Buch lesen: «ELASTIX – общайтесь свободно», Seite 3

Собственный сервер Elastix

Собственный сервер Elastix целесообразно использовать при необходимости установки в офисе компании. Такой сервер всегда под рукой, к нему можно подключить любое оборудование, не нужно платить ежемесячную аренду, однако:

• требуется сразу выделить около 60 000 рублей на покупку сервера

• необходимо обеспечить резервное питание

• желательно организовать резервный канал подключения к Интернет

• следует каждые 18–30 месяцев менять диски (если в серверной жарко, диски придется менять каждые 6-18 месяцев)

• при росте компании придется придумать применение старому серверу и потратиться на новый

Существенным преимуществом установки собственного сервера может являться использование в Elastix функциональности Endpoint Configurator, позволяющей несколько упростить настройку телефонов, находящихся в одной с сервером локальной сети (хотя, этот функционал можно задействовать, настроив между телефонами и Elastix каналы OpenVPN, потратив 20 USD на дополнение MyVPN Server). Также собственный сервер оправдан в труднодоступных для проводной связи местах, когда связь офиса с внешним миром происходит по низкоскоростному каналу или через сети мобильной связи (за счет использования шлюзов SIP-GSM).

Инсталляция сервера Elastix 2.4

Краткое описание процесса установки:

• выберите и скачайте дистрибутив Elastix на локальный диск

• настройте DNS для сервера Elastix

• загрузите сервер, используя скаченный дистрибутив

• во время установки отформатируйте диск в соответствии со своими задачами

• определите пароли для управления сервером, для управления базой данных, для управления Elastix через web-интерфейс

• обновите систему до текущей версии

• настройте основные функции защиты Elastix

• русифицируйте систему

• создайте резервную копию настроек Elastix

• отключите неиспользуемый функционал

• настройте функции самообслуживания станции

• приступайте к настройке телефонных функций

Выбор и загрузка дистрибутива Elastix

Если Вы колеблетесь в выборе между 32-битной и 64-битной версией Elastix, не гонитесь за модой, используйте 32-битную версию. Несмотря на то, что поддержка 64-битных команд появилась более 10 лет назад, порой могут возникать проблемы в разных библиотеках. Проблемы решаемые, но отнимающие время при их локализации и устранении. Хотя использование 64-битной системы позволяет каждому их приложений использовать больше 4Гбайт памяти, имейте в виду, что 64-битные приложения занимают в оперативной памяти больше места, требуют больше места для хранения некоторых данных в оперативной памяти. Поэтому, в общем случае рекомендую использовать 32-битную версию Elastix. Тем более, что 4Гбайтами ограничен не сам сервер, а каждое из приложений в отдельности. То есть вполне можно установить Elastix на сервер с 8Гбайт или 16Гбайт памяти и операционная система (в режиме PAE) будет использовать всю доступную оперативную память, разделив ее между разными приложениями. Да, Asterisk не сможет задействовать более 4Гбайт ОЗУ, но (в большинстве ситуаций) ему столько не потребуется для обслуживания даже 500 абонентов, а остальную доступную память задействуют Jabber-сервер, Apache, mySQL и другие компоненты Elastix.

Для загрузки дистрибутива зайдите на страницу www.elastix.org/index.php/en/downloads/ и выберите необходимую версию:

Настройка DNS для сервера Elastix

Наверняка у вашей компании есть свой домен в Интернет, поэтому для простоты настройте на DNS-сервере провайдера необходимые вам субдомены, например:

• sip.elastix.club – адрес для подключения VoIP-телефонов к Elastix

• im.elastix.club – адрес для подключения к Jabber-серверу

• mail.elastix.club – адрес для подключения к Email-серверу

• fax.elastix.club – адрес для подключения к факс-серверу

• crm.elastix.club – адрес для подключения к CRM-системе

• kvm4sip.elastix.club – адрес для подключения к IP-KVM для управления Elastix

Даже если Вы сначала планируете совместить на одном сервере все функции Elastix, рекомендую для каждой из задач сразу задействовать отдельное имя. В этом случае когда созреете разделить функции между серверами, Вам не придется перенастраивать все рабочие места – достаточно будет изменить соответствующие записи на DNS-сервере.

Загрузка сервера с дистрибутива Elastix

Пример описывает процесс установки из образа Elastix-2.4.0-Stable-i386-bin-04Feb2013.iso на сервере в дата-центре Новосибирска. Выбран двухдисковый сервер для зеркалирования данных.

Такой сервер с запасом подходит для обслуживания более 300 абонентов при 30–40 одновременных сеансах связи – типичные потребности компании средних размеров.

Установка через IP-KVM

Установка производится через предоставленный провайдером IP-KVM. Способ запуска зависит от используемого IP-KVM, например:

Для загрузки сервера подключите к IP-KVM скачанный дистрибутив. В случае KVM в нашем примере, выберите Device/Redirect ISO:

перезагрузите сервер:

Для начала установки просто нажмите Enter.

При выборе языка установки на некоторых IP-KVM приходится выбирать English, так как не все KVM корректно работают с кириллицей. Выбор языка не скажется на интерфейсе Elastix – язык WEB-интерфейса выбирается после установки.

Форматирование диска сервера

После выбора языка установки требуется настроить дисковую систему будущего сервера.

Однодисковый сервер

Если по каким-то причинам Вам пришлось использовать однодисковый сервер, можно во время инсталляции выбрать опцию «Remove all partitions on selected drives and create default layout». Будут созданы три необходимых для системы раздела: SWAP-диск по размеру ОЗУ, 100МБайт загрузочный раздел «/boot», и корневой раздел «/» по размеру оставшегося на диске места.

Двухдисковый сервер для RAID-1 (зеркалирование)

Поскольку жесткий диск – наименее надежный компонент сервера, строго рекомендую использовать зеркалирование дисков. Нагрузка на дисковую систему столь мала, что достаточно использовать программное зеркалирование. При выборе между дисками SAS и SATA основное значение имеет срок службы. Диски SATA обычно рассчитаны на 1–3 года эксплуатации, диски SAS обычно предназначены для эксплуатации в течение 5–7 лет. Разницу в быстродействии между дисками SATA и SAS при использовании Elastix Вы вряд ли заметите.

Для настройки программного зеркалирования дисков выберите опцию «Create custom layout». Именно этот вариант описан далее.

Если Ваши диски еще не использовались ранее, Вы увидите примерно следующее окно.

Если на дисках имеются созданные разделы, удалите их и приведите к состоянию, показанному на иллюстрации выше.

Создайте на первом диске раздел для «/boot» (достаточно 100 Мбайт):

• нажмите кнопку «New»

• выберите тип файловой системы «software RAID»

• выберите первый из дисков – «sda»

• укажите размер раздела в мегабайтах – «100»

• сделайте раздел основным – «Force to be a primary partition», чтобы система могла с него загружаться.

Лучше начинать с этого раздела, чтобы у BIOS не было проблем с загрузкой.

Следующим создайте на первом диске раздел для SWAP-диска размером от 2000 до 4000 Мбайт:

• (для этого раздела) выберите строку «Free space» диска «/dev/sda» и нажмите кнопку Edit

• укажите тип файловой системы «software RAID»

• выберите «Size (MB)» и укажите размер раздела в мегабайтах «4000».

Раздел лучше создавать до раздела с данными, так как быстродействие дисков в начальных секторах обычно выше. Если для создания раздела воспользоваться кнопкой «New» (вместо «Free space»), раздел будет создан в середине или в конце диска (в зависимости от числа создаваемых разделов).

Третьим создайте раздел для корневого каталога системы «/»:

• нажмите кнопку «New»

• выберите тип файловой системы «software RAID»

• выберите первый из дисков – «sda»

• укажите размер раздела в мегабайтах – «100000»

На нем можно остановиться, но лучше на следующем шаге создать раздел для хранения аудиозаписей разговоров. Поэтому корневой раздел в данном примере создается размером в 100 000 Мбайт. Сделано это для того, чтобы при переполнении диска аудиозаписями сервер Asterisk продолжал корректно работать. Если диск, на котором находится Asterisk переполнится, в первую очередь повредится база данных активных абонентов и связь прервется. Придется после освобождения места на диске восстанавливать базу данных активных абонентов. Место на диске могут переполнить и другие данные (например, статистика звонков), но 100 Гбайт хватит надолго.

Последним создайте раздел «/var/spool» для хранения аудиозаписей. Используйте для него оставшееся на диске место:

• выберите тип файловой системы «software RAID»

• выберите первый из дисков – «sda»

• выберите опцию «Fill all available space», чтобы выделить для раздела все оставшееся место.

После этого на первом диске получатся следующие разделы:

Аналогично создайте такие же разделы на втором диске.

Раздел для загрузки:

Раздел для SWAP:

Корневой раздел системы:

Раздел для хранения аудиозаписей:

Теперь на втором диске должны получиться такие же разделы как на первом.

Можно приступать к настройке программного RAID.

Нажмите кнопку RAID и создайте раздел «/boot»

• укажите точку монтирования «/boot»

• выберите журналируемую файловую систему «ext3»

• выберите уровень RAID1 (зеркалирование)

• выберите разделы «sda1» и «sdb1» (снимите выделение с других разделов)

• выберите опцию «Format partition» (чтобы стереть все ранее хранившиеся на диске данные)

Вторым создайте SWAP-раздел:

• выберите тип файловой системы «swap»

• выберите RAID1 (зеркалирование)

• выберите разделы «sda2» и «sdb2» (снимите выделение с других разделов)

• выберите опцию «Format partition»

Следующим создайте корневой раздел «/»:

• укажите точку монтирования «/»

• выберите журналируемую файловую систему «ext3»

• выберите уровень RAID1 (зеркалирование)

• выберите разделы «sda3» и «sdb3» (снимите выделение с других разделов)

• выберите опцию «Format partition» (чтобы стереть все ранее хранившиеся на диске данные)

Последним создайте раздел «/var/spool» для хранения аудиозаписей:

• укажите точку монтирования «/var/spool»

• выберите журналируемую файловую систему «ext3»

• выберите уровень RAID1 (зеркалирование)

• выберите разделы «sda5» и «sdb5» (снимите выделение с других разделов)

• выберите опцию «Format partition» (чтобы стереть все ранее хранившиеся на диске данные)

После настройки RAID таблица разделов должна выглядеть примерно так:

Обязательно проверьте размеры разделов, типы и точки монтирования. Если где-то ошиблись, удалите и переделайте.

После нажатия ОК процесс установки пойдет дальше, но настройка RAID на этом еще не закончилась – необходимо сделать второй диск загрузочным на случай выхода из строя первого диска. Когда Elastix загрузится первый раз, войдите под пользователем «root» и перейдите к настройкам загрузчика grub, введя в командной строке «grub»:

Далее выполните следующие команды:

grub> device (hd0) /dev/sda

grub> device (hd1) /dev/sdb

grub> root (hd0,0)

grub> setup (hd0)

grub> root (hd1,0)

grub> setup (hd1)

grub> quit

Через некоторое время можно проверить работоспособность RAID следующей командой:

[root@sip ~]# cat /proc/mdstat

До завершения зеркалирования под информацией о разделе будет написано «resync=DELAYED» (см. md0 и md2) или процент завершения «resync = хх. х%» (см. md3). После завершения зеркалирования строка «resync» не отображается (см. md1).

Если Вас интересует порядок восстановления сервера при отказе дисков, рекомендую ознакомиться, например, с руководством «Elastix RAID Setup Step By Step Including Recovery», доступном по адресу http://www.elastixconnection.com/index.php?option=com_content&view=article&id=109&Itemid=117.

Настройка сетевых интерфейсов сервера

Чтобы у абонентов появилась возможность подключаться к серверу, необходимо настроить сетевые интерфейсы. Если на сервере доступна только одна сетевая карта, появится предложение ее настроить, нажмите «Yes».

Если на сервере более одной сетевой карты, инсталлятор предложит их настроить. Нужно только угадать какая из сетевых карт к какому концентратору подключена, чтобы правильно указать сетевые адреса. Если не угадаете, после загрузки сервера можно запустить утилиту «setup», изменить настройки и перезагрузить сервер.

В появившемся окне выберите опцию «Activate on boot» (требуется активировать сетевую карту при загрузке системы) и опцию «Enable IPv4 support» (поддержка протокола IPv4 для IP-адресации).

Выберите в окне настройки «Manual address configuration» (для указания сетевых параметров сетевой карты вручную), укажите в поле «IP Address» адрес сервера и в поле «Prefix (Netmask)» маску сети, в которой находится сервер.

В следующем окне укажите в поле «Gateway» адрес шлюза, через который сервер подключен к Интернет, в полях «Primary DNS» и «Secondary DNS» введите адреса основного и резервного серверов DNS.

ВАЖНО!!! Используйте надежные серверы DNS, чтобы исключить простои Elastix (например, серверы Яндекс 77.88.8.8 или Google 8.8.8.8). Если серверы DNS станут недоступными, абоненты потеряют связь с Elastix, даже при наличии связи между абонентами и сервером Elastix. Если однажды связь перестанет работать и в ответ на команду «sip show peers» увидите множество строк «UNREACHEBLE», скорее всего проблема в доступности серверов DNS.

Далее укажите DNS-имя вашего сервера, выбрав опцию «manually».

Выбор часового пояса телефонной станции

В журнале звонков сохраняется информация о времени начала разговора. Удобно, если это время соответствует локальному времени звонка. Если все абоненты находятся в одном часовом поясе, выберите его из списка. Если абоненты находятся в разных часовых поясах, выберите то, который сочтете наиболее удобным для Вашего случая. Этот же часовой пояс будет использован системой при звонках абонентов на службу точного времени (по умолчанию «*60», для России удобнее изменить на короткий номер «100» – стр.139 «Справочные сервисы (Info Services)»).

Пароли доступа к серверу Elastix

Теперь необходимо придумать пароль супер-пользователя «root». С этим паролем можно получить полный доступ к серверу, поэтому не ленитесь и создайте стойкий ко взлому пароль. Рекомендую использовать не менее 12 символов. Также загляните в «Меры повышения безопасности».

Наконец мы добрались до небольшого перерыва – процесс инсталляции занимает около 15 минут (в зависимости от скорости соединения с сервером и от быстродействия самого сервера).

Желательно не отходить от экрана, поскольку при первом запуске инсталлятор потребует придумать стойкий пароль для сервера базы данных mySQL:

Если отвлечься надолго, можно пропустить этот экран из-за ухода сервера в режим спячки.

Лучше не сдерживать себя и в выборе пароля для управления станцией через web-интерфейс, который будет затребован следом:

Не забудьте записать в подкорку своего сознания выбранные пароли. Или хотя бы сохраните их в труднодоступном для посторонних месте. Еще раз загляните в «Меры повышения безопасности».

Обновление системы до текущей версии

Поскольку Вы еще не приступили к настройке системы, рекомендую сразу обновиться до последней версии. Когда система будет настроена, сделать этого будет уже намного сложнее – почти наверняка придется потратить время на адаптацию сделанных настроек для новых версий используемых приложений.

Войдите на сервер под логином «root» или под пользователем с правами sudo и выполните команду:

sudo yum update

В результате будут обновлены установленные модули:

После обновления войдите как root и добавьте группе sudoers административный доступ:

su root

echo '%sudoers ALL = (ALL) ALL' >>/etc/sudoers

exit

Посмотрите, также «Установка и настройка дополнения Anti-Hacker», «Меры повышения безопасности. Защита консольного доступа по SSH».

Если позже решите обновить уже работающую систему, проверьте сначала все на тестовой версии. Например, установите Elastix на Virtual Box, максимально повторите настройки боевой системы, обновитесь и перепроверьте все, что обычно используете. Поскольку в данной книге рассматривается русификация Elastix, перепроверьте на тестовой версии, что после обновления русские имена абонентов отображаются в интерфейсе и перепроверьте, что сохранилась возможность изменять русские имена абонентов и применять сделанные изменения. При необходимости повторите процедуру русификации.

Настройка основных функций защиты Elastix

Чтобы обезопасить себя и компанию от взлома АТС необходимо предпринять несколько несложных действий:

• подключайтесь к станции с защищенных от вирусов компьютеров (неплохим выбором будет использование Ubuntu в качестве основной операционной системы на Вашем рабочем компьютере – 100 % магазинов и 80 % сотрудников в офисе компании, где я работаю, уже используют ее)

• измените стандартные порты SSH и ограничьте список сетей, с которых возможно подключение по протоколу SSH (Меры повышения безопасности. Защита консольного доступа по SSH)

• измените стандартные порты HTTP/HTTPS и ограничьте список сетей, с которых возможно подключение по протоколам HTTP/HTTPS (Меры повышения безопасности. Защита доступа к WEB-интерфейсу)

• включите брандмауэр, оставив в списке разрешенных только используемые протоколы (Меры повышения безопасности. Защита портов через Firewall)

• отключите не используемый функционал

• заблокируйте подключение к станции без авторизации («Anonymous Inbound SIP Calls» в меню PBX\General Settings) и заблокируйте исходящие вызовы (Outbound Routes) по неиспользуемым направлениям

• подключаясь к провайдерам, ограничивайте исходящие звонки на их серверах

• заблокируйте перебор паролей (Меры повышения безопасности. Установка и настройка дополнения Anti-Hacker)

Проделать перечисленные настройки лучше до того, как приступить к настройке системы. Пока Вы разбираетесь с системой, злоумышленники не дремлют и сканируют порты серверов, доступных в Интернет. Обнаружив Ваш сервер, их боты проверят стандартные бреши в безопасности. Использование Вашего сервера злоумышленниками может привести к крупным финансовым потерям для компании, измеряющимися Вашей зарплатой за несколько месяцев. Не надейтесь на славу «неуловимого Джо»! Если после установки сервера до его защиты прошло несколько дней, лучше переустановить сервер заново и настроить защиту в течение нескольких минут – на процедуру изменения стандартных портов и включение Firewall этого достаточно.