Вопросы по организации SIP от оператора и безопасности своей

[anvista]

Добрый день!
Есть Avaya S8500 (CM 5.2.1), SES, Elastix.
На Elastix организован ЦОВ (меню, очереди и т.д.), S8500 с ним связана по сипу через SES. Выход в город через S8500 по Е1.
Предлагает нам оператор связи SIP-транк на входящую связь для нашего ЦОВ отдельный сделать. Необходимость есть в силу ограниченности количества разговорных каналов в Е1, бывали уже затыки.
Беспокоят меня сильно вопросы безопасности. В астер напрямую его втыкать не хочется, поскольку неахти какой я спец в нем, а система открытая.
А как будет выглядеть схема, если его через SES подключать, не очень представляю.
Посему, если кто подскажет, буду очень рада:
1 какую документацию лучше почитать?
2 будет ли участвовать в соединении S8500, если у меня идет связка Оператор {SIP}-> SES {SIP} -> астер {SIP}?
3 какие порты использует SES для протокола RTP? В СМ (насколько я понимаю) это настраивается в IP NETWORK REGION
UDP Port Min:
UDP Port Max:
4 может есть советы "бывалого" в части безопасности для SIP Avaya?

[alma]

пример мурзилки avaya ses - asterisk http://www.devconnectprogram.com/fileMe ... c39ce7ceb0

Аналогично вместо астериска, прописываем транк с ваши провайдером.
PS. А коллцентр на avaya почему не развернули?

[gosha]

А к чему сводится предложение оператора? Что будет транспортом?
К вопросу про ЦОВ присоединяюсь...

[anvista]

PS. А коллцентр на avaya почему не развернули?

все просто, потому что денег руководство на нормальные лицензии не дает. То, что есть, закупалось централизованно в Москве на всю Россию. Мы госконтора, я два года выколачивала денежку на обновление СМ со 2 до 5 версии, ужааас, сколько писем написала и порогов оббила.

Вот и пытаемся из ничего сделать что-то.

[anvista]

А к чему сводится предложение оператора? Что будет транспортом?

Предложение сводится к тому, что он дает нам сип-транк для входящей связи с нужным нам количеством разговорных каналов (больше 30 шт., что приятно) за маленькие денежки. Ему сейчас выгоден именно входящий трафик, там свои межоператорские вопросы.

Оператор имеет у нас в здании оптику, стоит шкаф, кому-то из контор нашего здания оттуда инет выдается. Поскольку мы госконтора, нужно выходить на аукцион. У нас в городе три оператора могут предложить SIP, все три имеют оптику в нашем здании. У одного из трех сейчас пользуем инет. Тот оператор, с которым предварительно общались (инет покупаем не у него), говорит, что у них сип-телефония выведена в отдельную локалку, но ведь он на аукционе может и проиграть

[anvista]

пример мурзилки avaya ses - asterisk http://www.devconnectprogram.com/fileMe ... c39ce7ceb0

примерно по этой мурзилке у нас и настроены транки. у нас по сипу еще и MS Lynk бегает. Мне не совсем ясна логика коммутации, когда идет звонок сип-сип. Участвует ли в соединении сама авайка (СМ) или SES сам умный и пересылает звонок без нее?
Т.е. при звонке от абонента А к абоненту Б звонок пойдет по красной или по синей линии?

[anvista]

кроме того, чтобы снять нормальные трейсы с SES пришлось поковыряться и поломать его немного. Пока создавала для себя суперюзера, наткнулась, что у него в файлике /etc/ssh/sshd_config написано #PermitRootLogin yes.

[gosha]

Про ковыряние в SES не очень понял, трейсы там вполне нормальные.
В любом случае, вам надо думать про какой-то внешний firewall или SBC - для отгораживания внутренней телефонии от операторской сети

[anvista]

Про ковыряние в SES не очень понял, трейсы там вполне нормальные.

хотелось wireshakом посмотреть пакеты, которые через ses идут, а пароля рута нету. admin dumpcap запустить не дает. вот создавала себе суперюзера.

[anvista]

а звонок все-таки идет через СМ или нет? или там одного ses достаточно, чтобы перерулить?

[gosha]

SES не может быть двухинтерфейсным - это главное...

[dadoo]

времени прошло много, но вдруг ответ понадобится понадобиться
ses в целом самодостаточная железка, полностью может быть самостоятельным, т.е. если есть sip абоненты и каналы, то не обязательно их привязывать к cm, они внутри ses будут замечательно ходить. Вопрос лишь маршрутизации и ограничений этих абонентов.
А вот если абонент прописан как абонент еще и cm, то тут вызов пойдет через канал на cm, что вообщем то хорошо, там можно управлять правами абонента, тарифицировать и прочее.
Сам по себе ses не очень удобен как отдельная станция, разве что внутри сети чтоб лицензии не докупать, можно гонять ip телефонию или видеофонию.
Ксаемо самих пакетов rtp, то тут как настроено в ip-network-reg и сигнальной cm-ses, обратите внимание на внутрисетевые соединения (harpinning и direct audio)