Comments 67
UFO just landed and posted this here
Я уже как пару лет не использую домашний телефон, на сотовой подключен городской, в семье все телефоны на одном договоре, так что использовать в домашних условиях не стал.
а что мешало взять готовый дистр? Ещё однастаться как я научился ставить их исходников что-то?
Готовый на основе CentOS, я в начале статьи указал причины выбора дистрибутива.
и чем же управляемый через web asterisk на centos, будет отличаться от управляемого через web asterisk на ubuntu? и если всё же придерживаетесь unbuntu, то лучше подготовить deb пакет, а не компилировать на сервере. И статья как подготовить deb пакет с asterisk, была бы полезнее на хабре, чем ваша, слизанная непойми откуда статья.
На самом деле не отличается, ставил и на том и том. Теперь объясню почему не стал делать deb пакет. Настройку я делаю 1 раз, больше мне и не нужно, сам сервер стоит на ESXi и из готовой системы я делаю образ, на тот случай если понадобиться развернуть где то ещё. Мне проще внести в копию минимум изменение за место того, чтобы разворачивать с 0 систему.
несколько дней назад настраивал FreePBX 14, но с их родного дистрибутива. оказалось что mysql-connector-odbc, поставляемый с CentOS 7 имеет проблемы с кириллицей, поэтому проверьте отчеты CDR — русский должен быть читаемым.
для меня все счастливо закончилось установкой mariadb-connector-odbc, для убунты нет подобного пакета?
для меня все счастливо закончилось установкой mariadb-connector-odbc, для убунты нет подобного пакета?
Копипаста с оригинала (voxlink). Даже ошибки инсталляции те же.
Mysql 5.7 отлично работает с freepbx — просто надо внести одну строчку в настройку.
Не ставьте — libpri ( все мануалы под копирку с установкой, а зачем? что у всех есть железка для работы с ней ?)
Зачем lame из сорцов? Все ставиться из пакетов.
Jansson — тоже на ubunte 16 ставится с пакетов — там свежая версия.
pjproject — уже давно 2.6 версии.
и не в одном из мануалов нету установки npm — а он нужен.
Зачем ставите nodejs не из пакета мне тоже не понятно.
Mysql 5.7 отлично работает с freepbx — просто надо внести одну строчку в настройку.
Не ставьте — libpri ( все мануалы под копирку с установкой, а зачем? что у всех есть железка для работы с ней ?)
Зачем lame из сорцов? Все ставиться из пакетов.
Jansson — тоже на ubunte 16 ставится с пакетов — там свежая версия.
pjproject — уже давно 2.6 версии.
и не в одном из мануалов нету установки npm — а он нужен.
Зачем ставите nodejs не из пакета мне тоже не понятно.
Давай по порядку.
Оригинал voxlink в глаза не видел, все ресурсы откуда брал инфу могу привести;
Про строчку в Mysql я тоже знаю, мне как то MariaDB роднее;
Что касается libpri, я написал что часть текста с wiki.freepbx.org/display/FOP/Installing+FreePBX+14+on+Debian+8.8;
По поводу lame, был прецедент когда он не корректно работал;
Jansson и pjproject ставил из рекомендация FreePBX не более, за новыми не гонюсь;
npm ставиться вместе с nodejs, и если внимательно прочесть про установку nodejs то он ставиться из пакетов, скрипт добавляет репозиторий в систему.
Оригинал voxlink в глаза не видел, все ресурсы откуда брал инфу могу привести;
Про строчку в Mysql я тоже знаю, мне как то MariaDB роднее;
Что касается libpri, я написал что часть текста с wiki.freepbx.org/display/FOP/Installing+FreePBX+14+on+Debian+8.8;
По поводу lame, был прецедент когда он не корректно работал;
Jansson и pjproject ставил из рекомендация FreePBX не более, за новыми не гонюсь;
npm ставиться вместе с nodejs, и если внимательно прочесть про установку nodejs то он ставиться из пакетов, скрипт добавляет репозиторий в систему.
Поймите правильно. Хабр это место откуда народ берет знания. И я уверен через месяц всплывет админ который по этому мануалу начнет ставить. Уверенный в своей правоте.
Лучший вариант этой бы статьи выглядел как — вот оригинал от voxlink а вот следующие правки и дополнения. Расписали бы установку правильно, без сторонних пакетов. Показали как установить как дополнение к оригиналу — установку phpmyadmin. Показали установку и настройку iptables и fail2ban. Вот это было бы интерестно.
Правьте статью пока не поздно или делайте вторую часть
Лучший вариант этой бы статьи выглядел как — вот оригинал от voxlink а вот следующие правки и дополнения. Расписали бы установку правильно, без сторонних пакетов. Показали как установить как дополнение к оригиналу — установку phpmyadmin. Показали установку и настройку iptables и fail2ban. Вот это было бы интерестно.
Правьте статью пока не поздно или делайте вторую часть
Я бы не стал всё тут писать, если бы не провел боевые испытания, до момента когда у меня всё заработало я раз 5 с 0 ставил систему и настраивал, пока все на заработало как мне нужно, сейчас сервер стоит и функционирует и все было произведено точно с описанием, фактически большая часть команд это вывод .bash_history. Зашел на voxlink и видел статьи, но они все про FreePBX13, моя цель была выложить для 14 версии. По поводу phpmyadmin, у меня нет необходимости его ставить, по поводу пакетов я тоже писал, я за основу брал инструкции самого FreePBX.
По phpmyadmin могу написать, но дело в том, что он у меня на другом хосте висит, вместе с монитором на основе observium, подключается он под другим юзером с правами на подключения с определенного IP
А разве pjproject не компилится вместе с астером? Ключ --with-pjproject wiki.asterisk.org/wiki/display/AST/PJSIP-pjproject
корпоративный стандарт — ubuntu? Из серии: стандарт танкостроения — завод АвтоВАЗ. Работа ради работы. устанавливать всё это вручную на ОС, для которой никто даже мануалов не удосужился написать, такая она корпоративная.
Мануалы в процессе создания, часть их я пишу, часть другие люди. При этом готовые системы сохраняются как рабочие примеры, чтобы потом не мучатся.
Думаю под «корпоративным стандартом» автор имел ввиду, что у него в компании все айтишники договорились использовать один дистрибутив. Это достаточно разумное решение, если в компании есть\планируется разделение труда и делегирование обязанностей.
Вряд ли тут имелось ввиду сравнение Ubuntu с Redhat или Oracle Linux.
Разумность исключения из правил это другой вопрос, который тоже не лишне себе иногда задавать.
Вряд ли тут имелось ввиду сравнение Ubuntu с Redhat или Oracle Linux.
Разумность исключения из правил это другой вопрос, который тоже не лишне себе иногда задавать.
Вы совершенно правы, разделение и делегирование в компании есть. Enterprise решения не брали, так как поставлена цель максимальной экономии на ПО.
Эммммм… все равно не понимаю. нет речи о enterprise решениях. sangoma и freepbx выпускают замечательный дистрибутив с преднастроенным этим всем. не могу понять, зачем это переподнимать всё на том, на чем разработчики не посчитали нужным. как этот самый «один выбранный дистрибутив» тут погоду сделает? сервер телефонии работает из коробки, какая разница на deb или rpm linux? если бы вы сказали мне, что собираетесь на ту же ос, где ,pbx установлен ещё 100500 пакетов установить из собственного deb репозитория, тогда тут ещё можно подумать… можно подумать, что вы не знакомы с виртуализацией… а так… вы говорите о какой-то экономии на ПО, игнорируя готовые БЕСПЛАТНЫЕ решения от разработчиков, потом (выше в комментариях) жалуетесь, что 5 раз всё переподнимали, устали… пока все не заработало.))) сэкономьте ещё человеческие ресурсы (своё время), заодно и время тех, кто начитается этого и пойдёт такой же билебердой заниматься, ради призрачной цели прийти к одному дистрибутиву, который вообще лучше не использовать в корпоративных целях.
Расскажите, пожалуйста, какими SIP-клиентами пользуетесь? Я так и не смог найти нормально работающего бесплатного клиента. В основном жаловались, что меня плохо слышно и слышат сами себя.
Поддерживаю, тоже прошелся по этим граблям, расскажите о своих.
Bria (платная, огромный набор параметров, но нет чата и видео, кажется)
Zoiper очень не плох! (достаточно настроек, чат и видео есть)
Linphone (крайний вариант, есть часто воспроизводимые косяки, не в пример десктопной версии)
* — я купил для того, что бы провести тесты на разных клиентах нашего коммутатора. Проверял я не только очевидный факт работы, но и сигнальный обмен между UAC/UAS.
Кстати на десктопе (ну как, на ноуте) я использовал приложение telephone. Были мелкие нюансы, но я их разработчику отправлял и мы пообщались. После уже не проверял (да и вот так без поднятия переписки даже не припомню что там было, но что то с процедурой завершения вызова)… В общем на Bria, zoiper и telephone я проходил испытания СОРМ в качестве клиентов (главное куратора ФСБ не смущать этой информацией ;)
Всё под яблочные девайсы (linphone под все платформы есть).
Zoiper очень не плох! (достаточно настроек, чат и видео есть)
Linphone (крайний вариант, есть часто воспроизводимые косяки, не в пример десктопной версии)
* — я купил для того, что бы провести тесты на разных клиентах нашего коммутатора. Проверял я не только очевидный факт работы, но и сигнальный обмен между UAC/UAS.
Кстати на десктопе (ну как, на ноуте) я использовал приложение telephone. Были мелкие нюансы, но я их разработчику отправлял и мы пообщались. После уже не проверял (да и вот так без поднятия переписки даже не припомню что там было, но что то с процедурой завершения вызова)… В общем на Bria, zoiper и telephone я проходил испытания СОРМ в качестве клиентов (главное куратора ФСБ не смущать этой информацией ;)
Всё под яблочные девайсы (linphone под все платформы есть).
Из наверное всех ранее опробованных бесплатных вариантов более менее нормально работал Zoiper, но на нём тоже иногда жаловались, что слышат сами себя, а ещё у него был косяк с переподключением. Сервер у нас наружу не вылазит, чтобы попасть в сеть на телефоне стоял OpenVPN, так вот когда происходило переподключение сети (потерял Wi-Fi и переключился на мобильный интернет) Zoiper впадал в ступор и не хотел подключаться. Надо будет ещё раз попробовать, может пофиксили этот баг.
На ноуте использую PhonerLite. Она потребляет меньше ресурсов, чем остальные монстры. Правда она может только звонить, но мне другого и не надо.
На ноуте использую PhonerLite. Она потребляет меньше ресурсов, чем остальные монстры. Правда она может только звонить, но мне другого и не надо.
Используем Zoiper, нареканий нет.
Мобильные — Zoiper.
ПК — Linphone (обход NAT через uPnP).
Сервер за NAT. Транспорт TLS + certbot с запретом direct_media. Кодек — alaw/ulaw. При замене кодека на другой с большим битрейтом при 3G может появляться эхо.
ПК — Linphone (обход NAT через uPnP).
Сервер за NAT. Транспорт TLS + certbot с запретом direct_media. Кодек — alaw/ulaw. При замене кодека на другой с большим битрейтом при 3G может появляться эхо.
Компиляция из исходников на пакетном дистрибутиве? Не православно!
Не все что есть в пакетах собрано должным образом, иногда проще собрать под конкретные нужды.
Никто и не говорил, что надо пользоваться только стандартными пакетами. Я то же собираю разное По под свои задачи (а некоторого в пакетах и вовсе нет), но делаю это на отдельной машинке и кладу в собственный репозиторий готовый пакет, а уже из него разворачиваю на сервер — это тру вэй для пакетных дистрибутивов. И именно так правильно делать, если у вас за стандарт принят пакетный дистрибутив.
Не согласен, Linux свободная система и мне решать как я её буду использовать. Если проводить аналогию, то не правильно на FreeBSD использовать готовые бинарные пакеты, всё нужно собирать в ручную.
Решать конечно же вам, но в отрасли есть собственные нормы, и если вы придёте в серьёзную компанию и начнёте там на продуктивных серверах ПО собирать из исходников, думаю ататашечки вы получите. Нужно приучать себя к хорошему с детства, а не говорить «мне решать, ведь так можно».
Вообще я согласен, по хорошему так и нужно, особенно если продавать решения, в компании есть машина для сборки пакетов, так же есть свой репозиторий. Я же описал стандартный путь решения задачи. Если у читателей появиться большой интерес к решению в 1 строчку с предварительно подготовкой всех пакетов, написать её не составит труда. Если будет спрос предложение я обеспечу.
Хочется верить, что с приходом такого большого количества инструментов для оркестрации и контейнеризации количество подобных статей сократится, и они переедут в Docker Hub, Ansible Galaxy и пр.
Какова экономика всего мероприятия? А то тут только мануал для копипаста и никакого, даже лайтового, ТЗ не указано.
На сколько абонентов рассчитано?
Каковые выделенные мощности VM?
Есть ли QoS и DSCP?
Какие средства защиты и их логику используете?
Хотя бы из этих деталей будет понятно, что для вас значит «небольшая компания», сколько вы на это потратили ресурсов (челочас, денег на вычислительные мощности, отсюда и затраты на энергию), позаботились ли о качестве этого сервиса…
Что же касается учтённой безопасности… Что будет с вашим сервером, если «я вас вычислю по IP» и начну флудить инвайтами или register сообщениями? 10мб/с хватит, что бы ваш сервер уделил мне всё внимание, так как оно мне больше нужно и ваши абоненты получили удлинённые тайминги обработки их сообщений, полный развал dtmf, да и вероятно большинства сессий, если не из-за таймеров, то по инициативе самих абонентов.
Про SBC что нибудь слышали? Штуки в аппаратном исполнение дорогие, но вот вам идея для _хорошей_ статьи — вынесите внешнюю регистрацию на прокси сервер, которую уже с голым задом и fail2ban выставляйте в Сеть. Настройте там контроль доступа, сообщения о подозрительном трафике (в том числе и register сообщений, которые без auth информации не дадут повода сгенерировать ошибку в лог)…
Но я бы выбрал VPN, раз у вас все абоненты — корпоративные и внутренние.
На сколько абонентов рассчитано?
Каковые выделенные мощности VM?
Есть ли QoS и DSCP?
Какие средства защиты и их логику используете?
Хотя бы из этих деталей будет понятно, что для вас значит «небольшая компания», сколько вы на это потратили ресурсов (челочас, денег на вычислительные мощности, отсюда и затраты на энергию), позаботились ли о качестве этого сервиса…
Что же касается учтённой безопасности… Что будет с вашим сервером, если «я вас вычислю по IP» и начну флудить инвайтами или register сообщениями? 10мб/с хватит, что бы ваш сервер уделил мне всё внимание, так как оно мне больше нужно и ваши абоненты получили удлинённые тайминги обработки их сообщений, полный развал dtmf, да и вероятно большинства сессий, если не из-за таймеров, то по инициативе самих абонентов.
Про SBC что нибудь слышали? Штуки в аппаратном исполнение дорогие, но вот вам идея для _хорошей_ статьи — вынесите внешнюю регистрацию на прокси сервер, которую уже с голым задом и fail2ban выставляйте в Сеть. Настройте там контроль доступа, сообщения о подозрительном трафике (в том числе и register сообщений, которые без auth информации не дадут повода сгенерировать ошибку в лог)…
Но я бы выбрал VPN, раз у вас все абоненты — корпоративные и внутренние.
Отвечаю на вопросы(на текущий момент):
15 абонентов, рост планируется;
У VM 1Гб памяти, 128 Гб диск, 3 Ггц;
QoS и DSCP в процессе реализации;
Сам сервер находиться в DMZ зоне сети, доступ только к определенным портам, дефолтные порты изменены;
Сервер ESXi Dell PowerEdge R230 1xE3-1220v6 2×16Gb 2RUD x4 3×1Tb 7.2K 3.5";
Вычислять по IP не имеет смысла, сам сервер за NAT и порты для подключения, как я уже писал, изменены;
Интернет в 60мб/с, прокси с фаерволом и nginx прокси выведен в сеть, правда без голого зада))
Для доступа из вне сотрудникам предоставлен OpenVPN с авторизацией через сертификат и lDAP.
15 абонентов, рост планируется;
У VM 1Гб памяти, 128 Гб диск, 3 Ггц;
QoS и DSCP в процессе реализации;
Сам сервер находиться в DMZ зоне сети, доступ только к определенным портам, дефолтные порты изменены;
Сервер ESXi Dell PowerEdge R230 1xE3-1220v6 2×16Gb 2RUD x4 3×1Tb 7.2K 3.5";
Вычислять по IP не имеет смысла, сам сервер за NAT и порты для подключения, как я уже писал, изменены;
Интернет в 60мб/с, прокси с фаерволом и nginx прокси выведен в сеть, правда без голого зада))
Для доступа из вне сотрудникам предоставлен OpenVPN с авторизацией через сертификат и lDAP.
Ресурсов сервера виртуализации, хранилища снапшотов VM и собственного времени не жалко под то, что можно было бы заменить аппаратным решением за 16к рублей?
И мне думается, что такое решение было бы гораздо надёжнее и дешевле в эксплуатации, нежели содержать ещё один сервер.
Почему вы открыли доступ из внешних сетей к вашей телефонной станции, если у вас есть VPN и сотрудники и так и так его используют? Не знаю конечно, чем вы занимаетесь и могут ли у вас быть конкуренты, не доброжелатели, интересующиеся вашей коммерческой информацией… но вашу телефонию завалить ничего не стоит. И дело тут не в том, что вашей пропускной способности не хватит, а в том, что обработка sip сообщений довольно трудоёмкий процесс и у всех телефонных коммутаторов подобного типа надо смотреть на параметр, который показывает количество одновременных инвайтов (грубо говоря), которое он может обработать. Цифра обычно не большая. Например у коробочки выше, это 15. Обычно это нужно для понимания, вывезет ли железка штатную нагрузку. Но если пойдёт речь о не штатной нагрузке, то ни одна железка не вывезет столько, сколько способно пролезть через ваш канал связи. Зафлудить телефонную SIP станцию ума вообще никакого не надо, ибо инструментов полно.
А ваши изменённые порты не так уж и сложно просканировать, отправив инвайт на каждый из портов и получив от вашего астериска запрос на авторизацию. Мне кажется вы никак не настраивали поведение вашего UAS :)
В общем совет: делайте sip прокси для авторизации или, что лучше, пусть все лезут через VPN, раз уж он и так есть. Чем меньше сервисов смотрит наружу, тем лучше.
И мне думается, что такое решение было бы гораздо надёжнее и дешевле в эксплуатации, нежели содержать ещё один сервер.
Почему вы открыли доступ из внешних сетей к вашей телефонной станции, если у вас есть VPN и сотрудники и так и так его используют? Не знаю конечно, чем вы занимаетесь и могут ли у вас быть конкуренты, не доброжелатели, интересующиеся вашей коммерческой информацией… но вашу телефонию завалить ничего не стоит. И дело тут не в том, что вашей пропускной способности не хватит, а в том, что обработка sip сообщений довольно трудоёмкий процесс и у всех телефонных коммутаторов подобного типа надо смотреть на параметр, который показывает количество одновременных инвайтов (грубо говоря), которое он может обработать. Цифра обычно не большая. Например у коробочки выше, это 15. Обычно это нужно для понимания, вывезет ли железка штатную нагрузку. Но если пойдёт речь о не штатной нагрузке, то ни одна железка не вывезет столько, сколько способно пролезть через ваш канал связи. Зафлудить телефонную SIP станцию ума вообще никакого не надо, ибо инструментов полно.
А ваши изменённые порты не так уж и сложно просканировать, отправив инвайт на каждый из портов и получив от вашего астериска запрос на авторизацию. Мне кажется вы никак не настраивали поведение вашего UAS :)
В общем совет: делайте sip прокси для авторизации или, что лучше, пусть все лезут через VPN, раз уж он и так есть. Чем меньше сервисов смотрит наружу, тем лучше.
Если бы требовалось использовать аналоговые линии, то вопрос бы не встал, железное решении тут выигрывает, у нас только SIP. К тому же на сервере были не востребованные ресурсы. Сейчас идет процесс настройки fail2ban + скрипт обработки логов для блокировки сканирования портов, после испытания выложу. Про sip прокси спасибо, займусь этим вопросом
И еще одна причина выбора системы на сервер, совсем про неё забыл, наша система учета плотно связана с телефонией, требовалось выполнение linux команд в OS где стоит FreePBX. Передача в реальном времени команд в базу для CRM, вызова карточек клиентов и т.д.
Можно не удалять php 7.x из системы, достаточно настроить alternatives и отключить mod_php7 в apache.
А по факту гораздо быстрее скачать готовый дистр на CentOS, потратить минут 15 на настройку внутренних номеров и транков.
А по факту гораздо быстрее скачать готовый дистр на CentOS, потратить минут 15 на настройку внутренних номеров и транков.
Если бы стояла только задача развернуть чисто FreePBX, так бы и поступил, по мимо прочего система введена в домен Samba4 и настроен sudo для авторизации пользователей определенных групп. Так же намного проще когда все дистрибутивы одного семейства, проще администрировать и следить за ними.
Для меня php 7.x в данной системе просто занимает место, на этом сервере он просто не нужен.
А почему Asterisk, а не FreeSWITCH?
А где-же настройка абонентов, создание УЗ роутинг и ДВО. Настраивали через web или через консоль?
Бегите с Freepbx, это штука столько раз взламывалась что просто страх божий
Она не открыва во вне, доступ к консолям только с внутренней сети не более.
Зачем тогда веб интерфейс нужен ?, ведь его предназначение доступ из вне.
Вы ошибаетесь, он нужен для более удобной настройки VoIP сервера, доступ к нему имеют пользователи внутри сети, например для голосовой почты. Так же через VPN имеют доступ администраторы. Не один из моих знакомых не выставляет подобное в общую сеть.
Для того, чтобы зайти и настроить\мониторить с любого устройства, на котором есть браузер и доступ на веб-морду
А еще не подскажите, что поставить или может уже стоит, голосовое меню, типа DISA у Панаса.
А почему FreePBX14 не поддерживает mysql? Все встало и работает.
Sign up to leave a comment.
Сервер VoIP для небольшой компании (FreePBX 14, Asterisk 15, Ubuntu 16.04) часть 1