OpenVPN+Grandstream 1610
-
Всем добрый день!
Может кто сталкивался, подскажите пожауйста.
В общем ситуация такая: есть несколько ip телефонов Grandstream 1610, находятся удаленно, их необходимо подключить к телефонии (Asterisk). Открывать порт 5060 наружу не сильно хочу, очкую). Поковырявшись с данными аппаратами обнаружил, что у них встроен OpenVPN клиент. У меня как рз есть пф, на котором стоит OpenVPN сервер.
Так вот, 3 день уже ломаю голову, какие ему конфиги нужны. Уже все перепробовал, впн на телефоне все-равно не поднимается -
Добрый.
Фраза grandstream pfsense openvpn в гугле может помочь.
https://forum.pfsense.org/index.php?topic=113927.0
https://forum.pfsense.org/index.php?topic=137626.0
https://forum.pfsense.org/index.php?topic=126061.0P.s. Связка pfsense server + pfsense client + freepbx + cisco 79XX работает вот уже полгода без нареканий и по SIP и по SCCP.
Мучения былииии, зато и опыт получен хороший + с ув. ded познакомился с forum.asterisk.ru (кто в теме, те поймут) 8) -
Добрый.
Фраза grandstream pfsense openvpn в гугле может помочь.
https://forum.pfsense.org/index.php?topic=113927.0
https://forum.pfsense.org/index.php?topic=137626.0
https://forum.pfsense.org/index.php?topic=126061.0P.s. Связка pfsense server + pfsense client + freepbx + cisco 79XX работает вот уже полгода без нареканий и по SIP и по SCCP.
Мучения былииии, зато и опыт получен хороший + с ув. ded познакомился с forum.asterisk.ru (кто в теме, те поймут) 8)Спасибо конечно, но это не сильно то и помогло. Я не могу понять (и по тем ссылкам ничего не сказано), какой в итоге конфиг то брать?
-
1. Обновите ПО телефона
2. Сперва сервер корректно настройте. Потому как гранд далеко не все поддерживает в плане шифрования и т.д. - http://blog.unlimite.net/?p=5 -
1. Обновите ПО телефона
2. Сперва сервер корректно настройте. Потому как гранд далеко не все поддерживает в плане шифрования и т.д. - http://blog.unlimite.net/?p=51. Обновил)
2. Скажем так, сейчас его скорректировал, до этого почти правильно был настроен) -
https://www.ip-phone-forum.de/threads/grandstream-gxp2160-gxp2170-openvpn-zugang-via-pfsense-zu-freepbx.297021/
It works now.
Should someone else try the same:
reading
https://forums.grandstream.com/forums/index.php?topic=34040.msg102219#msg102219
https://forums.grandstream.com/forums/index.php?topic=34131.msg109024#msg109024
https://forums.grandstream.com/forums/index.php?topic=31611.msg92291#msg92291
https://pbxinaflash.com/community/threads/yealink-ip-phone-openvpn-guide-wip.15423/
https://www.sparklabs.com/support/kb/article/creating-certificates-and-keys-for-your-openvpn-server/
http://support.yealink.com/attachme…enVPN_Feature_on_Yealink_IP_Phones_V81_20.pdfOtherwise at the institution:
- always select SHA1
- I started with 1024 bit certificates, but 2048 work too
- I switched off compression
- DH also works with 1024 and 2048 bit
- Select "Remote Access (SSL / TLS)" in OpenVPN, username / password will not be required
- In OpenVPN you can grant access only to the Asterisk system - is probably a bit safer, since the security is affected by SHA1
- It works with current Grandstream firmware both Blowfish and z. Eg AES-256-CBC
- I have in the Asterisk and in the Grandstream "Symmetrical RTP" activated, which solved first all seen audio problems
- as already written, the 3 files that need to be uploaded are the CA certificate, ie the certificate of the issuer (.crt), the certificate of the client (.crt) and the key of the client (.key)
-
На счет Grandstream не уверен, но в Asus, Android, iOS, MacOS подходил конфиг по кнопке Others. Минимальные донастройки нужны были лишь на Asus (Merlin).
-
На счет Grandstream не уверен, но в Asus, Android, iOS, MacOS подходил конфиг по кнопке Others. Минимальные донастройки нужны были лишь на Asus (Merlin).
Так даже если скачать конфиг по кнопке Others, скачивается файл с расширением opvn, а Grandstream просит 3 файла: OpenVPN CA, Сертификат OpenVPN, Ключ OpenVPN
И вот хрен поймешь где их брать то. -
И вот хрен поймешь где их брать то.
1. OpenVPN CA - System-Certificate Manager-CAs - там есть серт для CA, которым создавали сервер и клиента Grandstream.
2. Сертификат OpenVPN, Ключ OpenVPN - System-CertificateManager-Certificates - там есть и серт и ключ для клиента, созданного для Grandstream.Теоретически может понадобиться ключ TLS authentication.
Взять его можно в настройках сервера на pfSense в TLS authentication -
TLS оно может и не уметь.
-
TLS оно может и не уметь.
А может и уметь. Не уверен, что ТС из конфига его сможет вытащить, потому и указал где взять, если потребуется.
Но если не умеет - в сервере придетесь TLS отключать. -
И вот хрен поймешь где их брать то.
1. OpenVPN CA - System-Certificate Manager-CAs - там есть серт для CA, которым создавали сервер и клиента Grandstream.
2. Сертификат OpenVPN, Ключ OpenVPN - System-CertificateManager-Certificates - там есть и серт и ключ для клиента, созданного для Grandstream.Теоретически может понадобиться ключ TLS authentication.
Взять его можно в настройках сервера на pfSense в TLS authentication1. С этим я разобрался.
2. А вот с этим гемор ,какой именно надо брать?
-
вот с этим гемор ,какой именно надо брать?
Вам писали:
1.там есть и серт и ключ для клиента, созданного для Grandstream
Он у вас и в имени слово "клиент" содержит
2. Рассуждая здраво - настраиваем клиента - нужен клиентский сертификат.
3. Не рассуждая вообще ;) - пробуем оба, у вас их всего 2. -
вот с этим гемор ,какой именно надо брать?
Вам писали:
1.там есть и серт и ключ для клиента, созданного для Grandstream
Он у вас и в имени слово "клиент" содержит
2. Рассуждая здраво - настраиваем клиента - нужен клиентский сертификат.
3. Не рассуждая вообще ;) - пробуем оба, у вас их всего 2.Так а сертификат сервера не нужен чтоли?
-
Сертификат сервера нужен серверу.
Клиента - клиенту.Неясно, правда, зачем вашему Grandstream нужен серт. CA. Для спокойствия?
-
Сертификат сервера нужен серверу.
Клиента - клиенту.Неясно, правда, зачем вашему Grandstream нужен серт. CA. Для спокойствия?
Для ВПН на сертификатах CA нужен клиенту. Любому. Потому как серт-ты и сервера и клиента подписаны одним СА.
И сервер и клиент это проверяют.Попробуйте зайти в настр. впн клиента на пф. Или выгрузить online-конфу для любого клиента. Там 100% будет СА.