SIP/VoIP Server Riêng Tư Trên VPS Offshore

Ba lựa chọn phổ biến cho SIP server tự host, mỗi cái phù hợp với mục đích khác nhau.

Kamailio: SIP proxy/registrar hiệu năng cực cao, có thể xử lý hàng chục nghìn registrations đồng thời trên VPS nhỏ. Phù hợp khi cần một SIP proxy thuần (routing, registration, billing) và xử lý media bằng phần mềm khác (RTPproxy, RTPengine). Kamailio nhẹ, ổn định, được dùng trong các telecom carrier lớn.

OpenSIPS: Tương tự Kamailio (fork từ cùng codebase), hiệu năng cao, focus vào tính năng load balancing, NAT traversal, presence. Cộng đồng nhỏ hơn Kamailio nhưng tài liệu đầy đủ.

FreeSWITCH: Application server hoàn chỉnh, có thể làm cả proxy lẫn media server, conference bridge, IVR, ASR/TTS. Phức tạp hơn nhưng all-in-one. Phù hợp khi cần tổng đài đầy đủ tính năng tương tự Asterisk nhưng kiến trúc hiện đại hơn, scale tốt hơn.

Cho doanh nghiệp nhỏ-vừa cần tổng đài đơn giản, Asterisk hoặc FreeSWITCH dễ dùng nhất. Cho ISP, telecom carrier cần xử lý số lượng lớn cuộc gọi với latency thấp, Kamailio + RTPengine là lựa chọn hàng đầu. Tự host trên VPS offshore Iceland mang lại lợi thế bảo mật và pháp lý vượt trội so với các SIP provider thương mại.

Trên Ubuntu 22.04, cài Kamailio từ kho chính thức:

echo "deb http://deb.kamailio.org/kamailio56 jammy main" > /etc/apt/sources.list.d/kamailio.list
wget -O - https://deb.kamailio.org/kamailiodebkey.gpg | apt-key add -
apt update
apt install -y kamailio kamailio-mysql-modules kamailio-tls-modules

Cấu hình MySQL backend để lưu subscribers:

kamdbctl create
nano /etc/kamailio/kamailio.cfg

Bật MySQL, TLS, authentication trong kamailio.cfg:

#!define WITH_MYSQL
#!define WITH_AUTH
#!define WITH_USRLOCDB
#!define WITH_TLS

Khởi động Kamailio:

systemctl enable --now kamailio

Thêm subscriber qua kamcmd:

kamcmd usrloc.add_subscriber [email protected] STRONG_PASSWORD

Bảo mật:

• TLS cho signaling: Bật listen UDP và TLS (port 5061), từ chối UDP 5060 từ internet.
• SRTP cho media: Bắt buộc client sử dụng SRTP, từ chối RTP plain.
• Rate limiting: Module pike bảo vệ khỏi flood attack.
• Fail2ban: Cấu hình jail riêng cho Kamailio log để ban IP brute force.
• Firewall: Mở chỉ TLS 5061 và range RTP (10000-20000). Đóng SIP plain.

Cho hệ thống VoIP quy mô lớn hoặc thương mại, kiến trúc đa lớp với Kamailio làm signaling proxy và RTPengine xử lý media là tiêu chuẩn ngành:

RTPengine: Media proxy hiệu năng cao, hỗ trợ SRTP, DTLS-SRTP, transcoding. Cài và kết nối với Kamailio:

apt install -y ngcp-rtpengine-daemon
nano /etc/rtpengine/rtpengine.conf

Cấu hình interface và port range, rồi enable trong Kamailio kamailio.cfg để mọi cuộc gọi đi qua RTPengine. Điều này cho phép NAT traversal hoàn hảo cho client phía sau firewall.

Anti-fraud: SIP server bị quét và lạm dụng liên tục. Các pattern cần phát hiện và chặn:

• Gọi premium-rate numbers (số chặt chém) đột ngột - thường indicator tài khoản bị hack.
• Concurrent calls vượt baseline - kẻ tấn công cố làm cạn budget.
• Failed authentication attempts vượt ngưỡng - brute force pattern.
• Registrations từ địa lý bất thường (user ở Việt Nam đột nhiên register từ Nigeria).

Triển khai bằng module htable + dialog trong Kamailio để theo dõi và auto-block. Tích hợp với hệ thống cảnh báo qua webhook tới Slack, Telegram bot, hoặc PagerDuty.

Backup và HA: Cho hệ thống quan trọng, deploy hai Kamailio trên hai VPS với DNS SRV failover. Database MySQL cluster Galera 3 node để đảm bảo subscriber state đồng bộ. AnubizHost cung cấp các VPS Iceland giá hợp lý để xây dựng cluster HA hoàn chỉnh.