Комментарии: Вопросы безопасности при использовании маршрутизаторов Cisco для VOIP http://aoz.com.ua/2009/11/27/cisco_voice_security/ Это скромная попытка поделится с миром жизненным опытом Tue, 14 Feb 2012 12:31:39 +0000 hourly 1 http://wordpress.org/?v=3.3.2 Автор: Aleksandr http://aoz.com.ua/2009/11/27/cisco_voice_security/comment-page-1/#comment-4480 Aleksandr Wed, 05 Oct 2011 13:10:41 +0000 http://aoz.com.ua/?p=333#comment-4480 У конкурентов? ) Я надеялся на этику сетевых админов, которые помогают друг-другу ) У конкурентов? )
Я надеялся на этику сетевых админов, которые помогают друг-другу )

]]> Автор: aoz http://aoz.com.ua/2009/11/27/cisco_voice_security/comment-page-1/#comment-4479 aoz Wed, 05 Oct 2011 11:20:21 +0000 http://aoz.com.ua/?p=333#comment-4479 Это вряд ли. Во первых из корпоративной этики, вы у конкурентов взяли поток, а я должен еще на них работать. Во вторых Call Manager не знаю настолько хорошо, чтобы так с лету без логов и прочего дать совет. У меня висят клиенты с кошками работают. Кому-то помагал, кто-то сам разбирался. Это вряд ли.
Во первых из корпоративной этики, вы у конкурентов взяли поток, а я должен еще на них работать.
Во вторых Call Manager не знаю настолько хорошо, чтобы так с лету без логов и прочего дать совет.
У меня висят клиенты с кошками работают. Кому-то помагал, кто-то сам разбирался.

]]> Автор: Aleksandr http://aoz.com.ua/2009/11/27/cisco_voice_security/comment-page-1/#comment-4478 Aleksandr Wed, 05 Oct 2011 10:45:18 +0000 http://aoz.com.ua/?p=333#comment-4478 На нашу AS5350 приходят два потока от двух провайдеров, один (E1) h.323, другой по SIP. Номерация приходящая по E1 отрабатывается нормально, проигрываются IVR, рабтает переадресация, груповые вызовы ... А вот по SIP проблемы :( SIP могу приземлить только на один внутренний номер (у нас связка с CUCM 6.1), на IVR не работает, переадресация не работает (включается фоновая музыка и больше соединения не происходит)... Могу ли я расчитывать на ваши рекомендации и помощь?? Я прогуглил весь интернет и ответов, к сожалению, не нашел :( На нашу AS5350 приходят два потока от двух провайдеров, один (E1) h.323, другой по SIP. Номерация приходящая по E1 отрабатывается нормально, проигрываются IVR, рабтает переадресация, груповые вызовы … А вот по SIP проблемы :( SIP могу приземлить только на один внутренний номер (у нас связка с CUCM 6.1), на IVR не работает, переадресация не работает (включается фоновая музыка и больше соединения не происходит)… Могу ли я расчитывать на ваши рекомендации и помощь?? Я прогуглил весь интернет и ответов, к сожалению, не нашел :(

]]> Автор: Viktor http://aoz.com.ua/2009/11/27/cisco_voice_security/comment-page-1/#comment-1763 Viktor Fri, 05 Mar 2010 07:35:38 +0000 http://aoz.com.ua/?p=333#comment-1763 Хочу добавить еще одну рекомендацию. При установлении любого соединения циска ищет два dial-peer-а: один входящий, второй - исходящий. Причем, если подходящего входящего нет, то используется dial-peer по-умолчанию (0-й). Так вот рекомендую не полениться и прописать вмето дефолтного dial-peer-а что-нибудь вроде такого: voice translation-rule 1 rule 1 // /7777/ voice translation-profile Trash translate called 1 dial-peer voice 1 voip translation-profile incoming Trash incoming called-number .T dial-peer voice 2 voip preference 1 translation-profile incoming Trash incoming called-number .T session protocol sipv2 А для номеров, на которые вам действительно нужно принимать звонки (например 4181111), прописывать более точные dial-peer-ы: dial-peer voice 3 voip incoming called-number 4181111 Хочу добавить еще одну рекомендацию. При установлении любого соединения циска ищет два dial-peer-а: один входящий, второй — исходящий. Причем, если подходящего входящего нет, то используется dial-peer по-умолчанию (0-й).
Так вот рекомендую не полениться и прописать вмето дефолтного dial-peer-а что-нибудь вроде такого:

voice translation-rule 1
rule 1 // /7777/

voice translation-profile Trash
translate called 1

dial-peer voice 1 voip
translation-profile incoming Trash
incoming called-number .T

dial-peer voice 2 voip
preference 1
translation-profile incoming Trash
incoming called-number .T
session protocol sipv2

А для номеров, на которые вам действительно нужно принимать звонки (например 4181111), прописывать более точные dial-peer-ы:

dial-peer voice 3 voip
incoming called-number 4181111

]]> Автор: Viktor http://aoz.com.ua/2009/11/27/cisco_voice_security/comment-page-1/#comment-1762 Viktor Fri, 05 Mar 2010 07:27:02 +0000 http://aoz.com.ua/?p=333#comment-1762 Необходимо уточнить, что по-умолчанию функционал IP-to-IP шлюза на роутерах cisco отключен. И возможен вариант только PSTN(POTS)-to-IP (в обе стороны). Для включения IP2IP необходимо прописать команды: voice service voip allow-connections "протокол" to "протокол" Где "протокол" - это "h323" или "sip". В зависимости от платформы и версии прошивки, возможно до 4-х вариантов данной команды. Но даже если эти команды не прописаны, а порты udp/5060 и tcp/1720 открыты, то железку можно заDoSить из интернета, поскольку запросы она будет принимать и пытаться обработать. Необходимо уточнить, что по-умолчанию функционал IP-to-IP шлюза на роутерах cisco отключен. И возможен вариант только PSTN(POTS)-to-IP (в обе стороны).
Для включения IP2IP необходимо прописать команды:
voice service voip
allow-connections «протокол» to «протокол»
Где «протокол» — это «h323″ или «sip». В зависимости от платформы и версии прошивки, возможно до 4-х вариантов данной команды.
Но даже если эти команды не прописаны, а порты udp/5060 и tcp/1720 открыты, то железку можно заDoSить из интернета, поскольку запросы она будет принимать и пытаться обработать.

]]> Автор: aoz http://aoz.com.ua/2009/11/27/cisco_voice_security/comment-page-1/#comment-1759 aoz Thu, 04 Mar 2010 07:51:03 +0000 http://aoz.com.ua/?p=333#comment-1759 А где написано, что уходя из дому надо закрывать дверь на ключ А где написано, что уходя из дому надо закрывать дверь на ключ

]]> Автор: igor http://aoz.com.ua/2009/11/27/cisco_voice_security/comment-page-1/#comment-1755 igor Wed, 03 Mar 2010 15:24:52 +0000 http://aoz.com.ua/?p=333#comment-1755 А в каком документе Cisco это чётко написано? А в каком документе Cisco это чётко написано?

]]>