Pull to refresh

Comments 13

Спасибо за статью! А не слишком много оверхеда при такой топологии?
Если все равно SRTP+TLS, не проще ли на едже ставить сразу астериск со всем выше перечисленным?
Зашел в пост прочитать этот комментарий.
Следует не забывать о необходимости очень внимательно выставлять * в общую сеть т.к. стоит чуть ошибиться и за ваш счёт родные кубинских мигрантов смогут быть в курсе о погоды в европе.
Это первая фаза проекта, дальше через сервер OpenVPN планируется запускать клиентов и к другим серверам, а не только к *. ( RDP например) На самом OpenVPN разруливать доступом разных клиентов к разным сервисам — поэтому сделали отдельный. Кстати если есть мысли то подскажите как разных клиентов пускать к разным сетевым адресам? Я пока придумал только через iptables. Да и SpiritOfVox прав по поводу кубы, это тоже повлияло при принятии решения.
Спасибо, поправил.
По статье — вообще непонятно, какая была цель и для чего это всё. Описывается просто некая последовательность действий, без комментариев, найденных граблей и различных путей их обхода. Но главное всё же цель.

Да, ещё про средства не сказали, про телефон, например.
Мне казалось что все понятно.
Цель — защита голоса от прослушивания — при подключении через интернет.
Грабли находил на каждом шагу и решил что описывать их будет намного дольше — т.к. самая большая проблема — отсутствие нормальной инструкции как готовить сертификаты для телефона и генерировать их. Поэтому я заполнил данный пробел — написав инструкцию как соединить эти технологии и подготовить к этому сервер с OpenVPN, Asterisk и сам телефон. Пути решения — пока знаю только 1 — его и описал в статье. Надеялся узнать различные пути решения в комментариях. Про телефон особо и сказать нечего. По отзывам пользователя телефон сделан очень качественно, никакого люфта, удобные кнопки, можно очень быстро набирать номер без задержек, хорошее качество передачи речи и микрофон. По поводу же его внутренних настроек лично хотелось бы выразить свое недовольство китайцам — написавшим это чудовище. Не всегда логичный веб интерфейс — к примеру кнопка перезагрузки находится в меня Upgrade. Так же в Grandstream удобнее сделана загрузка сертификатов и ключей TLS. В них просто текстовые поля в которые можно скопировать содержимое сертификата и ключа. Тут надо готовить все заранее. Очень неудобно сделана загрузка настроек OpenVPN. Вместо того чтобы прикрутить поддержку PKCS12 — они сделали неописанную (я не нашел нормального описания в мануале) процедуру подготовки архива. Так же почему то модуль openvpn-client в телефоне собран без поддержки sha256 — тоже непонятно.
С удивлением обнаружил, что у меня валяется на подоконнике выигранный на одной конференции Yealink T26P.
А как вы решили обойтись со смартфонами? Оставить за бортом?
Тут все как раз нормально. Приложение на Android не поддерживает Bridge (tap) интерфейсы. Я же сделал специально с тунельным(tun), поэтому мобильные телефоны работают с тунелем нормально. Подготовка стандартная — вытащили файлики для телефона в папку, туда же положили файл *.ovpn со стандартным конфигом наподобие:
client
dev tun
proto udp
remote XXX.XXX.XXX.XXX 1194
resolv-retry infinite
persist-key
persist-tun
ca ca.crt
cert client1.crt
key client1.key
comp-lzo no
verb 3
Единственное пока не было возможности проверить файлы pkcs12. В easyrsa есть скрипт генерации ./build-key-pkcs12. Телефон точно работает с этим форматом, т.е. можете сгенерить под него 1 файл и загрузить в приложении.
По поводу подключения SIP с TLS+SRTP прокомментировать не могу т.к. не пробовал пока. И не знаю какое приложение умеет с этим работать. Подозреваю что CSIPSimple умеет.
Оказывается, и для айфона есть openvpn клиент без jailbreak. habrahabr.ru/post/168853/
Неожиданно топик дал много новых мыслей. Спасибо =)
Автору спасибо.
А скажите пожалуйста, какое качество связи при работе через VPN?
Пробовали ли вы подключать SIP+TLS на Android-офоны?
Мы тоже ковыряем такое решение, но через Cisco AnyConnect качество телефонии оказалось отвратительным, как-то буферно всё что ли, задержки к тому же.
А вот Android+TLS так и не получилось.
Ну и к тому же мы себе ставили задачу подключаться встроенным клиентом, а не сторонним приложением. Пробовали ли вы что-то такое?
Качество связи через VPN с полным шфированием на телефонах Yealink хорошее, ничего не тормозит и не прерывается. На андроид я пробовал подключаться к телефонии через стандартное приложение play.google.com/store/apps/details?id=net.openvpn.openvpn&hl=ru. Оно не поддерживает работу с OpenVPN в режиме моста. Качество было вполне нормальное. Но единственное, я подключался не используя SRTP+TLS на SIP. Нужно подобрать клиента в котором можно удобно вставить все сертификаты, но я пока не искал. По поводу встроенного клиента SIP в Android даже честно говоря не в курсе. Использовал CSipSimple.
Only those users with full accounts are able to leave comments. Log in, please.