Выбрать страну:   Выбрать язык:    
RU UZ ENG  
Главная / Пресс-центр / Новости
версия для печати

Работа IP-АТС c LAN и WAN

20 июня'2025

Введение

IP-АТС — вещь удобная и полезная. Она обеспечивает широкий набор функций телефонии: звонки по внутренним номерам, переадресацию, очереди, запись разговоров. Все это отлично работает... пока вы находитесь внутри офиса. Но стоит вам подключить телефон из дома, настроить приложение на смартфоне или связать два филиала — и начинаются чудеса:

  • звонки не проходят;
  • звук пропадает;
  • регистрация "слетает" через 30 секунд;
  • кто-то звонит, а вы его не слышите (или наоборот — и это даже хуже).

Во многих случаях проблема заключается не в самой IP-АТС, не в телефоне и даже не в сети. Проблема — в понимании того, как работает сеть, и корректной настройке устройств.

В этой статье разберемся:

  • чем отличается локальная сеть (LAN) от глобальной (WAN) в контексте VoIP;
  • какие подводные камни появляются при подключении удаленных устройств;
  • как все это настроить правильно, чтобы больше не ловить SIP-фрустрацию.

Что такое LAN и WAN в контексте IP-АТС

Прежде чем настраивать что-либо, важно понять, в каких условиях вообще работает IP-АТС. Сети бывают разными — и от этого напрямую зависит поведение телефонии.

LAN — локальная сеть

Локальная сеть (Local Area Network) — это, по сути, ваша внутренняя инфраструктура: офис, склад, завод — все, что соединено напрямую коммутаторами и роутером без выхода в интернет. В такой сети:

  • все устройства "видят" друг друга напрямую (по IP);
  • нет NAT (или он работает предсказуемо);
  • задержки минимальны;
  • трафик не покидает периметр этой сети.

В условиях локальной сети взаимодействие между IP-телефонами и IP-АТС происходит максимально надежно и без лишних сложностей:

  • SIP-регистрация происходит напрямую, без участия промежуточных NAT и/или внешних IP-адресов;
  • голосовой трафик (RTP) передается без переадресации и задержек — от телефона к IP-АТС или другому телефону напрямую;
  • маршруты просты: вся связь остается внутри одной подсети или сети и не зависит от внешних факторов.

Пример: IP-телефон на столе в офисе регистрируется на IP-АТС, стоящей в серверной этой же сети.

p1.png

WAN — глобальная сеть

Wide Area Network — это уже интернет. Все, что находится вне локальной сети, относится к WAN. Здесь все сложнее:

  • устройства находятся за разными NAT;
  • маршруты проходят через десятки промежуточных узлов;
  • внешний IP-адрес может меняться;
  • появляется задержка, потери, нестабильность.

Пример: сотрудник подключает Linkus (или Zoiper, или другой софтфон) из дома, через своего провайдера. Его телефон — уже в WAN. Именно здесь начинаются проблемы:

  • SIP-регистрация может не проходить (или слетать через пару минут);
  • звонок проходит, но нет звука (или он передается в одну сторону);
  • невозможно позвонить на номер внешнего абонента, даже если IP-адрес верен.

Почему важно понимать эти различия?

SIP-протокол изначально не предназначен для работы через NAT. Он не умеет корректно определять внешний IP-адрес, не защищает медиа. Поэтому, как только SIP-устройства выходят за рамки локальной сети, вы, как администратор, обязаны:

  • учитывать работу NAT;
  • настраивать правильные IP-адреса и порты в IP-АТС;
  • контролировать проброс портов, маршруты, время жизни регистраций;
  • и обязательно — обеспечивать безопасность (иначе, в лучшем случае, к вам "постучится" кто-нибудь из Бразилии или Сингапура в 3 часа ночи).

Подводим итог:

Характеристика LAN WAN
IP-адреса Частные (192.168.x.x и т. п.) Публичные/динамические
NAT Нет или полностью под контролем Почти всегда есть
Проблемы с SIP и RTP Почти нет Часто возникают (особенно с RTP)
Задержки/потери Минимальные Возможны
Безопасность Локальный контроль Требуется защита, шифрование, ограничение

Как IP-АТС взаимодействует с сетью и где начинаются проблемы

На первый взгляд, SIP — простой протокол: телефон отправляет запрос на регистрацию, IP-АТС отвечает "ОК", и все — можно звонить. Но за кулисами происходит куда больше: особенно если сеть — не локальная. Чтобы разобраться, где появляются проблемы, нужно понимать, как именно SIP и RTP контактируют с сетью и какую роль выполняют.

SIP-сигнализация

SIP отвечает за установку и завершение вызова. Это, по сути, "переговоры":

  • кто звонит;
  • куда звонит;
  • как долго длится звонок;
  • какие IP-адреса и порты использовать для передачи звука.

SIP-пакеты ходят по протоколу UDP (реже TCP) на порт 5060. И вот тут начинается магия. Внутри SIP-пакета устройство указывает свой локальный IP-адрес — тот, что "видит" оно само. Если вы в LAN — все хорошо. Если вы в WAN — IP-АТС увидит неправильный IP-адрес и будет пытаться отправить SIP-пакеты не туда.

Пример: телефон в офисе отправляет SIP-запрос INVITE на IP-АТС (IP 192.168.10.16). От IP-АТС запрос уходит на линию провайдера. Внутри запроса IP-АТС пишет: "Я — 192.168.10.16". Внешний адрес офиса в данном примере – 176.197.4.202. Если от IP-АТС будет указываться локальный адрес, то провайдер не сможет достучаться до него — он частный и недостижим из WAN.

Пример локального пакета (на скриншоте показаны IP-адрес и порт).

p2.png

Чтобы решить эту проблему, можно настроить NAT на IP-АТС.

p3.png

Теперь все пакеты, которые будут отправляться вовне локальной сети 192.168.10.0, будут иметь публичный адрес 176.197.4.202.

RTP — передача аудио

После установки соединения начинается передача голоса — за это отвечает RTP. И тут важно понимать: SIP сообщает, куда отправить RTP. Если IP-АТС или телефон передают неправильный IP-адрес или порт через SIP, звука у абонента не будет.

Типичные симптомы неверного направления RTP:

  • звонок проходит, но нет звука вообще;
  • звук передается только в одну сторону;
  • звонок обрывается через 30 секунд (таймаут RTP);
  • все работает внутри сети, но ломается при подключении извне.

NAT и "поломка" SIP

Проблема в том, что NAT (преобразование адресов) влияет на SIP и RTP:

  • он меняет исходящий IP-адрес пакетов, но не знает, что нужно еще и подменить IP-адрес внутри SIP-сообщения;
  • SIP остается "слепым" и указывает устаревшие или недостижимые IP-адреса;
  • RTP может вообще не пройти, потому что NAT "не ждет" входящего трафика на нужный порт.

Вывод

SIP-пакеты часто содержат "ложную информацию" о параметрах сети — не из-за некорректной работы протокола, а потому что не выполнено нужных настроек. Если не настроить корректно:

  • IP-АТС не будет понимать, откуда реально пришел запрос;
  • телефоны не смогут получить RTP-поток;
  • вы получите звонок без звука, слетающие регистрации, постоянные обрывы.

Как обеспечить стабильную работу SIP и RTP через NAT

Когда устройства находятся по разные стороны NAT, SIP-соединение начинает вести себя непредсказуемо. Чтобы все работало стабильно, нужно помочь SIP "понять", как добраться до нужной точки. Ниже приводятся проверенные способы, которые позволяют наладить передачу SIP и RTP в сетях с NAT.

1. STUN — простой помощник для телефонов

STUN (Session Traversal Utilities for NAT) позволяет SIP-устройству определить, какой у него "реальный" внешний IP-адрес и порт, видимый извне. Телефон отправляет STUN-запрос на внешний сервер, сервер отвечает "Извне вижу тебя как (например) 93.184.216.34:5078", телефон подставляет эти данные в SIP-пакет. Когда использовать:

  • если IP-телефон или софтфон работает из-за роутера (в WAN);
  • если нет VPN и SBC.

Важно: STUN работает только при "простом" NAT. При сложном (symmetric NAT) это решение может не помочь.

2. NAT Keep-Alive — чтобы соединение не "засыпало"

Обычно SIP-клиент создает сессию, отправляя запрос на сервер. В роутере при этом открывается временная сессия, которая исчезает при простое. Чтобы сессия не закрывалась, нужно регулярно отправлять REGISTER, OPTIONS или keep-alive-пакеты. Многие маршрутизаторы закрывают неактивные SIP-сессии через 30–60 секунд. В результате:

  • телефоны "вылетают" из IP-АТС;
  • входящие звонки не доходят;
  • голос пропадает на ровном месте.

Решение: включить NAT Keep-Alive.

  • Это короткие SIP-запросы (обычно OPTIONS или REGISTER), которые посылаются каждые 20–30 секунд.
  • Они "держат" соединение активным.

Где настраивается: в самих SIP-устройствах (телефонах, приложениях) или на IP-АТС (если она инициирует Keep-Alive).

3. VPN — надежное туннелирование трафика

Вместо танцев с NAT можно просто соединить офис и удаленных сотрудников в одну "виртуальную" сеть. Решаемые задачи:

  • VPN позволяет телефонам работать по локальным IP-адресам, как будто внутри LAN;
  • проблемы с NAT возникают заметно реже;
  • SIP и RTP идут "напрямую".

Плюсы
Безопасность: весь трафик зашифрован.
Прозрачность: SIP "думает", что все находится в одной сети.

Минусы
Требует настройки VPN-сервера.
Нужен стабильный интернет у всех участников.

4. SBC (Session Border Controller) — профессиональное решение

SBC — это шлюз, который "понимает SIP" и умеет:

  • подменять IP-адреса и порты внутри SIP-пакетов;
  • пробрасывать RTP;
  • управлять NAT, STUN, TLS, SRTP;
  • защищать от DDoS и SIP-атак.

SBC может стоять:

  • на стороне IP-АТС (в облаке или локально);
  • на границе сети офиса;
  • как облачный сервис (например, 3CX SBC, Yeastar Remote SIP, Grandstream UCM Relay и т.п.).

Подходит для:

  • сложных топологий;
  • большого количества удаленных пользователей;
  • защиты IP-АТС и телефонов.

5. TURN — если ничего не помогает

TURN — "тяжелая артиллерия": он не просто сообщает IP-адрес, а перенаправляет весь трафик через сервер.

Плюсы
Работает даже за самым "капризным" NAT.
Используется, если ни STUN, ни обычные SIP-настройки не спасают.

Минусы
Высокая нагрузка на сервер.
Потери и задержки выше.
Требует настройки и поддержки TURN-сервера.

Вывод

Чтобы SIP и RTP работали через NAT:

Метод Для кого/чего Когда использовать
STUN Телефоны/софтфоны Простое подключение через интернет
NAT Keep-Alive Все устройства Почти всегда нужно включать
VPN Малый/средний офис При стабильном интернете
SBC Компании/провайдеры При сложной топологии и высоких требованиях
TURN WebRTC, редкие случаи Когда NAT "мешает" и проблемы не решаются способами выше

Как правильно настраивать IP-АТС для работы и в LAN, и в WAN

Настройка IP-АТС, которая будет стабильно работать как внутри локальной сети (LAN), так и с удаленными пользователями через интернет (WAN), требует тщательной проработки нескольких ключевых аспектов: правильного определения IP-адресов, настройки NAT, проброса портов и обеспечения безопасности. Ниже разберем этот вопрос пошагово.

IP-адреса и NAT

Указание внешнего IP-адреса или FQDN
Если IP-АТС располагается за роутером и должна принимать подключения из интернета, важно указать в ее настройках внешний (публичный) IP-адрес или DNS-имя (FQDN).
Это позволяет устройствам из WAN корректно находить IP-АТС и регистрироваться на ней, а IP-АТС — принимать обращения, адресованные на внешние адреса или доменное имя.

Правильное определение локальных и внешних сетей
В настройках IP-АТС нужно четко указать, какие диапазоны IP-адресов считаются локальными (например, 192.168.0.0/16, 10.0.0.0/8), а какие — внешними.
Это помогает IP-АТС правильно обрабатывать SIP-запросы, подставляя локальные IP-адреса для внутреннего трафика и внешний IP-адрес для звонков из интернета.

Порты и проброс

Какие порты нужны для корректной работы
SIP-протокол обычно использует порт UDP 5060 (TCP/UDP 5061 для TLS).
RTP-потоки для передачи голоса — диапазон портов UDP, например, 10000–20000 (зависит от настройки IP-АТС).
Для управления веб-интерфейсом или туннелированием могут использоваться TCP-порты, например, 80/443 или специальные порты для VPN и туннелей.

Порт-форвардинг и статические правила
На роутере нужно настроить проброс портов (port forwarding) с внешнего IP-адреса на внутренний IP-адрес IP-АТС: SIP-порт 5060 (и 5061 при TLS), диапазон RTP-портов, например 10000–20000 UDP, порты для веб-доступа, если требуется.
Рекомендуется использовать статический внутренний IP-адрес для IP-АТС, чтобы правила не сбивались.

Для примера возьмем Yeastar P570 и настроим ее согласно данным, которые предоставил провайдер. Иногда провайдер выдает "серый" адрес своей сети — в нашем примере мы рассматриваем именно этот вариант.

LAN WAN
Адрес 192.168.5.150 10.50.10.10
Шлюз 192.168.5.1 10.10.1.192
Маска подсети 255.255.255.0 255.255.255.252
DNS 192.168.5.1 4.4.4.4

Примечание: адрес 192.168.5.150 является адресом по умолчанию для IP-АТС Yeastar. Использовать его в качестве статического адреса для IP-АТС не рекомендуется.

Для начала необходимо настроить сеть в разделе Система -> Сеть, то есть, необходимо установить Режим Ethernet на Двойной, затем заполнить выделенные поля.

p4.png

После конфигурации LAN необходимо так же заполнить WAN, но уже данными, которые выдал провайдер.

Примечание: в некоторых случаях конфигурировать WAN на статику нет необходимости, провайдер по DHCP выдаст адрес.

В нашем же случае мы заносим выданные данные.

p5.png

Когда конфигурация сетевых интерфейсов завершена, необходимо перезагрузить IP-АТС, чтобы она применила изменения. Затем необходимо создать линию к провайдеру.

p6.png

Если вы все сделали правильно, отобразится следующая индикация:

p7.png

После этого необходимо настроить статический маршрут для IP-АТС с указанием интерфейса.

p8.png

После сохранения статического маршрута проверьте правильность настроек.

p9.png

Теперь настройка WAN и статической маршрутизации завершена, также завершена и конфигурация IP-АТС. Остается настроить только маршрутизацию звонков.

Безопасность

Никогда не публикуйте IP-АТС напрямую в интернет без защиты. Открытие SIP- и RTP-портов напрямую — риск для безопасности: возможны SIP-атаки, взломы и несанкционированные звонки.

Использование VPN, SBC или whitelist
Самый простой и надежный способ защиты — подключать удаленных сотрудников через VPN, чтобы все устройства были в одной защищенной сети.
SBC (Session Border Controller) — специализированный шлюз, который фильтрует трафик и защищает IP-АТС от атак.
В крайнем случае — использовать whitelist IP-адресов, разрешая доступ только проверенным клиентам.

GeoIP-блокировка, fail2ban, сложные пароли
Дополнительно стоит использовать инструменты, которые автоматически блокируют подозрительные IP-адреса:

  • GeoIP-блокировка — блокирует подключения из стран, где у IP-АТС нет пользователей.
  • fail2ban — блокирует IP-адрес после нескольких неудачных попыток входа.

Всегда задавайте сложные пароли на учетные записи SIP.

Настройка IP-адресов и NAT в IP-АТС Yeastar

В разделе Network Settings укажите:

  • Local IP — статический IP-адрес в локальной сети (например, 192.168.1.10);
  • Public IP/FQDN — внешний IP-адрес роутера или доменное имя с динамическим DNS (если внешний IP-адрес меняется).

Включите опцию NAT Traversal, задайте правильные диапазоны локальных сетей (например, 192.168.1.0/24), чтобы IP-АТС Yeastar корректно различала внутренний и внешний трафик. Активируйте NAT Keep-Alive для телефонов, чтобы сессии NAT не разрывались.

Итоги и рекомендации

Работа IP-АТС в смешанных сетях LAN и WAN требует внимательного подхода:

  • всегда четко определяйте внутренние и внешние сети в настройках;
  • используйте статические IP-адреса и правильный проброс портов;
  • активируйте NAT Keep-Alive и контролируйте работу SIP ALG;
  • обеспечьте безопасность через VPN, SBC и другие инструменты;
  • настраивайте IP-АТС с учетом особенностей конкретного оборудования, например Yeastar.

Такой подход гарантирует стабильную и безопасную работу IP-АТС вне зависимости от того, где находятся ваши сотрудники и клиенты.




Теги: Yeastar, IP-АТС, база знаний

Возврат к списку
© ООО "АйПиМатика", 2010-2025
Подписаться на рассылку 		Создание сайта - ICO