L’installazione on premise di un nuovo pbx Innovaphone nella versione V13 può essere un’esperienza piacevole ed appagante, a patto di predisporre correttamente l’ambiente di installazione e tutti i servizi di supporto. A titolo di esempio, ecco uno scenario pittosto comune, corredato da alcuni consigli per una rapida e agevole installazione e configurazione dell’application platform.

Premessa: l’installazione in oggetto richiede un gateway Innovaphone equipaggiato con SSD, una connessione Internet con almeno un indirizzo IP pubblico statico assegnato, un firewall in grado di supportare la configurazione del loopback NAT ed un dominio DNS pubblico, che consenta l’aggiunta di almeno due record host (A).
La versione del software Innovaphone utilizzata per le attività descritte nel presente articolo è la release 13r1SR8.

Per questa installazione, pbx ed application platform (AP) risiederanno sul medesimo gateway, ma disporranno comunque di due indirizzi IP distinti all’interno della LAN (es. 192.168.253.100 e 192.168.253.101) e due hostname differenti nel dominio (es. pbx.miodominio.it e apps.miodominio.it).
Procediamo dunque a predisporre nella zona DNS i seguenti record host (A), che punteranno al medesimo indirizzo IP pubblico del gateway Internet aziendale (xxx.yyy.zzz.www):

pbx.miodominio.it.   A   xxx.yyy.zzz.www
apps.miodominio.it.   A   xxx.yyy.zzz.www

Per garantire il corretto funzionamento del reverse proxy, che attiveremo all’interno del pbx Innovaphone, configuriamo il firewall come segue, avendo cura di verificare che l’interfaccia wan del firewall sia raggiungibile da Internet.

RegolaDAA
incoming TCP/80wan:80192.168.253.100:90
incoming TCP/443wan:443192.168.253.100:453
incoming TCP/389wan:389192.168.253.100:399
incoming TCP/636wan:636192.168.253.100:646
incoming TCP/1720wan:1720192.168.253.100:1730
incoming TCP/1300wan:1300192.168.253.100:1310
outgoing xxx.yyy.zzz.www:80lan(*)192.168.253.100:90
outgoing xxx.yyy.zzz.www:443lan(*)192.168.253.100:453
outgoing xxx.yyy.zzz.www:389lan(*)192.168.253.100:399
outgoing xxx.yyy.zzz.www:636lan(*)192.168.253.100:646
outgoing xxx.yyy.zzz.www:1720lan(*)192.168.253.100:1730
outgoing xxx.yyy.zzz.www:1300lan(*)192.168.253.100:1310

(*) il set di regole deve essere replicato per tutte le sottoreti private, destinate ad ospitare i telefoni IP ed i device che si collegheranno al pbx ed all’application platform. Chiaramente, per procedere con il download automatico dell’application platform e relative apps, dovremo consentire all’indirizzo IP assegnato al pbx la possibilità di accedere ad Internet, o, quantomeno, al repository di Innovaphone.

Eseguiamo ora la procedura di factory reset del gateway Innovaphone e lasciamo che il server DHCP rilasci una configurazione per l’interfaccia LAN del dispositivo. A riavvio avvenuto, possiamo accedere al wizard di setup, digitando l’indirizzo IP del gateway nel nostro browser Internet. Per questo ci possono essere utili l’elenco dei lease, mantenuto dal server DHCP, o, più semplicemente, il servizio Innovaphone, raggiungibile all’indirizzo config.innovaphone.com.

Per riuscire ad attivare il reverse proxy, avremo la necessità di concludere la configurazione di base, indicando, ove richiesto, gli hostnames ed il dominio relativi a pbx ed application platform. Pertanto, in mancanza di un server DNS interno, che possa risolvere temporaneamente gli hostnames digitati durante il setup, potremo avvalerci del servizio DNS disponibile all’interno del gateway Innovaphone, nel modo seguente.
Avviamo il setup, scegliendo la prima opzione del wizard, che propone l’installazione di pbx ed application platform nel medesimo gateway e compiliamo il form successivo con gli indirizzi IP che intendiamo assegnare a pbx ed application platform (in questo esempio, rispettivamente 192.168.253.100 e 192.168.253.101) ed indichiamo come DNS primario il medesimo indirizzo del pbx (192.168.253.100) e come secondario un DNS pubblico (es. 8.8.4.4). Qualora la procedura segnalasse la mancanza di un’unità SSD, pur con il modulo M.SATA installato, provvediamo ad avviare le licenze di test (test mode) dal management, raggiungibile aggiungendo all’indirizzo IP assegnato dal DHCP la stringa /admin.xml?xsl=admin.xsl
Ad installazione dell’application platform avvenuta, il pbx sarà raggiungibile all’indirizzo assegnato (192.168.253.100) e dovremo procedere alla compilazione di un nuovo form, con i dati di amministrazione, hostnames e dominio. Prima di confermare i dati del wizard, colleghiamoci nuovamente al management del pbx (192.168.253.100/admin.xml?xsl=admin.xsl) ed avviamo il servizio DNS dal menu services, aggiungendo i seguenti host:

pbx.miodominio.it   A   192.168.253.100
apps.miodominio.it   A   192.168.253.101

Impostiamo il medesimo indirizzo IP del pbx come server DNS primario del PC dal quale stiamo eseguendo le attività di configurazione, affidando la risoluzione di ogni altro nome a dominio al server DNS secondario di nostra scelta.

Da questo momento sarà possibile concludere l’installazione automatica delle apps essenziali ed accedere all’interfaccia di amministrazione dell’application platform, semplicemente digitando pbx.miodominio.it nel browser Internet del PC di configurazione. L’attivazione del reverse proxy con le porte di default, il dominio miodominio.it e gli host pbx.miodominio.it e apps.miodominio.it renderà immediatamente accessibili pbx ed application platform da Internet e da tutte le subnet interne, previste nella configurazione di NAT loopback del firewall.
A questo punto, non resta che ripristinare l’indirizzo del server DNS primario del PC di configurazione e sostituire quello assegnato all’interfaccia LAN del pbx con un server DNS pubblico (es. 8.8.8.8), operando dall’interfaccia di management del pbx, ora accessibile anche dall’app device dell’application platform. Anche il servizio DNS a bordo del pbx può essere definitivamente rimosso.

Per semplificare la registrazione locale dei gateway H.323 a bordo del pbx (interfacce fisiche, trunk SIP, …) è consigliabile sostituire l’indirizzo pbx.miodominio.it, proposto automaticamente dal wizard, con un semplice loopback (127.0.0.1), evitando il tal modo che la registrazione H.323 TLS fallisca, per alterazioni riconducibili a NAT e proxy, senza compromettere sicurezza ed affidabilità del sistema.