Комментарии 13
Зашел в пост прочитать этот комментарий.
Следует не забывать о необходимости очень внимательно выставлять * в общую сеть т.к. стоит чуть ошибиться и за ваш счёт родные кубинских мигрантов смогут быть в курсе о погоды в европе.
Это первая фаза проекта, дальше через сервер OpenVPN планируется запускать клиентов и к другим серверам, а не только к *. ( RDP например) На самом OpenVPN разруливать доступом разных клиентов к разным сервисам — поэтому сделали отдельный. Кстати если есть мысли то подскажите как разных клиентов пускать к разным сетевым адресам? Я пока придумал только через iptables. Да и SpiritOfVox прав по поводу кубы, это тоже повлияло при принятии решения.
Сорри, что не в личку, но очень уж ошибка распространённая. Паранойя, а не параноя.
По статье — вообще непонятно, какая была цель и для чего это всё. Описывается просто некая последовательность действий, без комментариев, найденных граблей и различных путей их обхода. Но главное всё же цель.
Да, ещё про средства не сказали, про телефон, например.
Да, ещё про средства не сказали, про телефон, например.
Мне казалось что все понятно.
Цель — защита голоса от прослушивания — при подключении через интернет.
Грабли находил на каждом шагу и решил что описывать их будет намного дольше — т.к. самая большая проблема — отсутствие нормальной инструкции как готовить сертификаты для телефона и генерировать их. Поэтому я заполнил данный пробел — написав инструкцию как соединить эти технологии и подготовить к этому сервер с OpenVPN, Asterisk и сам телефон. Пути решения — пока знаю только 1 — его и описал в статье. Надеялся узнать различные пути решения в комментариях. Про телефон особо и сказать нечего. По отзывам пользователя телефон сделан очень качественно, никакого люфта, удобные кнопки, можно очень быстро набирать номер без задержек, хорошее качество передачи речи и микрофон. По поводу же его внутренних настроек лично хотелось бы выразить свое недовольство китайцам — написавшим это чудовище. Не всегда логичный веб интерфейс — к примеру кнопка перезагрузки находится в меня Upgrade. Так же в Grandstream удобнее сделана загрузка сертификатов и ключей TLS. В них просто текстовые поля в которые можно скопировать содержимое сертификата и ключа. Тут надо готовить все заранее. Очень неудобно сделана загрузка настроек OpenVPN. Вместо того чтобы прикрутить поддержку PKCS12 — они сделали неописанную (я не нашел нормального описания в мануале) процедуру подготовки архива. Так же почему то модуль openvpn-client в телефоне собран без поддержки sha256 — тоже непонятно.
Цель — защита голоса от прослушивания — при подключении через интернет.
Грабли находил на каждом шагу и решил что описывать их будет намного дольше — т.к. самая большая проблема — отсутствие нормальной инструкции как готовить сертификаты для телефона и генерировать их. Поэтому я заполнил данный пробел — написав инструкцию как соединить эти технологии и подготовить к этому сервер с OpenVPN, Asterisk и сам телефон. Пути решения — пока знаю только 1 — его и описал в статье. Надеялся узнать различные пути решения в комментариях. Про телефон особо и сказать нечего. По отзывам пользователя телефон сделан очень качественно, никакого люфта, удобные кнопки, можно очень быстро набирать номер без задержек, хорошее качество передачи речи и микрофон. По поводу же его внутренних настроек лично хотелось бы выразить свое недовольство китайцам — написавшим это чудовище. Не всегда логичный веб интерфейс — к примеру кнопка перезагрузки находится в меня Upgrade. Так же в Grandstream удобнее сделана загрузка сертификатов и ключей TLS. В них просто текстовые поля в которые можно скопировать содержимое сертификата и ключа. Тут надо готовить все заранее. Очень неудобно сделана загрузка настроек OpenVPN. Вместо того чтобы прикрутить поддержку PKCS12 — они сделали неописанную (я не нашел нормального описания в мануале) процедуру подготовки архива. Так же почему то модуль openvpn-client в телефоне собран без поддержки sha256 — тоже непонятно.
С удивлением обнаружил, что у меня валяется на подоконнике выигранный на одной конференции Yealink T26P.
А как вы решили обойтись со смартфонами? Оставить за бортом?
А как вы решили обойтись со смартфонами? Оставить за бортом?
Тут все как раз нормально. Приложение на Android не поддерживает Bridge (tap) интерфейсы. Я же сделал специально с тунельным(tun), поэтому мобильные телефоны работают с тунелем нормально. Подготовка стандартная — вытащили файлики для телефона в папку, туда же положили файл *.ovpn со стандартным конфигом наподобие:
client
dev tun
proto udp
remote XXX.XXX.XXX.XXX 1194
resolv-retry infinite
persist-key
persist-tun
ca ca.crt
cert client1.crt
key client1.key
comp-lzo no
verb 3
Единственное пока не было возможности проверить файлы pkcs12. В easyrsa есть скрипт генерации ./build-key-pkcs12. Телефон точно работает с этим форматом, т.е. можете сгенерить под него 1 файл и загрузить в приложении.
По поводу подключения SIP с TLS+SRTP прокомментировать не могу т.к. не пробовал пока. И не знаю какое приложение умеет с этим работать. Подозреваю что CSIPSimple умеет.
client
dev tun
proto udp
remote XXX.XXX.XXX.XXX 1194
resolv-retry infinite
persist-key
persist-tun
ca ca.crt
cert client1.crt
key client1.key
comp-lzo no
verb 3
Единственное пока не было возможности проверить файлы pkcs12. В easyrsa есть скрипт генерации ./build-key-pkcs12. Телефон точно работает с этим форматом, т.е. можете сгенерить под него 1 файл и загрузить в приложении.
По поводу подключения SIP с TLS+SRTP прокомментировать не могу т.к. не пробовал пока. И не знаю какое приложение умеет с этим работать. Подозреваю что CSIPSimple умеет.
Оказывается, и для айфона есть openvpn клиент без jailbreak. habrahabr.ru/post/168853/
Неожиданно топик дал много новых мыслей. Спасибо =)
Неожиданно топик дал много новых мыслей. Спасибо =)
Автору спасибо.
А скажите пожалуйста, какое качество связи при работе через VPN?
Пробовали ли вы подключать SIP+TLS на Android-офоны?
Мы тоже ковыряем такое решение, но через Cisco AnyConnect качество телефонии оказалось отвратительным, как-то буферно всё что ли, задержки к тому же.
А вот Android+TLS так и не получилось.
Ну и к тому же мы себе ставили задачу подключаться встроенным клиентом, а не сторонним приложением. Пробовали ли вы что-то такое?
А скажите пожалуйста, какое качество связи при работе через VPN?
Пробовали ли вы подключать SIP+TLS на Android-офоны?
Мы тоже ковыряем такое решение, но через Cisco AnyConnect качество телефонии оказалось отвратительным, как-то буферно всё что ли, задержки к тому же.
А вот Android+TLS так и не получилось.
Ну и к тому же мы себе ставили задачу подключаться встроенным клиентом, а не сторонним приложением. Пробовали ли вы что-то такое?
Качество связи через VPN с полным шфированием на телефонах Yealink хорошее, ничего не тормозит и не прерывается. На андроид я пробовал подключаться к телефонии через стандартное приложение play.google.com/store/apps/details?id=net.openvpn.openvpn&hl=ru. Оно не поддерживает работу с OpenVPN в режиме моста. Качество было вполне нормальное. Но единственное, я подключался не используя SRTP+TLS на SIP. Нужно подобрать клиента в котором можно удобно вставить все сертификаты, но я пока не искал. По поводу встроенного клиента SIP в Android даже честно говоря не в курсе. Использовал CSipSimple.
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Защита от прослушивания SIP c помощью — TLS + SRTP + шифрованный туннель и телефона Yealink T26p