает впечатление, что VoIP-устройства находятся в той же частной сети, что и защищенный VoIP-сервер. Это упрощает реализацию VoIP, поскольку не нужно иметь дело с обходом NAT.

Связь VoIP защищена путем туннелирования внутри VPN. Только определенные входящие порты, используемые VPN-клиентами, должны быть открыты для входящего трафика в центре обработки данных, в котором находится защищенный сервер VoIP. Это сопоставимо с необходимостью открывать широкий спектр портов, которые обычно используют SIP и SRTP. Защита VoIP с помощью OpenVPN отвечает всем потребностям клиента.

Клиент установил OpenVPN Access Server в центре обработки данных, в котором находится защищенный сервер VoIP. Они настроили контроль доступа, чтобы разрешить доступ только к защищенному серверу VoIP. Профили автоматического входа были созданы и распространены среди сотрудников для импорта в их телефоны VoIP или клиент OpenVPN Connect. Сотрудникам, желающим использовать офисный телефон, рекомендуются аналоговые телефонные адаптеры с поддержкой OpenVPN, например Yeastar, или IP-телефоны, например Snom Technology.

Использование технологии OpenVPN обеспечило безопасность как защищенного сервера VoIP в центре обработки данных, так и связи VoIP. Существует шифрование VoIP, решение VoIP менее сложное и не требует сложностей обхода NAT, а сотрудники могут использовать любое устройство по своему выбору для ведения бизнеса.

Как защитить VoIP-связь с помощью VPN

Чтобы начать предлагать первоклассную защиту VoIP, вам необходимо развернуть сервер доступа и как минимум один клиент с помощью нашего клиента OpenVPN или клиента Connect.

Чтобы развернуть сервер доступа, вы можете:

  • Разверните его самостоятельно, используя наше краткое руководство.
  • Разверните готовый к запуску экземпляр в Amazon Web Services
  • Разверните готовый к запуску экземпляр в Microsoft Azure
  • Разверните готовый к запуску экземпляр в Google Cloud
  • Разверните готовый к запуску экземпляр в Digital Ocean
  • Развертывание готового к запуску экземпляра в Oracle
  • Изучите некоторые из наших более подробных вариантов самостоятельного развертывания.

Получив сервер доступа, вы можете просто подключить устройство через один из наших клиентов. Для мобильных платформ у нас есть приложения для Android и iOS, но вы также можете начать работу на Mac, Linux или Windows.

Службу VPN-туннеля можно настроить для использования либо TCP, либо UDP. В случае TCP его также можно настроить для переадресации служб Connect Client и/или Admin Web UI. Если используется переадресация службы, только один TCP-порт должен быть доступен для интернет-клиентов. Если приложения, требующие UDP-связи (например, VoIP), должны использоваться через VPN, настройка OpenVPN Access Server для использования UDP для VPN-туннелирования приведет к повышению эффективности туннельной связи VPN. В этом случае порт UDP (номер 1193 по умолчанию) на сервере также должен быть доступен для интернет-клиентов.

Недавно мы получили новую телефонную систему, и в этой телефонной системе мы хотели бы подключить некоторые телефоны нашего домашнего офиса к этой новой телефонной системе для мониторинга. Домашние офисы в настоящее время используют POTS. Я хочу подключить их ЧЕРЕЗ IP-телефоны.

В настоящее время для VPN домашние пользователи используют системный VPN-клиент Cisco для подключения к Cisco 506E pix, который у нас есть здесь, в головных офисах (я не настраивал VPN, он был настроен предыдущим администратором, поэтому я не очень знаком с этим)

Как лучше настроить эти телефоны?

Я готов ко всему, даже к созданию нового VPN. Я также хотел бы тратить как можно меньше денег, поэтому совместное использование Интернета через вторую сетевую карту в Windows XP — это то, что я определенно рассматриваю.

Заранее спасибо.

IP-телефоны работают через vpn, но если клиенты являются программными клиентами vpn, лучше использовать софтфон.

Если у вас есть только инфраструктура TDM, переход на VOIP может ничего вам не дать.

Имейте в виду, что трудно устранять неполадки, когда что-то идет не так через Интернет или при домашнем подключении. Дрожание и задержка могут сделать VOIP через Интернет несчастным (так же, как кто-то, кто использует BitTorrent дома, или, как я устранил неполадки без ведома бизнес-пользователей, имеет ребенка, который использует BitTorrent).

Я предполагаю, что телефонная система поддерживает IP-телефоны?

О скольких домашних офисах мы сейчас говорим? В будущем?

Дешёвое решение, не усложняющее их сеть, может оказаться непростой задачей. Обычно я бы просто посоветовал получить Cisco ASA 5505 для каждого домашнего пользователя, настроить межсайтовую VPN между каждым пользователем и штаб-квартирой (всегда на VPN-соединении), использовать порт POE (питание через Ethernet) на Cisco ASA для питания. телефон и предоставить доступ к сети, но ваше требование низкой стоимости/бесплатности усложняет задачу. Вы можете выполнять межсайтовые подключения с помощью Windows XP VPN, но я не уверен, как вы сможете отключить от него свой IP-телефон, поскольку VPN — это виртуальный сетевой интерфейс.

Возможно, можно назначить IP-адрес вторичному сетевому адаптеру, находящемуся в том же сегменте сети, что и IP-адрес, полученный адаптером VPN от PIX 506E в штаб-квартире. Убедитесь, что дополнительный сетевой адаптер имеет тот же шлюз по умолчанию, что и адаптер VPN. Затем подключите IP-телефон к этому вторичному сетевому адаптеру. Я никогда не пробовал ничего подобного, поэтому кто-то с большим опытом должен дать мне знать, если я говорю из своей задницы - что, безусловно, возможно.

Я не думаю, что программные телефоны — это вариант, потому что начальник по какой-то причине хочет, чтобы у них был аппаратный телефон.

спасибо за комментарии, я попробую вторую сетевую карту сегодня вечером, чтобы увидеть, работает ли она, если нет, мне, вероятно, придется получить одобрение для ASA 5505, чтобы попробовать ее.

По моему опыту, VoIP для удаленных пользователей домашнего офиса, которые подключаются через VPN, является серьезной проблемой, которая в конечном итоге не работает должным образом, и ее трудно устранить.

Прежде всего, вам придется столкнуться с попыткой вычислить X конфигураций на основе настроек вашего удаленного офиса пользователей. Они кабельные? DSL? какая у них общая пропускная способность? какой тип домашнего маршрутизатора/брандмауэра они используют? что они делают удаленно, что может повлиять на voip (не потребуется слишком много времени, чтобы голосовой аспект был прерван другим трафиком, чтобы удаленные пользователи были готовы отказаться от него как непригодного для использования)?

В настоящее время мы используем систему VoIP, которая работает примерно для 50 % удаленных сотрудников. Я один из них, и все, что я могу делать со своим телефоном, это звонить и принимать звонки. Моя система не распознает ввод для установки каких-либо кодов доступа, ввода кодов доступа (читай: нужно проверять голосовую почту через веб-интерфейс), подключения к конференц-мостам и т. д. Как ни странно, у нас есть два удаленных использования в одном регионе, с одним и тем же провайдером и тот же домашний роутер с соответствующими настройками; работает для одного, а не для другого.

До этого перехода удаленные пользователи были настроены с помощью Vonage и при регистрации получали дополнительную возможность для дополнительного номера в диапазоне, который был указан как локальный в системе штаб-квартиры. По сути, у меня будет номер, назначенный Vonage для моего региона, плюс дополнительный номер для моего региона штаб-квартиры. Я не слышал ни одной жалобы на эту установку.

VoIP через VPN

Многие домашние работники используют VPN для подключения к своим бизнес-ресурсам. VPN (виртуальная частная сеть) — это защищенное сетевое соединение, использующее протоколы для шифрования информации перед ее отправкой. Используя общедоступную инфраструктуру, такую ​​как Интернет, они могут предоставить удаленным офисам или отдельным пользователям безопасный доступ к сети своей организации. Данные шифруются на стороне отправки и расшифровываются на стороне получателя. Типичные небольшие VPN-маршрутизаторы могут поддерживать различные протоколы VPN, такие как IPSec, PPTP и PPPoE Passthrough.

Хотя обеспечить безопасность удаленного доступа к ресурсам данных важно, защита телефонных соединений может быть не так важна. Соединения VoIP через соединение VPN иногда выполняются для ограничения проблем с NAT, поскольку домашний офис становится расширением локальной сети предприятия. Этот тип сценария более типичен для IP-АТС, таких как сервер Asterisk или как показано ниже Shoretel. Если сотрудники домашнего офиса подключаются к размещенному провайдеру VoIP, их VPN обратно в офис, вероятно, не будет туннелировать голос, который будет подключаться через их домашний маршрутизатор напрямую к VoISP через Интернет.

IP-АТС, подключенная через VPN от удаленного работника (Shoretel PBX).

Схема IP-АТС ShoreTel с удаленным VPN-подключением.

Использование полосы пропускания для соединения VoIP через VPN.

С помощью сжатого кодека G729 можно рассчитать следующий размер пакета:

Голосовая полезная нагрузка (G.729)
20 байт

Заголовок RTP
12 байт

Заголовок UDP
8 байт

IP-заголовок
20 байт

Заголовок VPN
от 20 до 60 байт

Новый заголовок IP
20 байт

160 байт * 8 = 1280 бит

Общая пропускная способность = 1280 бит / 20 мс

Общая пропускная способность = 64 000 бит/с*

Для несжатого кодека G711 общая пропускная способность будет больше. Например, скорость передачи данных уровня 3 для вызова G.711 (50 пакетов в секунду) составляет 80 кбит/с. Шифрование этого пакета с использованием режима туннеля IPSec для IP GRE увеличивает эту скорость примерно до 112 Кбит/с в каждом направлении. Эти требования к пропускной способности потребуются как для входящего, так и для исходящего голосового потока (поэтому в два раза больше). В качестве дополнительных соображений возможности ЦП маршрутизатора будут основываться на количестве пакетов в секунду, а не на размере пакета, который является ограничивающим фактором производительности маршрутизатора.

*Эти требования к полосе пропускания потребуются как для входящего, так и для исходящего голосового потока (поэтому вдвое больше).

Навигация по сайту
  • О нас
  • Что такое VoIP?
  • Глоссарий
  • Планирование VoIP
  • Планирование — 3 S
  • Возможности – Жилой сервис
  • 10 вопросов поставщику услуг
  • Как избежать 5 распространенных ошибок
  • VoIP через VPN
    • информация
    • G729 — 64 КБ для входящих и исходящих запросов.
    • G711 – 112 КБ для входящих и исходящих запросов.

    Несмотря на то, что протоколы VPN различаются и влияют на пропускную способность, приведенные выше цифры могут дать точную оценку требований, предъявляемых при поддержке одного или нескольких удаленных сотрудников, звонящих на офисную АТС через свою VPN.

    Размещенное решение VoIP

    Другие варианты для удаленных сотрудников включают решение типа Centrex или Hosted VoIP. Рабочие будут подключаться напрямую к размещенному серверу провайдеров VoIP через подключение к своему интернет-провайдеру, который будет направлять вызовы непосредственно в PSTN. Это снижает использование полосы пропускания в главном офисе. Виртуальные частные сети будут передавать только данные, а не голос. Входящие вызовы будут направляться непосредственно сотруднику удаленного офиса либо по номеру оператора, либо по прямому номеру.

    Мы надеемся, что наш сайт будет вам полезен, и с его помощью вы получите важную информацию, которая поможет улучшить ваши VoIP-соединения.

    avvoip-Remote-Office-Connection-without-VPN-V1-2

    Подключение к удаленному офису без VPN

    Рис. 1. Локальные сети VoIP филиала и штаб-квартиры, соединенные через Интернет

    Стоимость обслуживания выделенных телефонных соединений между филиалами и головным офисом может быть значительной. Каждому филиалу требуется выделенное многоканальное голосовое соединение с главным офисом, обычно T1 или T3. Также может потребоваться соединение между каждым филиалом.

    Если все ветви должны быть соединены между собой, требуется все большее количество соединений. Например, для одного филиала (два местоположения) требуется одно подключение, для двух филиалов требуется три подключения, а для девяти филиалов (10 местоположений) требуется 45 подключений.

    Центрально расположенный кластер IP-PBX может управлять всеми функциями голосовой почты и телефонной связи для головного офиса и всех филиалов. Связь между каждым филиалом и центральной IP-АТС осуществляется через Интернет. Ограниченное количество локальных подключений к ТСОП может быть сохранено для обеспечения непрерывности бизнеса в случае сбоя подключения к Интернету.

    Проблема расширения системы VoIP через Интернет между филиалами и штаб-квартирой заключается в обеспечении безопасности сети и конфиденциальности разговоров. Одним из способов достижения этих функций безопасности является защита внутриофисных коммуникаций с помощью VPN. Однако для этого требуется одна учетная запись VPN на магистраль, что требует мощных серверов VPN, когда задействовано большое количество местоположений. VPN-подключения увеличивают нагрузку на интернет-соединение, которое потребляет пропускную способность. Для получения полнофункциональной и эффективной системы VoIP могут потребоваться обновления и дополнительная настройка маршрутизаторов, брандмауэров и других сетевых компонентов. Настройка VPN для системы VoIP может быть утомительной и может потребовать специальной настройки для каждого пользователя.

    Альтернативой использованию VPN для защиты системы VoIP между офисами является развертывание SBC для соединения локальных сетей VoIP через Интернет. SBC устанавливаются на границе каждой локальной сети и работают прозрачно, без необходимости настраивать оборудование отдельных лиц. Для этого требуются менее мощные серверы и гораздо меньше настроек и управления по сравнению с VPN. SBC защищает сеть от угроз безопасности и может предлагать шифрование голоса, повышая уровень конфиденциальности голоса.

    Межсетевые экраны и преобразование сетевых адресов (NAT) препятствуют потоку трафика VoIP между корпоративной сетью и магистралями SIP. SBC — лучший способ решить эти проблемы, связанные с передачей данных по сети, поскольку он позволяет трафику VoIP проходить между корпоративной локальной сетью и Интернетом, не раскрывая корпоративную сеть через открытие портов в брандмауэре.

    Несмотря на то, что SIP является стандартом, множество способов его реализации могут привести к несовместимости между устройствами SIP, такими как телефонные трубки различных поставщиков, IP-АТС и провайдером магистрали SIP. SBC нормализует SIP, прозрачно переводя каждую разновидность SIP в соответствующий формат для каждого устройства.

    Использование SBC для управления внутриофисными голосовыми соединениями предлагает надежное решение с меньшими затратами на оборудование и с меньшим нарушением работы сети и пользователей, чем использование VPN для достижения той же цели.

    Для типичной установки малого и среднего бизнеса Sangoma eSBC имеет достаточную мощность для обработки нагрузки вызовов. Для больших объемов вызовов может подойти NetBorder SBC операторского класса Sangoma.

    В случаях, когда SIP-транки установлены для внешних телефонных соединений, каждый офис может напрямую подключаться к PSTN с помощью VoIP-шлюза, такого как серия Sangoma Vega.

    Лучшая защита VoIP У вас есть устаревшая телефонная система, такая как УАТС TDM, и вы думаете о добавлении подключения для передачи голоса по IP, чтобы сократить расходы на телефонию? Что ж, если это так, не совершайте самую распространенную ошибку, используя себя как сетевой брандмауэр для голосовой безопасности — вам нужно, чтобы устройство вызывало [...]

    avvoipVega400_SBC_2

    Vega Enterprise SBC для малого бизнеса: ваш брандмауэр для сетей VoIP. Поддерживает от 5 до 60 одновременных сеансов/вызовов. Безопасный переход на SIP-транкинг или размещенную АТС. Расширение возможностей удаленных сотрудников. ®, Cisco®, Denwa®, Elastix®, FreePBX®, FreeSWITCH®, Gamma®, Lync®, Samsung®, 3CX® и др. Защита от DoS/DDoS-атак Межсетевое соединение […]

    avvoipVega400_SBC_2

    NetBorder Carrier SBC

    NetBorder Carrier SBC: безопасность и функциональная совместимость операторского класса От 250 до 4000 сеансов с возможностью обновления на месте Разрешить безопасное подключение любой конечной точки SIP CPE без проблем с взаимодействием Объединить острова VoIP для создания инфраструктуры «полностью IP» Посредничать при обмене данными с другими поставщиками услуг Обеспечивает безопасность для внутренних и внешних угроз Доступен блок питания с двойным резервированием — постоянного и переменного тока […]

    avvoipVega400_SBC_2

    Vega Enterprise SBC VM/гибрид

    Vega Enterprise SBC VM/Hybrid: гибкость, избыточность и надежность решения, готового к работе с виртуальными машинами, с масштабируемостью аппаратного решения. Поддержка от 25 до 500 одновременных сеансов. QOS для корпоративных сетей Защита от DoS/DDoS-атак Точка подключения к сети для SIP-транкинга Топология Скрытие для защиты от мошенничества УНИКАЛЬНЫЕ ГИБРИДНЫЕ ФУНКЦИИ […]

    Vega Enterprise SBC VM/программное обеспечение

    Виртуальная машина для защиты VoIP в лучшем виде По мере роста спроса на виртуализированные инфраструктуры SBC Sangoma Enterprise Virtual Machine (VM) является идеальным решением для предприятий и операторов связи, которым требуется SBC для защиты своей сети VoIP и использования существующего оборудования. Редакция Virtual Machine нашего отмеченного наградами SBC предлагает те же […]

    avvoipVega400_SBC_2

    Vega Enterprise SBC

    Vega Enterprise SBC: безопасность и функциональная совместимость для предприятия Масштабируемость от 25 до 250 сеансов/вызовов (с возможностью обновления на месте) Устройство «все в одном» для соединений SIP и TDM Инструменты визуализации трафика Экономичное лицензирование на основе сеансов (без скрытых платежей) ) Пограничный контроль корпоративных межсайтовых сетей и SIP-транкингов Локальное управление безопасностью для малого и среднего бизнеса Аппаратное транскодирование Квалифицировано для Microsoft® Lync® и Skype for Business® […]

    Читайте также: