Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    OpenVPN+Grandstream 1610

    Scheduled Pinned Locked Moved Russian
    16 Posts 3 Posters 3.7k Views
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • S
      sneet
      last edited by

      Всем добрый день!
      Может кто сталкивался, подскажите пожауйста.
      В общем ситуация такая: есть несколько ip телефонов Grandstream 1610, находятся удаленно, их необходимо подключить к телефонии (Asterisk). Открывать порт 5060 наружу не сильно хочу, очкую). Поковырявшись с данными аппаратами обнаружил, что у них встроен OpenVPN клиент. У меня как рз есть пф, на котором стоит OpenVPN сервер.
      Так вот, 3 день уже ломаю голову, какие ему конфиги нужны. Уже все перепробовал, впн на телефоне все-равно не поднимается

      1 Reply Last reply Reply Quote 0
      • werterW
        werter
        last edited by

        Добрый.

        Фраза grandstream pfsense openvpn в гугле может помочь.

        https://forum.pfsense.org/index.php?topic=113927.0
        https://forum.pfsense.org/index.php?topic=137626.0
        https://forum.pfsense.org/index.php?topic=126061.0

        P.s. Связка pfsense server + pfsense client + freepbx + cisco 79XX работает вот уже полгода без нареканий и по SIP и по SCCP.
        Мучения былииии, зато и опыт получен хороший + с ув. ded познакомился с forum.asterisk.ru (кто в теме, те поймут)  8)

        1 Reply Last reply Reply Quote 0
        • S
          sneet
          last edited by

          @werter:

          Добрый.

          Фраза grandstream pfsense openvpn в гугле может помочь.

          https://forum.pfsense.org/index.php?topic=113927.0
          https://forum.pfsense.org/index.php?topic=137626.0
          https://forum.pfsense.org/index.php?topic=126061.0

          P.s. Связка pfsense server + pfsense client + freepbx + cisco 79XX работает вот уже полгода без нареканий и по SIP и по SCCP.
          Мучения былииии, зато и опыт получен хороший + с ув. ded познакомился с forum.asterisk.ru (кто в теме, те поймут)  8)

          Спасибо конечно, но это не сильно то и помогло. Я не могу понять (и по тем ссылкам ничего не сказано), какой в итоге конфиг то брать?

          1 Reply Last reply Reply Quote 0
          • werterW
            werter
            last edited by

            1. Обновите ПО телефона
            2. Сперва сервер корректно настройте. Потому как гранд далеко не все поддерживает в плане шифрования и т.д. - http://blog.unlimite.net/?p=5

            1 Reply Last reply Reply Quote 0
            • S
              sneet
              last edited by

              @werter:

              1. Обновите ПО телефона
              2. Сперва сервер корректно настройте. Потому как гранд далеко не все поддерживает в плане шифрования и т.д. - http://blog.unlimite.net/?p=5

              1. Обновил)
              2. Скажем так, сейчас его скорректировал, до этого почти правильно был настроен)

              1 Reply Last reply Reply Quote 0
              • werterW
                werter
                last edited by

                https://www.ip-phone-forum.de/threads/grandstream-gxp2160-gxp2170-openvpn-zugang-via-pfsense-zu-freepbx.297021/

                It works now.

                Should someone else try the same:

                reading
                https://forums.grandstream.com/forums/index.php?topic=34040.msg102219#msg102219
                https://forums.grandstream.com/forums/index.php?topic=34131.msg109024#msg109024
                https://forums.grandstream.com/forums/index.php?topic=31611.msg92291#msg92291
                https://pbxinaflash.com/community/threads/yealink-ip-phone-openvpn-guide-wip.15423/
                https://www.sparklabs.com/support/kb/article/creating-certificates-and-keys-for-your-openvpn-server/
                http://support.yealink.com/attachme…enVPN_Feature_on_Yealink_IP_Phones_V81_20.pdf

                Otherwise at the institution:

                • always select SHA1
                • I started with 1024 bit certificates, but 2048 work too
                • I switched off compression
                • DH also works with 1024 and 2048 bit
                • Select "Remote Access (SSL / TLS)" in OpenVPN, username / password will not be required
                • In OpenVPN you can grant access only to the Asterisk system - is probably a bit safer, since the security is affected by SHA1
                • It works with current Grandstream firmware both Blowfish and z. Eg AES-256-CBC
                • I have in the Asterisk and in the Grandstream "Symmetrical RTP" activated, which solved first all seen audio problems
                • as already written, the 3 files that need to be uploaded are the CA certificate, ie the certificate of the issuer (.crt), the certificate of the client (.crt) and the key of the client (.key)
                1 Reply Last reply Reply Quote 0
                • P
                  pigbrother
                  last edited by

                  На счет Grandstream не уверен, но в Asus, Android, iOS, MacOS подходил  конфиг по кнопке Others. Минимальные донастройки нужны были лишь на Asus (Merlin).

                  1 Reply Last reply Reply Quote 0
                  • S
                    sneet
                    last edited by

                    @pigbrother:

                    На счет Grandstream не уверен, но в Asus, Android, iOS, MacOS подходил  конфиг по кнопке Others. Минимальные донастройки нужны были лишь на Asus (Merlin).

                    Так даже если скачать конфиг по кнопке Others, скачивается файл с расширением opvn, а Grandstream просит 3 файла: OpenVPN® CA, Сертификат OpenVPN®, Ключ OpenVPN®
                    И вот хрен поймешь где их брать то.

                    1 Reply Last reply Reply Quote 0
                    • P
                      pigbrother
                      last edited by

                      И вот хрен поймешь где их брать то.

                      1. OpenVPN® CA - System-Certificate Manager-CAs - там есть серт для CA, которым создавали сервер и клиента  Grandstream.
                      2. Сертификат OpenVPN®, Ключ OpenVPN® -  System-CertificateManager-Certificates - там есть и серт и ключ для клиента, созданного для  Grandstream.

                      Теоретически может понадобиться ключ TLS authentication.
                      Взять его можно в настройках сервера на pfSense в TLS authentication

                      1 Reply Last reply Reply Quote 0
                      • werterW
                        werter
                        last edited by

                        TLS оно может и не уметь.

                        1 Reply Last reply Reply Quote 0
                        • P
                          pigbrother
                          last edited by

                          @werter:

                          TLS оно может и не уметь.

                          А может и уметь. Не уверен, что ТС из конфига его сможет вытащить, потому и указал где взять, если потребуется.
                          Но  если не умеет - в  сервере придетесь TLS отключать.

                          1 Reply Last reply Reply Quote 0
                          • S
                            sneet
                            last edited by

                            @pigbrother:

                            И вот хрен поймешь где их брать то.

                            1. OpenVPN® CA - System-Certificate Manager-CAs - там есть серт для CA, которым создавали сервер и клиента  Grandstream.
                            2. Сертификат OpenVPN®, Ключ OpenVPN® -  System-CertificateManager-Certificates - там есть и серт и ключ для клиента, созданного для  Grandstream.

                            Теоретически может понадобиться ключ TLS authentication.
                            Взять его можно в настройках сервера на pfSense в TLS authentication

                            1. С этим я разобрался.
                            2. А вот с этим гемор ,какой именно надо брать?

                            1 Reply Last reply Reply Quote 0
                            • P
                              pigbrother
                              last edited by

                              вот с этим гемор ,какой именно надо брать?
                              Вам писали:
                              1.там есть и серт и ключ для клиента, созданного для  Grandstream
                              Он у вас и в имени слово "клиент" содержит
                              2. Рассуждая здраво - настраиваем клиента - нужен клиентский сертификат.
                              3. Не рассуждая вообще  ;) - пробуем оба, у вас их всего 2.

                              1 Reply Last reply Reply Quote 0
                              • S
                                sneet
                                last edited by

                                @pigbrother:

                                вот с этим гемор ,какой именно надо брать?
                                Вам писали:
                                1.там есть и серт и ключ для клиента, созданного для  Grandstream
                                Он у вас и в имени слово "клиент" содержит
                                2. Рассуждая здраво - настраиваем клиента - нужен клиентский сертификат.
                                3. Не рассуждая вообще  ;) - пробуем оба, у вас их всего 2.

                                Так а сертификат сервера не нужен чтоли?

                                1 Reply Last reply Reply Quote 0
                                • P
                                  pigbrother
                                  last edited by

                                  Сертификат сервера нужен серверу.
                                  Клиента - клиенту.

                                  Неясно, правда,  зачем вашему Grandstream нужен серт. CA. Для спокойствия?

                                  1 Reply Last reply Reply Quote 0
                                  • werterW
                                    werter
                                    last edited by

                                    @pigbrother:

                                    Сертификат сервера нужен серверу.
                                    Клиента - клиенту.

                                    Неясно, правда,  зачем вашему Grandstream нужен серт. CA. Для спокойствия?

                                    Для ВПН на сертификатах CA нужен клиенту. Любому. Потому как серт-ты и сервера и клиента подписаны одним СА.
                                    И сервер и клиент это проверяют.

                                    Попробуйте зайти в настр. впн клиента на пф. Или выгрузить online-конфу для любого клиента. Там 100% будет СА.

                                    1 Reply Last reply Reply Quote 0
                                    • First post
                                      Last post
                                    Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.