Tato sekce poskytuje možnosti nastavení IP parametrů, směrování a DNS serverů pro
systém VOIPEX, aby bylo možné ho začlenit do lokální podnikové sítě. Tato sekce není
dostupná u virtuálních variant systému VOIPEX.
IP
Základní nastavení síťových rozhraní, směrování a DNS subsystému.
Rozhraní
Rozhraní- výběr rozhraní WAN (eth0) a LAN (eth1)
VLAN - nastavení čísla Virtuální LAN, které slouží k logickému rozdělení sítě nezávisle
na fyzickém uspořádání.
Typ adresy
- statická nebo dynamická
IP adresa- nastavení ip adresy
Maska - nastavení masky
Brána - nastavení výchozí brány
Směrování
Adresát - nastavení ip adresa VPN sítě
Maska - nastavení masky
Brána - nastavení výchozí brány
Rozhraní - výběr rozhraní WAN (eth0) a LAN (eth1)
DNS
Hostname - nastavení DNS názvu
Primární DNS server - nastavení primárního DNS serveru
Sekundární DNS server- nastavení sekundárního DNS serveru
SMTP
Ústředna může pracovat také jako poštovní server. Správu a nastavení poštovního serveru
zpřístupňuje tento modul.
Nastavení SMTP
SMTP server - nastavení SMTP serveru pro odesílání emailů
Login - nastavení jména
Heslo - nastavení hesla
Login a heslo se používá v případě že SMTP server požaduje ověření.
LDAP
Konfigurace systémových nastavení LDAP klienta pro ověřování uživatelů z externího zdroje.
Ověřování
Umožňuje ověřovat přístup pro uživatele na vzdáleném autentikačním serveru typu LDAP
(openldap, MS Active Directory, apod.).
Uživatele ověřovat - volba, zda se bude uživatel ověřovat v LDAP serveru nebo v lokální databázi.
Po zapnutí ověřování LDAP serverem se zadané přihlašovací údaje nejprve ověřují na
daném LDAP serveru, v případě neúspěchu je pokračuje standardním ověřením v lokální databázi.
TELEFONY/LINKY - v editaci příslušné linky stačí nastavit v Rozšířeném nastavení položku
Login na uživatelské jméno z LDAP serveru, položka Heslo se při ověřování pomocí LDAP ignoruje.
DHCP
V tomto modulu lze konfigurovat DHCP server. DHCP server zprostředkovává síťovým zařízením
přidělení IP adresy, automatické nastavení směrování provozu a doplňující parametry pro autokonfiguraci (provisioning).
Nastavení DHCP
Povolit DHCP - zapnutí DHCP serveru
Rozhraní - nastavení rozhraní, kde bude DHCP aktivní
Primární DNS - nastavení primárního DNS pro DHCP server
Sekundární DNS - nastavení sekundárního DNS pro DHCP server
Doména - nastavení domény pro DHCP server
Rozsah adres
Slouží pro nastavení rozsahu adres pro přidělování DHCP serverem a pro definování
statické adresy s přiřazením MAC adresy zařízení. Podle značek se vytvářejí skupiny
zařízení, kterým lze přiřadit společné vlastnosti (např. boot server) definované ve volbách DHCP.
Počáteční adresa - počáteční adresa od které dhcp server přiděluje IP adresy
Koncová adresa - koncová adresa do které dhcp server přiděluje IP adresy
Host - přiřazené jméno
MAC adresa - MAC adresa zařízení na kterou se provede definování statické adresy
IP adresa - IP adresa která bude definována jako statická adresa
Značka - lze zvolit typ zařízení a přiřadit tak zařízení do skupiny
Volby DHCP
Umožňuje detailnější nastavení DHCP serveru.
Brána - nastavení IP adresy brány kterou přiděluje DHCP server
Volba - nastavení option parametrů, pro autokonfiguraci je typickým parametrem tftpserver-name
Hodnota
- nastavení hodnoty parametru např. cesty ke konfiguračním souborům
Značka - výběr typu zařízení
BOOT Servery
Slouží k nastavení URL konfiguračních serverů telefonů pro jednotlivé značky, které seory.
Formát URL je:
Aastra
http://testpbx.ipex.cz/ipbx/phones/aastra
Grandstream
http://testpbx.ipex.cz/ipbx/phones/grandstream
Linksys (podporuje pouze stahovani z tftp serveru a tvar konfiguračního souboru musí byt
spa$PSN.cfg, kde $PSN = typ telefonu př. SPA922)
TFTP
Trivial File Transfer Protocol (TFTP) je velice jednoduchý protokol pro přenos souborů,
obsahující jen základní funkce protokolu FTP. Jelikož TFTP funguje nad nespojovaným
protokolem UDP, musí obsahovat vlastní řízení spojení. TFTP server používá port 69. Je
používaný pro čtení nebo zápis dat na vzdálený server. Maximální velikost přenášeného
souboru je 32 MB. TFTP servery jsou obvykle používány pro nahrávání a stahování
spustitelných obrazů a konfigurací do routerů, přepínačů, rozbočovačů , IP telefonů atd.
Seznam souborů
Slouží k přidání nebo smazání souborů uložených na disku.
Nastavení TFTP
Povolit TFTP - Slouží k zapnutí TFTP serveru
Firewall
V tomto modulu lze nakonfigurovat firewall a NAT. Firewall je způsob jak omezit přístup
mezi Internetem a interní sítí. V širším kontextu tedy jde o souhrn technických opatření. V
užším kontextu se tento výraz používá pro označení softwarového balíku pro ochranu
systému, na kterém je instalován, nebo také pro označení hardwarového zařízení, které
odděluje vnitřní počítačovou síť od Internetu.
Typické nasazení firewallů pro maximální efekt je v bodě přístupu interní sítě do Internetu.
Firewall umožňuje významným způsobem ochránit uživatele od hrozeb číhajících na veřejné
síti. Stejně tak je možné chránit uživatele před porušením bezpečnostní politiky, jako je
odesílání citlivých dat, používání zakázaných služeb atd.
Ve firewallu lze použít tzv. GeoIP pravidla. Tyto pravidla využívají geolokační databázi firmy
MaxMind a umožňují firewallu nastavit přístupy dle země.
Např. je možné povolit registraci telefonů pouze z České a Slovenské republiky.
Od verze IPBX 3.0 je firewall zapnutý již ve výchozím stavu a přídána možnost importu/
exportu jeho nastavení. Pro fungování služeb povolte IP adresy, ze kterých budete služby využívat.
Popis výchozího firewallu
* Povolené privátní adresy dle RFC1918 + loopback
10.0.0.0/8
172.16.0.0/12
192.168.0.0/16
127.0.0.1/32
* Povolený příchozí provoz z České a Slovenské republiky pomocí GEOIP modulu
* Povolená komunikace mezi XMPP servery - port 5269
* vše ostatní zakázáno + zaznamenáváno
Nastavení
Slouží k zapnutí firewallu v IPBX a potvrzení pomocí přidat. Zároveň po zapnutí dojde
k rezervaci portů pro správnou funkci IPBX.
•udp/8000 až udp/20000
•udp/5000 až udp/5050
•udp/5060
•udp/5061
•tcp/5269
•tcp/22
•tcp/80
•tcp/443
•icmp ze scanner.gin.cz
•udp,tcp/514 na logger.ipex.cz
Vstupní a výstupní firewall
Slouží k filtraci provozu přicházejícího na (respektive z) ústřednu
Standardní cíl
určuje co se stane s pakety které neodpovídají žádnému pravidlu.
* Povolit -- paket se přijme
* Zahodit -- paket se zahodí
* Zamítnout -- paket se zahodí a to se oznámí odesílateli
Jednotlivé sloupce tabulky jsou zřejmé -- pokud paket odpovídá všem pravidlům na daném
řádku, provede se s ním zadaný cíl. Není nutné zadávat všechna pravidla, není tak problém
např. zahazovat veškerý provoz na zvoleném rozhraní, nebo veškerý UDP provoz. Pole
poznámka nemá na funkci žádný vliv a podle očekávání slouží k zadání poznámky pro
vysvětlení daného pravidla.
Poznámka: při definici portů je možné používat číslo portu (80) nebo zkratku odpovídající
danému portu [1] (http). Kromě zadání jediného portu je možné zadat i
interval, kdy se mezi krajní hodnoty napíše dvojtečka (5000:6000). Porty není možné
zadávat výčtem (např. 11,22,33).
Záznam
funkce je vhodná především pro zpětnou diagnostiku útoků, pakety odpovídající zvolenému
pravidlu budou nejen podle pravidla zpracovány, ale budou také uloženy do záznamů.
Tabulka zobrazuje posledních 100 záznamů včetně jejich detailů. Na začátku tabulky je
odkaz k obnovení tabulky aktuálními záznamy. Dole pod tabulkou jsou tlačítka pro stažení
nebo smazání všech záznamů.
● Historie záznamů je dlouhá 31 dnů.
● Zaznamenávání má ochranu proti zahlcení – je povoleno maximálně 5 záznamů za
sekundu od každého pravidla.
Ve firewallu záleží na pořadí pravidel, k tomu slouží checkboxy v prvním sloupci tabulek. Při
zatržení dvou checkboxů je možné kliknout na "Prohodit" v hlavičce tabulky a pořadí
zvolených pravidel se prohodí.
Vstupní NAT (DNAT)
Slouží k pro transparentní změnu cílové IP adresy a portu paketu na cestě a pro vykonání
opačné funkce pro jakékoliv odpovědi. Je možné tuto funkci použít pro vzdálený přístup
např. pro správu voip gateway nebo ip telefonů.
Výstupní NAT (SNAT)
Slouží k zapnutí statického NATu, který umožňuje pouze překlad adres nikoli mapování portů.
Poznámka: Pravidla se neaplikují ihned, je potřeba provést reload firewallu!
SNMP
Modul slouží k nastavení protokolu SNMP pro monitorování stavu ústředny.
Nastavení je rozděleno do dvou částí: Server a Alarmy.
Na záložce server lze přidávat servery (uživatele) které mohou monitorovat ústřednu.
Důležité je, že každý účet má navíc seznam IP adres které jej mohou použít a jejich seznam
se nachází za odkazem ACL u každého účtu.
SNMP také umí sám hlásit problémy které detekuje. Tato hlášení se nastavují na záložce
Alarmy. Opět je zde možnost přidat servery na které budou chyby odesílány a také prahové
hodnoty při kterých dojde k odeslání zprávy o chybě. Systém provádí kontrolu každých 5 minut.
Pro aplikování změn je potřeba provést restart pomocí tlačítka na prvním panelu!
IPS
Modul pro nastavení systému detekce a zamezení útoků na ústřednu.
XMPP
IM/Presence server v iPBX umožňuje textovou komunikaci pomocí standardu XMPP (RFC6120).
iPBX dokáže do tohoto serveru importovat data z různých zdrojů např. kalendářů,
docházkových systémů, ústředny, mobilního zařízení. Tzn. Že je uvidíte přímo ve stavu u
uživatele. Více viz sekce Profily.
Použití je možné pomocí libovolného klienta podporujícího tento protokol. Je
podporován klient JITSI (http://www.jitsi.org/) a také tomuto klientu se bude primárně
věnovat popis konfigurace a použití.
Pro zobrazení fotografií u kontaktu je možné použít synchronizaci s LDAP/Active direktory
serverem nebo je možné tyto fotografie nahrát přes seznam kontaktů.
Konfigurace
Příprava serveru na ústředně
V administrátorském rozhraní ústředny, v sekci Síť, kategorii XMPP vyberte položku Server
Na záložce Obecné vyplňte doménu
Doporučujeme nastavit doménové záznamy typu SRV
_xmpp-client._tcp IP adresa ústředny
_xmpp-server._tcp IP adresa ústředny
příklad nastavení SRV záznamu pro virtuální platformu
_xmpp-server._tcp.firma.cz. IN SRV 0 0 5269 server.firma.cz.
_xmpp-client._tcp.firma.cz. IN SRV 0 0 5222 server.firma.cz.
příklad nastavení SRV záznamu pro HW platformu
_xmpp-server._tcp.firma.cz. 86400 IN SRV 0 0 5269 server.firma.cz.
_xmpp-client._tcp.firma.cz. 86400 IN SRV 0 0 5222 server.firma.cz.
V tomto případě může být vaše adresa pro instant messaging a presence stejná jako
emailová např jan.novak@firma.cz
V případě, že vlastní doménu nemáte nebo není možné SRV záznamy nastavit, nastavte
doménu ústředny např. vh333.ipex.cz
Vaše adresa pro IM/presence bude např. jan.novak@vh333.ipex.cz
Stav
Spustit/zastavit server Zapnutí/vypnutí XMPP serveru
Kontrola integrity V případě potíží lze použít funkci na kontrolu integrity dat.
Funkce provede kontrolu dat a zjištěné chyby ihned opraví.
O provedených opravách je správce informován zobrazením
protokolu chyb.
Reset do tov.nastavení Reset do továrního nastavení zruší uživatelem definované
kontakty v jeho komunikátoru a jsou zobrazeni pouze
uživatelé vytvoření v platformě.
WebDAV
Pomocí této služby jsou nahrávky hovorů dostupné jako lokální disk.Využívá se protokol
WebDAV(link na wikipedii). Provoz tedy funguje jako jakákoliv jiná webová služba funguje bez
problémů přes firewally.
Uživatel, který bude k nahrávkam pomocí protokolu WebDAV přistupovat musí mít nastaveno
právo „WebDAV“ v nastavení uživatelů/práv.
V konfiguraci je potřeba podporu WebDAV aktivovat. Dále je potřeba definovat z jakých ip adres
bude přistupováno. Přístup odkudkoliv se nastaví pomocí “0.0.0.0/0.0.0.0”
URL pro připojení disku je https://<ip ustredny>/webdav
Postup v Linuxu:
yum -y install davfs
mkdir /mnt/webdisk
mount.davfs https://IP_ustredny/webdav /mnt/webdisk/
Postup ve Windows 7:
V menu spustit Počítač. Vlevo nahoře je odkaz “připojit síťovou jednotku”
V položce složka vyplňte adresu ústředny ve tvaru https://jméno_ústředny/webdav např.
Po odeslání budete vyzváni k zadání přihlašovacích údajů. Po ověření bude síťový disk připojen.
UPOZORNĚNÍ: V případě změny názvu nahrávky, nebude tato nahrávka dohledatelná přes výpis hovorů.
Kalendáře
Kalendáře slouží k ověřování dostupnosti uživatelů a jsou využívány v profilech v nastavení
linek. V případě příchozího hovoru je ověřeno zda uživatel nemá v kalendáři schůzku a hovor
je dle toho dále směrován.
Integrace Google Apps a MS Exchange umožňuje zobrazení stavu z kalendáře formou presence uživatele v
komunikátoru, směrování hovorů se následně řídí podle presence.
MS Office 365
URL https://outlook.office365.com/EWS/Exchange.asmx
Nastavení kalendáře
- V administrátorském rozhraní ústředny, v sekci Síť klikněte na kategorii Kalendáře
- Klikněte na odkaz Přidat, vyplňte potřebné údaje a potvrďte tlačítkem „Přidat kalendář“
Další informace ke konfiguraci lze nalézt v sekci - Telefony#Kalend%C3%A1%C5%99e
SSL
Modul pro stažení certifikátu ústředny.
Diagnostika
Nástroje diagnostiky sítě.
Síťová rozhraní
Přehled síťových rozhraní, jejich konfigurace, směrování atd.
DHCP
Zde naleznete přehled přidělených adres a log DHCP démona.
Firewall
Zde naleznete výpis skutečné aktuální konfigurace firewallu iptables.
SOAP
On-line výpis událostí SOAP serveru včetně možnosti získání historických záznamů o provozu.
V logu jsou dostupné diagnostické údaje k SOAP serveru.
Zapnutím podrobnějšího logování v záložce nastavení je možné logovat např. obsah proměnných atd.
Toto nastavení nedoporučujeme používát pro produkční režim.
Obecné informace k SOAPu jsou dostupné na adrese
http://www.ipex.cz/ustredny-a-telefony/ipbx/erp-crm-integrace/soap-rozhrani#soap-funkce
Restart sítě
Slouží pro restartování síťového modulu.