Cómo enlazar dos centralitas SIP Asterisk usando PJSIP en un entorno con túneles VPN sin NAT
Enlazar dos centralitas Asterisk mediante PJSIP en un entorno seguro, como una VPN sin NAT, es una solución robusta para interconectar sedes o sistemas distribuidos. Este artículo te guiará paso a paso, desde la conceptualización hasta la implementación, utilizando ejemplos prácticos y recomendaciones para un funcionamiento óptimo.
1. Entendiendo el escenario
Imagina dos oficinas, cada una con su propia centralita Asterisk, conectadas a través de una VPN punto a punto o de sitio a sitio. Al no existir NAT, ambas centralitas pueden comunicarse directamente usando sus direcciones IP privadas asignadas por la VPN, lo que simplifica la configuración y elimina problemas habituales de señalización y audio.
2. Requisitos previos
- Dos servidores Asterisk con soporte para PJSIP (Asterisk 13 o superior recomendado).
- Conexión VPN establecida entre ambos servidores (OpenVPN, IPsec, WireGuard, etc.).
- Direcciones IP privadas estáticas para cada centralita en la red VPN.
- Acceso a los archivos
/etc/asterisk/pjsip.confy/etc/asterisk/extensions.conf. - Sin NAT entre las centralitas (ambas pueden verse mutuamente por IP privada).
3. Configuración básica de transporte en PJSIP
Define el transporte UDP (o TCP/TLS si prefieres mayor seguridad) en pjsip.conf para que ambas centralitas escuchen en la interfaz de la VPN.
[transport-vpn]
type=transport
protocol=udp
bind=0.0.0.0:5060
Si deseas usar TLS para cifrado, ajusta el bloque:
[transport-vpn-tls]
type=transport
protocol=tls
bind=0.0.0.0:5061
method=tlsv1_2
4. Creación de los endpoints PJSIP (troncal entre centralitas)
Cada centralita debe tener configurado un endpoint que apunte a la otra. Usando autenticación por IP (permitido en entornos VPN confiables), la configuración es sencilla y segura.
En la centralita A (IP: 10.10.10.1)
[centralitaB-aor]
type=aor
contact=sip:10.10.10.2:5060
[centralitaB-endpoint]
type=endpoint
transport=transport-vpn
context=from-centralitaB
disallow=all
allow=alaw,ulaw
aors=centralitaB-aor
direct_media=no
[centralitaB-identify]
type=identify
endpoint=centralitaB-endpoint
match=10.10.10.2
En la centralita B (IP: 10.10.10.2)
[centralitaA-aor]
type=aor
contact=sip:10.10.10.1:5060
[centralitaA-endpoint]
type=endpoint
transport=transport-vpn
context=from-centralitaA
disallow=all
allow=alaw,ulaw
aors=centralitaA-aor
direct_media=no
[centralitaA-identify]
type=identify
endpoint=centralitaA-endpoint
match=10.10.10.1
Nota: El parámetro direct_media=no garantiza que el audio pase siempre por ambas centralitas, lo que puede facilitar la depuración y el control de las llamadas.
5. Definición de extensiones y enrutamiento en extensions.conf
Ahora debes definir cómo se enrutan las llamadas entre las centralitas. Por ejemplo, puedes reservar un rango de extensiones para cada sede.
En la centralita A (en extensions.conf):
[from-internal]
exten => _2XXX,1,Dial(PJSIP/${EXTEN}@centralitaB-endpoint)
[from-centralitaB]
exten => _1XXX,1,Dial(PJSIP/${EXTEN},20)
En este ejemplo, las extensiones 2XXX se marcan hacia la centralita B, mientras que las 1XXX se atienden localmente.
En la centralita B:
[from-internal]
exten => _1XXX,1,Dial(PJSIP/${EXTEN}@centralitaA-endpoint)
[from-centralitaA]
exten => _2XXX,1,Dial(PJSIP/${EXTEN},20)
6. Consideraciones de seguridad
- Limita el acceso a los puertos SIP solo a las IPs de la VPN.
- Si la VPN soporta cifrado fuerte, el uso de UDP es aceptable. Si no, considera TLS.
- Desactiva el registro SIP (registration) entre centralitas si usas autenticación por IP, ya que no es necesario.
7. Pruebas y depuración
- Reinicia ambos servicios Asterisk tras modificar la configuración.
- Utiliza
asterisk -rvvvy comandos comopjsip show endpointspara verificar el estado de los enlaces. - Haz llamadas entre extensiones de ambas sedes y comprueba audio y señalización.
8. Ventajas de este enfoque
- Baja latencia y alta calidad de audio al evitar NAT.
- Configuración sencilla y fácil de mantener.
- Escalabilidad: puedes añadir más centralitas repitiendo la configuración.
- Seguridad gracias al aislamiento de la VPN.
9. Consejos adicionales
- Utiliza nombres descriptivos para los endpoints y contextos.
- Documenta la asignación de rangos de extensiones para evitar solapamientos.
- Realiza copias de seguridad de la configuración antes de cualquier cambio importante.
- Si necesitas llamadas externas, configura rutas de salida separadas para cada centralita.
10. Conclusión
El enlace de dos centralitas Asterisk usando PJSIP en una red VPN sin NAT es una solución eficiente, segura y flexible para entornos empresariales modernos. Aprovecha la potencia de Asterisk y la simplicidad de PJSIP para construir una infraestructura de comunicaciones sólida y preparada para el futuro.