- SafeStream Gigabit Dual-WAN VPN Router
- High VPN Performance
- Abundant Security Features
- Optimizing Bandwidth Usage
- Safety Minded Enterprise Investments
- Настройка VPN маршрутизатора TP-Link TL-ER6020 для работы с 3CX Phone System
- Подготовка маршрутизатора
- Настройка маршрутизатора
- Подключение маршрутизатора к Интернет
- Отключение сервиса SIP ALG
- Публикация сервисов (проброс портов) через NAT
- Настройка сетевого экрана для повышения безопасности
- Тестирование настройки
- Заключение
- Дополнительная информация
- Гигабитный маршрутизатор VPN на базе технологии SafeStream™ с 2 портами WAN
SafeStream Gigabit Dual-WAN VPN Router
The TL-ER6020 SafeStream Gigabit Dual-WAN VPN Router from TP-LINK possesses excellent data processing capabilities and multiple powerful functions including IPsec/PPTP/L2TP VPN, Load Balance, Access Control, IM/P2P Blocking, DoS Defense, Bandwidth Control, Session Limit, PPPoE Server and so on, which consumedly meet the needs of small and medium enterprises, hotels and communities with large volumes of users demanding an efficient and easy-to-manage network with high security.
High VPN Performance
The TL-ER6020 supports multiple VPN protocols including IPsec, PPTP and L2TP in Client/Server mode and can handle pass-through traffic as well. It also features a built-in hardware-based VPN engine allowing the router to support and manage up to 50 LAN-to-LAN/Client-to-LAN IPsec VPN connections. Advanced VPN features include: DES/3DES/AES128/AES192/AES256 encryption, MD5/SHA1 authentication, Manual/IKE key management, and Main/Aggressive negotiation modes.
Abundant Security Features
For defense against external threats, TL-ER6020 features an automatic protection to detect and block Denial of service (DoS) attacks such as TCP/UDP/ICMP Flooding, TCP Scanning, Ping of Death and other related threats. Moreover, this router offers a hardware DMZ port, which allows you to setup public servers without exposing your internal network, to avoid attacks from external threats. For better management of the internal network, TL-ER6020 allows administrators to set rules to block specific web sites and IM/P2P applications with just one-click, and restrict staff to use specific services such as FTP, HTTP and SMTP.
Optimizing Bandwidth Usage
The TL-ER6020 features two WAN ports, allowing the router to satisfy various Internet access requirements through one device. The Intelligent Load Balancing function can distribute data streams according to the bandwidth proportion of every WAN port to raise the utilization rate of multi-line broadband. With IP-based Bandwidth Control and Session Limit functions, network administrators can flexibly manage network bandwidth to optimize bandwidth usage.
Safety Minded Enterprise Investments
Professional lightning protection technology is designed to prevent electrical surges from penetrating the interior of the electrical equipment and is discharged harmlessly into the Earth. This router is designed to prevent lightning up to 4Kv in the well-grounded connection conditions. This feature ensures that networking infrastructure investments remain as safe as possible from one of mother nature’s more violent situations.
Настройка VPN маршрутизатора TP-Link TL-ER6020 для работы с 3CX Phone System
Беспроводные маршрутизаторы компании TP-Link получили заслуженное признание, особенно у домашних пользователей и небольших компаний. Однако TP-Link производит также линейку мощных и довольно функциональных маршрутизаторов и точек доступа уровня предприятия. В частности, маршрутизатор бизнес класса TL-ER6020 при весьма доступной цене обладает рядом интересных возможностей:
- 2 гигабитных порта WAN с возможностью резервного переключения, 2 гигабитных порта LAN, 1 гигабитный порт LAN/DMZ и 1 консольный порт
- Поддержка нескольких протоколов VPN, включая серверы IPsec/PPTP/L2TP
- Поддержка до 50 IPsec VPN туннелей с помощью аппаратного VPN обработчика
- Расширенные функции защиты, включающие в себя инспекцию ARP-пакетов, защиту от DoS-атак, фильтрацию по URL и ключевому слову доменного имени, и контроль доступа
Подробное описание возможностей и настройки TL-ER6020 доступно здесь. В данной статье мы ограничимся описанием настройки маршрутизатора TP-Link TL-ER6020 для работы с 3CX Phone System.
Схема сети предусматривает расположение сервера 3CX на NAT маршрутизатора в сети 192.168.0.0 / 24. IP адрес маршрутизатора 192.168.0.1, а IP адрес сервера 3CX 192.168.0.2
Подготовка маршрутизатора
Прежде всего необходимо обновить прошивку TL-ER6020, поскольку, как оказалось, даже самая последняя прошивка с официального сайта TP-Link имеет ошибку, которая не позволяет отключать SIP ALG. Отключение SIP ALG критически необходимо для корректной работы различных SIP операторов с 3CX.
- Зайдите в интерфейс маршрутизатора по адресу 192.168.0.1 (адрес по умолчанию) с именем пользователя и паролем admin / admin
- Загрузите прошивку и обновите маршрутизатор
- После обновления рекомендуется сбросить устройство в настройки по умолчанию
Настройка маршрутизатора
- Подключение хотя бы одного WAN порта к сети Интернет
- Отключение сервиса SIP ALG
- Публикация сервисов (проброс портов) через NAT, необходимых для полноценной работы 3CX Phone System
- Дополнительная настройка сетевого экрана для повышения безопасности
- Тестирование правильности настройки TL-ER6020 входящим и исходящим SIP вызовом
Подключение маршрутизатора к Интернет
Подключение одного (или обоих) WAN портов к Интернет делается в разделе Network – WAN. В нижней части интерфейса можно проверить статус подключения. В данном примере используется подключение PPPoE.
Отключение сервиса SIP ALG
Отключите SIP ALG в разделе Advanced – NAT – ALG.
Публикация сервисов (проброс портов) через NAT
- 5060 TCP/UDP – SIP
- 5090 TCP/UDP – 3CX Tunnel
- 5000, 5001 (для веб сервера Abyss) или 80 и 443 (для сервера IIS) TCP – расширенное управление 3CXPhone и автонастройка IP телефонов
- 9000-9500 UDP – RTP и WebRTC медиапоток
После публикации всех сервисов, интерфейс должен иметь примерно такой вид.
Настройка сетевого экрана для повышения безопасности
Публикация сервисов так, как она реализована в TL-ER6020, вызывает справедливые опасения: мы открываем SIP порт 5060, который так любят хакеры, фактически, для всего мира. В интерфейсе публикации нет никакой возможности указать, для каких IP адресов следует открывать SIP порт сервера 3CX.
Наша настоятельная рекомендация: открывать порт 5060 только для SIP адресов операторов связи / SIP провайдеров, с которыми работает ваша система.
В нашем примере система работает с российским оператором Мегафон (услуга Мультифон) и украинским оператором Киевстар, при этом Мегафон использует разные IP адреса для SIP сервера и SIP прокси, а Киевстар – единственный SIP сервер.
Сперва определим сервисы / диапазоны портов, доступ к которым следует ограничить в разделе Firewall – Access Control – Service.
Здесь мы определили только SIP порт 5060 и RTP порты 9000-9255. Поскольку остальные сервисы 3CX должны быть доступны для любого IP адреса в Интернет и ограничивать к ним доступ нет необходимости.
В разделе Firewall – Access Control – Access Rules добавим правила сетевого экрана, разрешающие доступ к определенным сервисам 3CX только с определенных SIP адресов.
Также необходимо добавить одно общее запрещающее правило, ограничивающее доступ к указанным портам всем адресам Интернет. Обратите внимание – это правило должно стоять последним в списке. Окончательный список правил должен выглядеть таким образом.
Вторая часть списка с общим запрещающим правилом.
Тестирование настройки
Чтобы проверить правильность работы сетевого экрана сделайте исходящий и входящий вызовы. Вызов должен проходить успешно, слышимость должна быть двухсторонней и не должно происходить обрыва связи через 32 секунды.
Заключение
Настройка VPN маршрутизатора TP-Link TL-ER6020 для работы с 3CX Phone System – достаточно несложный процесс, однако требует учета некоторых особенностей, с которыми нам пришлось столкнуться. Также желательно иметь понятие об основных принципов работы VoIP технологий.
В этом руководстве мы не рассмотрели такую интересную возможность TL-ER6020, как резервирование WAN канала. Эта возможность позволяет обеспечить бесперебойную VoIP связь даже в случае “падения” основного интернет – подключения.
- Рекомендуется использовать SIP подключения с авторизацией по имени пользователя и паролю. В этом случае, при отключении основного интернет-канала, SIP подключение автоматически перерегистрируется через второго оператора.
- Если вы используете SIP линию с авторизацией по IP адресу (SIP транк), попросите оператора авторизовать IP адрес резервного интернет-подключения. После этого оператор сможет принимать и направлять вызовы через это подключение.
Дополнительная информация
- Используемые порты в 3CX Phone System
- Прохождение SIP и RTP трафика
- Рекомендации по настройке различных сетевых экранов для 3CX Phone System
- Форум технической поддержки TP-Link
- Утилита 3CX Remote Firewall Checker для обнаружения проблем с сетевыми экранами
Гигабитный маршрутизатор VPN на базе технологии SafeStream™ с 2 портами WAN
Гигабитный VPN маршрутизатор на базе технологии SafeStream™ TL-ER6020 предоставит вам большие возможности по обработке информации и широкий набор разнообразных функций, к которым относятся IPsec/PPTP/L2TP VPN, балансировка нагрузки, контроль доступа, IM/P2P блокировка, защита от DoS, контроль пропускной способности, лимит сессий, сервер PPPoE и другие. Данный набор функций идеально подойдет для защищенной, эффективной и легкоуправляемой сети в малых и средних предприятиях, гостиницах и учреждениях с большим количеством пользователей.
TL-ER6020 поддерживает несколько протоколов VPN, включая IPsec, PPTP и L2TP в режиме Клиент/Сервер, а также может справляться с большими потоками проходящего трафика. Маршрутизатор оснащен встроенным аппаратным VPN-обрабочиком, благодаря которому устройство поддерживает и контролирует до 100 LAN-to-LAN/Client-to-LAN IPsec VPN соединений. Расширенные VPN функции включают в себя: DES/3DES/AES128/AES192/AES256 шифрование, аутентификацию MD5/SHA1, Ручное/ IKE key управление и Основной/Агрессивный режимы согласования.
Для защиты вашей сети от внешних угроз, TL-ER6020 оснащен автоматической защитой, которая позволяет обнаружить и заблокировать DoS-атаки, такие как TCP/UDP/ICMP Flooding, TCP-сканирование, Ping of Death (поддельный Ping) и другие. Более того, маршрутизатор оснащен аппаратным DMZ портом, который позволяет избежать внешних атак и угроз. Для более удобного управления внутренней сетью TL-ER6020 позволяет администраторам с помощью правил блокировать указанные веб-сайты и приложения IM/P2P одним нажатием кнопки, а также устанавливать запреты на использование специальных сервисов, таких как FTP, HTTP и SMTP.
Модель TL-ER6020 оснащена двумя портами WAN, тем самым предоставляя широкие возможности Интернет-доступа через одно и то же устройство. Функция «разумной» балансировки нагрузки позволяет распределять потоки данных в соответствии с загруженностью каждого WAN порта, таким образом, увеличивая скорость передачи по каждому из каналов. С помощью функций Лимита сессий и Контроля пропускной способности на базе IP администраторы могут осуществлять гибкое управление пропускной способностью сети с целью ее оптимизации.
Устройство оборудовано надежной защитой от ударов молнии, которая позволяет избегать выбросов тока и выполняет безвредную разрядку непосредственно через заземление. Маршрутизатор оснащен защитой от электрических разрядов до 4 кВ в условиях правильного заземления. Данная характеристика позволяет защитить вложенные вами средства в случае опасных погодных явлений.