Asterisk FUSION GW
Asteriskでフュージョン用ゲートウェイを作る。
フュージョンでは現在、Asterisk 1.4系パッチしか提供されていませんので、Asterisk 1.8など新しいAsteriskとフュージョンと接続する場合には直接接続ができません。またパッチが適用できないアプライアンスや、その他のSIPサーバ類を使う場合にも同じことが言えます。
そこで、パッチの提供されているAsteriskをゲートウェイ(B2BUA)として使うことで、対フュージョンとの接続の仲介をさせてしまいます。この場合、ゲートウェイとなるAsteriskには特に機能は必要ないので不要なモジュール類は落としてしまい、最低限のAsteriskで動作させます。
概略
---[Asterisk 1.8など]--Register-->[Asterisk(FUSION)]---GOL(PPPoE)--->FUSION
図のような形で接続します。Asterisk(FUSION)がパッチを適用したフュージョン対応のAsteriskです。このマシンからPPPoEによってGOLと接続し、フュージョンにREGISTERします。つまりこのマシンはPPPoEとミニマムなAsteriskが動作する程度のマシンでよく、小型アプライアンスなどでもかまいません。
このフュージョン対応のAsteriskに対して他のAsterisk等をSIPでREGISTERして使用します。
GOLとの接続
FUSIONの場合、通話品質の確保のためISPとしてGOLとの接続が必要となります(アクセスラインはNTT東西のフレッツADSLもしくはBフレッツに限定されます)。このため、既存のISP接続がすでにある場合には、ちょっと面倒になりますが既存接続を維持したままGOLを使う場合には、Linuxサーバから直接PPPoEを喋らせてしまうのがNAT抜けの点でも簡単だと思われますので、ここではPPPoEでGOLと接続する方法を解説してみます。
CTUの設定(NTT西日本利用のひかりプレミアム接続の場合)
CTUにマルチでPPPoEセッションを張る設定を行わないといけません。(通常はオフになっています)
「フレッツ接続ツール」を使って「複数のPPPoEセッションを張る」設定を有効にしておかないといけません。
また、PPPoEのMTU設定は通常と異なり1438バイトに設定する必要がある。
- 図は後で描く
ルータの設定
ルータでは既存のISP接続はそのままにしておき、"PPPoEブリッジ機能"を有効にしておきます。多くのルータでは、おそらくこの機能は有効になっているでしょう。この場合の接続は以下のようになります。
- 図は後で描く
PPPoEの設定
Linuxマシン上でPPPoEの設定を行います。ここではCentOS上でrp-pppoeを使う例を示します。rp-pppoeでは設定に各種スクリプトが付属してくるので便利です。
まずadsl-setupを実行します。
Welcome to the ADSL client setup. First, I will run some checks on your system to make sure the PPPoE client is installed properly... LOGIN NAME Enter your Login Name (default root): GOLのアカウント(ユーザ名。@以降も必要) INTERFACE Enter the Ethernet interface connected to the ADSL modem For Solaris, this is likely to be something like /dev/hme0. For Linux, it will be ethX, where 'X' is a number. (default eth0): PPPoEを使うEthernetインタフェース Do you want the link to come up on demand, or stay up continuously? If you want it to come up on demand, enter the idle time in seconds after which the link should be dropped. If you want the link to stay up permanently, enter 'no' (two letters, lower-case.) NOTE: Demand-activated links do not interact well with dynamic IP addresses. You may have some problems with demand-activated links. Enter the demand value (default no): 常時接続の場合は'no' DNS Please enter the IP address of your ISP's primary DNS server. If your ISP claims that 'the server will provide dynamic DNS addresses', enter 'server' (all lower-case) here. If you just press enter, I will assume you know what you are doing and not modify your DNS setup. Enter the DNS information here: プライマリDNSのアドレス Please enter the IP address of your ISP's secondary DNS server. If you just press enter, I will assume there is only one DNS server. Enter the secondary DNS server address here: セカンダリDNSのアドレス PASSWORD Please enter your Password: GOLのアカウントのパスワード Please re-enter your Password: パスワードをもう一度 USERCTRL Please enter 'yes' (three letters, lower-case.) if you want to allow normal user to start or stop DSL connection (default yes): ユーザがセッションを開始できるかどうか FIREWALLING Please choose the firewall rules to use. Note that these rules are very basic. You are strongly encouraged to use a more sophisticated firewall setup; however, these will provide basic security. If you are running any servers on your machine, you must choose 'NONE' and set up firewalling yourself. Otherwise, the firewall rules will deny access to all standard servers like Web, e-mail, ftp, etc. If you are using SSH, the rules will block outgoing SSH connections which allocate a privileged source port. The firewall choices are: 0 - NONE: This script will not set any firewall rules. You are responsible for ensuring the security of your machine. You are STRONGLY recommended to use some kind of firewall rules. 1 - STANDALONE: Appropriate for a basic stand-alone web-surfing workstation 2 - MASQUERADE: Appropriate for a machine acting as an Internet gateway for a LAN Choose a type of firewall (0-2): 0 ファイアウォール設定。ここでは指定しない。あとで書く。 Start this connection at boot time Do you want to start this connection at boot time? Please enter no or yes (default no): yes ブート時にセッションを自動的に張るかどうか(ここはyesにしておいた方が良いと思います) Start this connection at boot time ** Summary of what you entered ** Ethernet Interface: 設定したインタフェース User name: 設定したアカウント(ユーザ名) Activate-on-demand: No Primary DNS: プライマリDNSのアドレス Secondary DNS: セカンダリDNSのアドレス Firewalling: NONE User Control: yes Accept these settings and adjust configuration files (y/n)? 確認してOKならy
これで、インタフェースppp0が作成され、使用できるようになります。試しに接続してみて以下のようにIPアドレスが割り当てられれば接続は完了です。
# adsl-start # ifconfig ppp0 ppp0 Link encap:Point-to-Point Protocol inet addr:IPアドレス P-t-P:接続先のIPアドレス Mask:255.255.255.255 UP POINTOPOINT RUNNING NOARP MULTICAST MTU:1454 Metric:1 RX packets:3 errors:0 dropped:0 overruns:0 frame:0 TX packets:3 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:3 RX bytes:30 (30.0 b) TX bytes:30 (30.0 b)
この時点ではファイアウォールを設定していないため、このまま接続しておくと危ないので接続確認ができたなら、一旦、インタフェースを落としておきます。
なおスクリプトが/etc/resolv.confを書き換えてしまいますので、不都合がある場合には修正しておいてください。adsl-setupを実行すると指定したDNSサーバが/etc/resolv.confに設定されます。
# adsl-stop
ファイアウォールの設定
この方法ではLinuxマシンにグローバルIPが当たるため、そのままではマシンが公開されているのと同じことになってしまいます。このため、外部からの攻撃にさらされるのでiptablesによってフィルタリングすることによって不要なトラフィックを遮断する方法で防御します。
iptablesのエントリはCentOSのデフォルトのものに追加する形で追記します。ファイルは/etc/sysconfig/iptablesを修正して行います。設定に必要な情報は以下の通りとします。
- インタフェース ppp0
- 開くポート
- SIPシグナリング UDP 5060
- メディア(RTP) UDP 10000~20000 (rtp.confで調整できる)
- セッションの戻りパスの許可
これら以外は遮断します。というのはGOLはFUSIONとのVoIP接続にしか使用しないためです。また、SIPおよびUDPのポートはフュージョンのIPレンジにのみ許可します。
/etc/sysconfig/iptablesの内容は以下のようになります。
# Firewall configuration written by system-config-securitylevel # Manual customization of this file is not recommended. *filter :INPUT ACCEPT [0:0] :FORWARD ACCEPT [0:0] :OUTPUT ACCEPT [0:0] :RH-Firewall-1-INPUT - [0:0] -A INPUT -j RH-Firewall-1-INPUT -A FORWARD -j RH-Firewall-1-INPUT -A RH-Firewall-1-INPUT -i ppp0 -s 61.114.160.0/20 -p udp -m udp --dport 5060 -j ACCEPT -A RH-Firewall-1-INPUT -i ppp0 -s 61.114.160.0/20 -p udp -m udp --dport 10000:20000 -j ACCEPT -A RH-Firewall-1-INPUT -i ppp0 -s 61.117.213.0/24 -p udp -m udp --dport 5060 -j ACCEPT -A RH-Firewall-1-INPUT -i ppp0 -s 61.117.213.0/24 -p udp -m udp --dport 10000:20000 -j ACCEPT -A RH-Firewall-1-INPUT -i ppp0 -s 61.203.144.0/20 -p udp -m udp --dport 5060 -j ACCEPT -A RH-Firewall-1-INPUT -i ppp0 -s 61.203.144.0/20 -p udp -m udp --dport 10000:20000 -j ACCEPT -A RH-Firewall-1-INPUT -i ppp0 -s 61.213.224.0/20 -p udp -m udp --dport 5060 -j ACCEPT -A RH-Firewall-1-INPUT -i ppp0 -s 61.213.224.0/20 -p udp -m udp --dport 10000:20000 -j ACCEPT -A RH-Firewall-1-INPUT -i ppp0 -s 202.176.16.0/20 -p udp -m udp --dport 5060 -j ACCEPT -A RH-Firewall-1-INPUT -i ppp0 -s 202.176.16.0/20 -p udp -m udp --dport 10000:20000 -j ACCEPT -A RH-Firewall-1-INPUT -i ppp0 -s 202.176.32.0/19 -p udp -m udp --dport 5060 -j ACCEPT -A RH-Firewall-1-INPUT -i ppp0 -s 202.176.32.0/19 -p udp -m udp --dport 10000:20000 -j ACCEPT -A RH-Firewall-1-INPUT -i ppp0 -s 210.253.135.0/24 -p udp -m udp --dport 5060 -j ACCEPT -A RH-Firewall-1-INPUT -i ppp0 -s 210.253.135.0/24 -p udp -m udp --dport 10000:20000 -j ACCEPT -A RH-Firewall-1-INPUT -i ppp0 -s 219.105.160.0/20 -p udp -m udp --dport 5060 -j ACCEPT -A RH-Firewall-1-INPUT -i ppp0 -s 219.105.160.0/19 -p udp -m udp --dport 10000:20000 -j ACCEPT -A RH-Firewall-1-INPUT -i ppp0 -m state --state ESTABLISHED,RELATED -j ACCEPT -A RH-Firewall-1-INPUT -i ppp0 -j REJECT -A RH-Firewall-1-INPUT -i lo -j ACCEPT -A RH-Firewall-1-INPUT -p icmp --icmp-type any -j ACCEPT -A RH-Firewall-1-INPUT -p 50 -j ACCEPT -A RH-Firewall-1-INPUT -p 51 -j ACCEPT -A RH-Firewall-1-INPUT -p udp --dport 5353 -d 224.0.0.251 -j ACCEPT -A RH-Firewall-1-INPUT -p udp -m udp --dport 631 -j ACCEPT -A RH-Firewall-1-INPUT -p tcp -m tcp --dport 631 -j ACCEPT -A RH-Firewall-1-INPUT -p udp -m udp --dport 5060 -j ACCEPT -A RH-Firewall-1-INPUT -p udp -m udp --dport 10000:20000 -j ACCEPT -A RH-Firewall-1-INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT -A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 22 -j ACCEPT -A RH-Firewall-1-INPUT -j REJECT --reject-with icmp-host-prohibited COMMIT
フュージョンのIPレンジは変更される可能性があるので注意してください。