Настройка роутера Mikrotik для работы с 3CX Phone System

• Tutorial

Компания Mikrotik давно выпускает весьма гибкие и недорогие устройства маршрутизации под общим названием Mikrotik Routerboard. Несмотря на обширную линейку этих устройств, их объединяет единая операционная система – Mikrotik RouterOS. Настройка роутеров Mikrotik для работы с 3CX Phone System совсем не так сложна, как может показаться на первый взгляд. Рассмотрим настройку на примере Wi-Fi роутера RB2011UiAS-2HnD-IN. Данный роутер отлично подойдет для организации доступа в сеть Интернет для небольшой и средней компании.Внимание! Различные модели Mikrotik могут иметь разные предустановки. В частности, модели для SMB сегмента предустановлены таким образом, чтобы с минимальными настройками обеспечить выход в Интернет через первый порт роутера Eth1. Мы воспользуемся этим преимуществом.

Базовая настройка роутера для выхода в Интернет

Если у вас новый роутер, загрузите утилиту Winbox и подключитесь к устройству по адресу 192.168.88.1 с именем пользователя admin. После подключения нажмите в левом верхнем углу кнопку меню Quick Set. Здесь:

1. Обновление прошивки роутера. С этого следует начать и продолжить после перезагрузки устройства.
2. Настройки Wi-Fi модуля роутера (если ваша модель его имеет).
3. Настройки доступа в Интернет. В данном случае используется PPPoE доступ через порт Ethernet1.
4. Настройки локальной сети и DHCP сервера. Внимание! Настройка DHCP сервера требует дополнительных действий, описанных далее.
5. Пароль доступа к интерфейсу управления роутера.

Настройки достаточно очевидны. После установки параметров нажмите кнопку Apply или OK..

Настройка DHCP сервера

Перейдите в раздел меню IP > DHCP Server > Options. Здесь нужно создать новую DHCP опцию 66 и ее значением указать HTTP ссылку для автонастройки ваших IP телефонов. Эту ссылку нужно скопировать из раздела Настройки > Автонастройка телефона консоли управления 3CX. При этом строку нужно взять в одинарные кавычки, например, ‘http://192.168.0.2/provisioning/hwz44ph6o9’. Для завершения настройки зайдите в раздел IP > DHCP Server > Networks и донастройте DHCP сервер. В данном примере установлены DNS сервер, имя домена, сервер времени и созданная ранее DHCP опция 66.

Отключение SIP ALG

Для того, чтобы у вас не возникало проблем в работе удаленных подключений в 3CX Phone System, следует отключить встроенный в роутер SIP Application Layer Gateway. Для этого перейдите в раздел IP > Firewall Service Ports и отключите сервис SIP ALG, нажав кнопку с красным крестиком сверху.

Создание правил сетевого экрана и NAT

Для того, чтобы реализовать в роутере Mikrotik Full Cone NAT, или, другими словами, опубликовать на внешней интерфейсе необходимые порты сервера 3CX Phone System, следует создать набор правил брандмауэра. Все правила создаются единообразно. Перейдите в раздел IP > Firewall > NAT и нажмите кнопку с изображением плюса для добавления нового правила. В данном примере созданы правила для двух SIP провайдеров с IP адресами 62.64.127.43 и 69.167.178.6. Также созданы правила для внешних подключений HTTPS (порт 443 – статусы доб. номера, индикация присутствия клиентов 3CXPhone и удаленное администрирование сервера) и правила для 3CX Tunnel (порт 5090 UDP и TCP).

Правило для SIP сервера

Параметры устанавливаются во вкладках General и Action.

1. Направление действия правила
2. Внешний адрес, для которого это правило эффективно. В данном случае, это IP адрес SIP провайдера. Внимание! Рекомендуется разрешать внешний входящий SIP и RTP трафик только для необходимых IP адресов, а не для всего Интернета!
3. Тип протокола
4. Порт сервиса, который публикуется
5. Интерфейс, для которого это правило эффективно. В данном случае, это PPPoE интерфейс подключения роутера к Интернет провайдеру
6. Действие, которое выполняет правило
7. Локальный адрес сервера 3CX Phone System
8. Локальный порт публикуемого сервиса

Правила для 3CX Tunnel и HTTPS

Правила настраиваются аналогично, но адрес источника не указывается. То есть, правило действует для любого хоста в Интернет.

Опционально: настройка сервера времени NTP

Если вы хотите, чтобы роутер Mikrotik также являлся сервером времени для IP телефонов в вашей сети, необходимо загрузить и установить пакет, запускающий сервер NTP в роутере. Архив пакетов для текущей версии RouterOS можно загрузить здесь (актуально только для RouterOS 6.24!). После загрузки распакуйте архив и перетащите файл ntp-6.24-mipsbe.npk в окно File List, вызываемое боковым меню Files.Внимание! Загружайте файл пакета в корень файловой системы. После этого перегрузите роутер в меню System > Reboot. После перезагрузки включите NTP сервер в меню System > NTP Server. В меню System > NTP Client задайте IP адрес предпочитаемого сервера NTP в Интернет для установки точного времени на роутере. Также рекомендуется установить текущее время в меню System > Clock. На этом настройка роутера Mikrotik для работы с 3CX Phone System завершена. Конечно, роутеры Mikrotik имеют множество других важных настроек, которые могут использоваться в вашей сети, однако их рассмотрение выходит за рамки этой статьи.

Оборудование Микротик предлагает гибкую настройку телефонных систем, использующих SIP. Модели производителя известны надежностью – для работы системы достаточно единоразовой настройки.

Оборудование Mikrotik

Оборудование латвийской компании Mikrotik занимается маршрутизацией потоков данных для их своевременной доставки между абонентами локальной и глобальной сетей. Устройства Mikrotik работают с голосовой связью Voice IP через протокол передачи трафика Session Initiation Protocol.

Преимущества и недостатки программно-аппаратных комплексов компании рассмотрим в таблице.

Настройка роутера Mikrotik

Перед настройкой Mikrotik Routerboard подключите его к нужной сети и подсоедините устройство для запуска WEB-интерфейса, например, ноутбук. Для разных моделей компания использует одну и туже операционную систему, поэтому процесс настройки для разной маршрутизирующей техники будет отличаться только в деталях.

Для управления Routerboard на ОС Windows понадобится специальная программа – Winbox. Скачайте её с официального сайта производителя по ссылке.

Для авторизации вам понадобится IP-адрес системы, логин с паролем для авторизации. Они указаны на корпусе устройства и в технической документации. Как правило, нужные данные единообразны:

• IP-адрес: 192.168.88.1;
• логин: admin;
• пароль: отсутствует.

Для простоты воспользуйтесь режимом быстрой конфигурации «Quick Set». Кнопку для входа ищите слева вверху. Далее следуйте инструкции:

• Найдите раздел «System».
• Проверьте и установите имеющиеся обновления системы с помощью кнопки «Check for updates».
• Настройте беспроводной доступ в блоке «Wireless». Вас интересуют графы с SSID, паролем, методом шифрования и аутентификации. Поля с частотой (frequency), необходимой шириной полосы канала (Channel Width) и диапазоном частот (Band) оставьте нетронутыми, если не знаете, что туда вводить.
• Блок «Configurations» нужен, чтобы правильно организовать общение роутера с внешней сетью, чаще всего – интернетом. Здесь важны имя пользователя, пароля и наименование используемой технологии подключения. Их назначают при составлении договора с провайдером о поставке услуг связи.
• В блоке Local укажите набор возможных внутренних адресов и выберите состояние функций подмены IP NAT и автоматической раздачи адресов абонентам DHCP.
• Не забудьте сменить авторизационные данные для входа в маршрутизатор, иначе вас будет легче взломать. Для этого замените нужные поля в нижнем правом углу.
• По окончанию настроек нажмите «ОК» справа вверху.

После перезагрузки система должна заработать корректно. Проверьте это, зайдя в интернет с абонентского устройства или запустив классические команды для проверки соединения, такие как: ping и tracert.

Настройка DHCP сервера

Dynamic Host Configuration Protocol нужен, чтобы распространять между абонентами информацию об адресах и иных параметрах соединения. В предыдущем разделе мы включили нужную опцию. Чтобы настроить DHCP для работы с SIP-телефонами:

• Войдите в консоль управления SIP-телефонами.
• Скопируйте значение графы «Local Provisioning URL».
• Войдите в систему настройки через Winbox.
• Перейдите по пунктам меню IP – DHCP Server – Options.
• Создайте новую опцию со следующими значениями граф:

• Name: произвольно;
• Code: 66;
• Value: ранее скопированное значение в одинарных кавычках;
• Нажмите «ОК» в открытом окне.

Чтобы завершить процесс настройки DHCP, перейдите в раздел Network из подменю DHCP Server. Следуйте инструкции:

• Укажите верные значения DNS Server и Domain. Как правило, сервером для получения доменных имен, является сам роутер.
• Укажите адрес сервера, для синхронизации локальных часов через поле «Network Time Protocol Server (NTP)».
• Укажите значение «Provisioning» в графе «DHCP Options».
• Нажмите «OK».

После этого приступайте к конфигурации системы NAT.

Создание правил сетевого экрана и NAT

NAT используют для того, чтобы ограниченное число внешних адресов локальной сети не мешало данным доходить до неограниченного числа нужных адресатов. NAT подменяет внутренний адрес пользователя на внешний и наоборот. Система позволяет избежать путаницы.

Для эффективной работы SIP нужно внести новые правила. Для этого:

• Войдите в настройки маршрутизирующего устройства.
• Пройдите по пунктам меню IP – Firewall – NAT.
• Узнайте данные IP-адресов, используемых протоколов и необходимых портов для подключения к серверам IP-телефонии.
• Создавайте правила, нажимая на кнопку со значком в виде «+». Она находится слева вверху.
• Вводите данные, собранные на шаги 3 во вкладках «General» и «Action». Первая нужна для того, чтобы указать общие настройки. Во второй выберите нужное действие – «dst-nat», локальный адрес сервера Voice IP и его порт. Не забудьте включить чекбокс напротив надписи ««Passthrough», чтобы допустить обработку данных дальше по сети.

Важно верно установить маркировку на исходящие соединения:

• установите connection Mark: no-mark;
• поставьте на новые соединения пометку new.

Для упрощенных очередей трафика с помощью Simple Queues маркировку входящих соединений не делают.

Для выбора приоритета пакетов трафика, введите следующие настройки:

• priority – указывайте цифру от 1 до 3 для указания уровня приоритизации;
• max-Limit – максимальный размер передаваемой информации;
• limit At – минимальная скорость работы сети;
• packet Marks – для того, чтобы отфильтровывать телефонные разговоры установите значение SIP-Trunk;
• queues Type – разновидность очереди, лучше выставите значение pcq для входящего и исходящего трафика отдельно.

Процесс правильной маркировки и приоритизации смотрите на видео

Отключение SIP ALG на Mikrotik

Шлюз прикладного уровня Application Level Gateway нужен для того, чтобы Voice IP контент безошибочно работал с технологией подмены IP-адресов NAT. Если данное взаимодействие работает некорректно, возможно одностороннее пропадание связи. Это происходит из-за того что абонент, использующий NAT+ALG, затерялся среди подменных адресов.

Часть SIP-клиентов и моделей оборудования не нуждается в ALG. В этом случае отключите шлюз прикладного уровня. Для этого достаточно одной текстовой команды:

/ip firewall service-port disable sip

Также ALG можно выключить через Winbox в разделе Firewall Service Ports пункта меню IP. Для этого используйте кнопку верхней панели инструментов в виде красного креста.

Проброс портов SIP на Mikrotik

Кроме IP-адресов для передачи данных используют локальные и глобальные порты. Процесс их сопоставления для транспортировки информации называют пробросом.

Проброс портов входит в настройку сетевого экрана, его получится реализовать текстовыми командами.

Сначала определим время ожидания отклика нужных портов – timeout. Сделаем его равным 5 минутам с помощью команды:

/ip firewall service-port set sip disabled=no ports=5060, 5061 sip-direct-media=yes sip-timeout=5m

Убедитесь, что в настройках открыты нужные порты:

• №№ 4569, 5060, 5070, 5090 для передачи данных с помощью протоколов транспортного уровня User Datagram Protocol и Transmission Control Protocol;
• №443 для работы через протокол прикладного уровня HyperText Transfer Protocol Secure.
• №№1000-20000 для транспортировки информации с помощью протокола UDP.

Перечисленные протоколы и порты задействованы для работы Voice IP с разными SIP-клиентами. Чтобы открыть закрытые порты следуйте инструкции:

• Войдите в настройки маршрутизирующего устройства.
• Поочередно нажимайте на кнопки меню IP, Firewall.
• Откройте вкладку Service Ports.
• Добавьте необходимые данные в список.

Настройку правил ретрансляции портов на аппаратуре Микротик смотрите на видео

Проблемы в эксплуатации

О списке проблемных моментов и возможных решениях читайте в таблице ниже.

Аппаратура Mikrotik предлагает интересное соотношение цены и качества. Оборудование не намного дороже предназначенного для личного пользования. При этом, модели дают явно не домашний набор функций. Оптимальный выбор для малого и среднего бизнеса.

Настройка Mikrotik для SIP телефонии

Последние несколько лет ip –телефония стала очень популярна, благодаря ряду своих преимуществ. Для ее бесперебойной работы некоторое оборудование, поэтому в центре внимания mikrotik ip телефония настройка.

Microtik: достоинства и недостатки

Что же такое Microtik? Говоря общими словами, это сетевое оборудование, включающее в себя маршрутизаторы (проводные и беспроводные), и соответствующее им оборудование и операционные системы. Для удобства понимания, условно можно разделить ОС  RouterOS и «железо» Router Board.

В чем же достоинства microtik?

• Стоимость – в своем ценовом сегменте конкуренты просто не обнаруживаются;
• Единая для всех своих устройств  ОС  позволяет быстро устанавливать оборудование, а так же раз усвоенный навык работы с Microtik поможет всегда.
• Документация и обновления – один из самых приятных плюсов. Все прошивки размещены на официальном сайте, а документация – на Википедии. Все можно скачать, не регистрируясь, что не распространено среди конкурентов.
• Надежность. – превыше всего. Если один раз правильно настроить Microtik, больше с этим вряд ли придется сталкиваться. Но на всякий случай стоит знать о WatchDog, которая может спасти зависший роутер.
• Масштаб. Идеально Microtik подходит для небольших компаний, но ее вполне можно приспособить и для более сложной нагрузки, поставив на мощный сервер.
• Функционал сетевого оборудования этой марки необычайно широк, конкурируя с серьезными марками. («Домашние» роутеры не могут составить ему конкуренцию»).

При таком привлекательном наборе преимуществ есть ли минусы?

Для бесперебойной работы роутера этой марки в реально большой компании, для правильной и постоянной работы нужно либо несколько мощных серверов, либо приглядеться к его конкурентам.

Если есть желание настроить Microtik, нужно обладать определенными знаниями в области сетей.

Сотрудники занимающиеся установкой сетевого оборудования, отмечают, что не всегда выгодно: работа настолько налажена, что повторных вызовов они не получают.

При требовании шифрования по ГОСТу могут возникнуть проблемы.

Подводя итог его оценки, можно сказать, что microtil – отличное бюджетное решение для роутера. В компании средней величины.

Как связаны ip телефония и microtik

При работе с ip телефонией ее пользователи иногда сталкиваются с нарушениеми корректной работы связи. Причиной может быть небрежная настройка mikrotik для sip телефонии.

Одной из самых распространенных проблем является частичная потеря связи с абонентом. То есть абонент говорит и слышит собеседника, а вот последний его просто не слышит. Такие проблемы возникали раньше из-за протокола SDP, но все современные шлюзы работают корректно, устраивая обмен пакетами именно между абонентами связи. SiP телефоны работают с NAT безошибочно, но при использовании microtik в качестве маршрутизатора (роутера) приводит к этой проблеме.

Как выяснилось при изучении оборудования этой марки, дело в «излишней» деятельности роутера:  при передаче данных через трафик VOip он подменяет адрес получателя на свой внешний, делая двустороннее соединение невозможным. Создается впечатление, что NAT не принимает участие в передаче данных. Но эту проблему решить, к счастью, довольно просто: Нужно отключить его SIP ALG —  внешний IP роутера, с помощью команды:

/ip firewall service-port disable sip

Следующая распространенная проблема, нередко встречающаяся при работе с роутерами Microtik – зависающие UDP соединения. Такое нарушение состоит из нескольких этапов, но начинается все с отключения интернета. Это создает фальшивую запись в таблице NAT. При возобновлении подключения к сети Интернет, таблица не может быть использована – в ней нет нужной информации, необходимой для новых запросов.

Для решения этой проблемы либо нужно перезагрузить роутер и удалить все сессии UDP, либо выключить его на 10-20 минут, затем включить.

Удалить из консоли UDP соединения можно такой командой:

/ip firewall connection remove [find where protocol=udp and dst-address~»:5060″]

или

/ip firewall connection remove [find where connection-type=sip and assured=no]

В самых новейших версиях OC Microtik ввели параметр sip-timeout, способный разрешить эту проблему. Для этого нужно попробовать ввести такую команду:

/ip firewall service-port set sip disabled=no ports=5060,5061 sip-direct-media=yes sip-timeout=5m.

Подводя итог, можно сказать, что если для работы нужна ip телефония, mycrotic обеспечить ее надежную работу. Ошибки иногда могут возникать, но их решения достаточно простые, а высокую функциональность и удобство настройки таких роутеров гораздо важнее.

Используемые источники:

• https://habr.com/post/257643/
• https://ip-telefonya.ru/soft/router-mikrotik-dlya-sip-telefonii
• https://cloudpbx.help/nastroyka-mikrotik-dlya-sip-telefonii/