OpenVPN+Grandstream 1610

sneet

@werter:

1. Обновите ПО телефона
2. Сперва сервер корректно настройте. Потому как гранд далеко не все поддерживает в плане шифрования и т.д. - http://blog.unlimite.net/?p=5

1. Обновил)
2. Скажем так, сейчас его скорректировал, до этого почти правильно был настроен)

werter

https://www.ip-phone-forum.de/threads/grandstream-gxp2160-gxp2170-openvpn-zugang-via-pfsense-zu-freepbx.297021/

It works now.

Should someone else try the same:

reading
https://forums.grandstream.com/forums/index.php?topic=34040.msg102219#msg102219
https://forums.grandstream.com/forums/index.php?topic=34131.msg109024#msg109024
https://forums.grandstream.com/forums/index.php?topic=31611.msg92291#msg92291
https://pbxinaflash.com/community/threads/yealink-ip-phone-openvpn-guide-wip.15423/
https://www.sparklabs.com/support/kb/article/creating-certificates-and-keys-for-your-openvpn-server/
http://support.yealink.com/attachme…enVPN_Feature_on_Yealink_IP_Phones_V81_20.pdf

Otherwise at the institution:

• always select SHA1
• I started with 1024 bit certificates, but 2048 work too
• I switched off compression
• DH also works with 1024 and 2048 bit
• Select "Remote Access (SSL / TLS)" in OpenVPN, username / password will not be required
• In OpenVPN you can grant access only to the Asterisk system - is probably a bit safer, since the security is affected by SHA1
• It works with current Grandstream firmware both Blowfish and z. Eg AES-256-CBC
• I have in the Asterisk and in the Grandstream "Symmetrical RTP" activated, which solved first all seen audio problems
• as already written, the 3 files that need to be uploaded are the CA certificate, ie the certificate of the issuer (.crt), the certificate of the client (.crt) and the key of the client (.key)

pigbrother

На счет Grandstream не уверен, но в Asus, Android, iOS, MacOS подходил  конфиг по кнопке Others. Минимальные донастройки нужны были лишь на Asus (Merlin).

sneet

@pigbrother:

На счет Grandstream не уверен, но в Asus, Android, iOS, MacOS подходил  конфиг по кнопке Others. Минимальные донастройки нужны были лишь на Asus (Merlin).

Так даже если скачать конфиг по кнопке Others, скачивается файл с расширением opvn, а Grandstream просит 3 файла: OpenVPN CA, Сертификат OpenVPN, Ключ OpenVPN
И вот хрен поймешь где их брать то.

pigbrother

И вот хрен поймешь где их брать то.

1. OpenVPN CA - System-Certificate Manager-CAs - там есть серт для CA, которым создавали сервер и клиента  Grandstream.
2. Сертификат OpenVPN, Ключ OpenVPN -  System-CertificateManager-Certificates - там есть и серт и ключ для клиента, созданного для  Grandstream.

Теоретически может понадобиться ключ TLS authentication.
Взять его можно в настройках сервера на pfSense в TLS authentication

werter

TLS оно может и не уметь.

pigbrother

@werter:

TLS оно может и не уметь.

А может и уметь. Не уверен, что ТС из конфига его сможет вытащить, потому и указал где взять, если потребуется.
Но  если не умеет - в  сервере придетесь TLS отключать.

sneet

@pigbrother:

И вот хрен поймешь где их брать то.

1. OpenVPN CA - System-Certificate Manager-CAs - там есть серт для CA, которым создавали сервер и клиента  Grandstream.
2. Сертификат OpenVPN, Ключ OpenVPN -  System-CertificateManager-Certificates - там есть и серт и ключ для клиента, созданного для  Grandstream.

Теоретически может понадобиться ключ TLS authentication.
Взять его можно в настройках сервера на pfSense в TLS authentication

1. С этим я разобрался.
2. А вот с этим гемор ,какой именно надо брать?

pigbrother

вот с этим гемор ,какой именно надо брать?
Вам писали:
1.там есть и серт и ключ для клиента, созданного для  Grandstream
Он у вас и в имени слово "клиент" содержит
2. Рассуждая здраво - настраиваем клиента - нужен клиентский сертификат.
3. Не рассуждая вообще  ;) - пробуем оба, у вас их всего 2.

sneet

@pigbrother:

вот с этим гемор ,какой именно надо брать?
Вам писали:
1.там есть и серт и ключ для клиента, созданного для  Grandstream
Он у вас и в имени слово "клиент" содержит
2. Рассуждая здраво - настраиваем клиента - нужен клиентский сертификат.
3. Не рассуждая вообще  ;) - пробуем оба, у вас их всего 2.

Так а сертификат сервера не нужен чтоли?

pigbrother

Сертификат сервера нужен серверу.
Клиента - клиенту.

Неясно, правда,  зачем вашему Grandstream нужен серт. CA. Для спокойствия?

werter

@pigbrother:

Сертификат сервера нужен серверу.
Клиента - клиенту.

Неясно, правда,  зачем вашему Grandstream нужен серт. CA. Для спокойствия?

Для ВПН на сертификатах CA нужен клиенту. Любому. Потому как серт-ты и сервера и клиента подписаны одним СА.
И сервер и клиент это проверяют.

Попробуйте зайти в настр. впн клиента на пф. Или выгрузить online-конфу для любого клиента. Там 100% будет СА.