При установке SIP-телефонов в одной локальной сети с сервером Elastix или при подключении офисов к Elastix через VPN-каналы открывается возможность удаленной централизованной настройки (Autoprovisioning), доступной в меню PBX\Batch Configuration\Endpoint Configurator:

В большинстве случаев Endpoint Configurator позволяет забыть о ручной настройке каждого телефона, достаточно:

• нажать «Discover Endpoints in this Network»

• для обнаруженных телефонов:

• выбрать «Model»

• выбрать абонента в поле «Extension to assign»

• отметить галочкой в столбце «Set»

• нажать «Set», чтобы перезагрузить телефоны и применить новые настройки

Чуть сложнее обстоит задача при установке станции в Дата-центре. Для удаленной настройки телефонов потребуется объединить офисы с Elastix через VPN. Для этого можно воспользоваться бесплатным дополнением MyVPN Client, чтобы подключить станцию к офисам по протоколу OpenVPN. После настройки роутеров в офисе и установления VPN-соединений для настройки телефонов в офисах:

• указать адрес и маску сети, используемые в настраиваемом офисе

• нажать «Discover Endpoints in this Network»

• настроить обнаруженные телефоны

После сопоставления телефонов и учетных записей Elastix сохраняет файлы настроек «/tftpboot/VVVVVVXXXXXX.cfg», где VVVVVVXXXXXX – MAC-адрес соответствующего телефона.

Поддерживающие Autoprovisioning SIP-телефоны умеют загружать свежие настройки при включении/перезагрузке или по расписанию. Можно вручную прописать на телефоне адрес сервера Elastix, но еще проще задействовать опцию 66 на сервере DHCP, в котором необходимо указать адрес сервера Elastix:

Если в качестве DHCP-сервера в офисе используется роутер, необходимо опцию 66 настроить на нем. После этого на телефоне достаточно активировать Autoptovisioning по опции DHCP.

Если же не удалось настроить опцию 66 на DHCP-сервере, для автоматической загрузки настроек на телефонах потребуется вручную прописать адрес Elastix в качестве сервера Autoprovisioning:

Для работы Autoprovisioning необходимо убедиться, что на Elastix в Security\Firewall включен протокол TFTP, через который работает данный сервис.

Следует вдумчиво относиться к использованию функции Autoprovisioning, поскольку логины и пароли хранятся в файлах «/tftpboot/VVVVVVXXXXXX.cfg» в незашифрованном виде. Хотя сервис TFTP не предоставляет возможности прочитать список хранящихся на нем файлов и папок (), злоумышленники могут попытаться перебрать все файлы подряд – первые шесть символов файла (VVVVVV) уникальны для каждого производителя SIP-телефонов. Казалось бы, остающиеся шесть знаков дают 16 миллионов уникальных комбинаций, но чтобы попытаться загрузить с сервера все возможные файлы достаточно в течение месяца каждую секунду проверять наличие всего лишь 6–7 файлов. Поэтому, если TFTP будет открыт всем подряд, злоумышленники вскоре добудут пароли ко всем учетным записям. В сравнении с подбором паролей этот путь дает очень простой путь для взлома и использования станции в преступных целях.

Меры защиты от взлома паролей через TFTP:

• открыть доступ к TFTP только от определенных сетей, используя возможности Security\Firewall

• ограничить подключение телефонов только с определенных IP-адресов, используя поле permit для абонентов (Extensions), настроенных через Endpoint Configurator