OpenVPN+Grandstream 1610



  • Всем добрый день!
    Может кто сталкивался, подскажите пожауйста.
    В общем ситуация такая: есть несколько ip телефонов Grandstream 1610, находятся удаленно, их необходимо подключить к телефонии (Asterisk). Открывать порт 5060 наружу не сильно хочу, очкую). Поковырявшись с данными аппаратами обнаружил, что у них встроен OpenVPN клиент. У меня как рз есть пф, на котором стоит OpenVPN сервер.
    Так вот, 3 день уже ломаю голову, какие ему конфиги нужны. Уже все перепробовал, впн на телефоне все-равно не поднимается



  • Добрый.

    Фраза grandstream pfsense openvpn в гугле может помочь.

    https://forum.pfsense.org/index.php?topic=113927.0
    https://forum.pfsense.org/index.php?topic=137626.0
    https://forum.pfsense.org/index.php?topic=126061.0

    P.s. Связка pfsense server + pfsense client + freepbx + cisco 79XX работает вот уже полгода без нареканий и по SIP и по SCCP.
    Мучения былииии, зато и опыт получен хороший + с ув. ded познакомился с forum.asterisk.ru (кто в теме, те поймут)  8)



  • @werter:

    Добрый.

    Фраза grandstream pfsense openvpn в гугле может помочь.

    https://forum.pfsense.org/index.php?topic=113927.0
    https://forum.pfsense.org/index.php?topic=137626.0
    https://forum.pfsense.org/index.php?topic=126061.0

    P.s. Связка pfsense server + pfsense client + freepbx + cisco 79XX работает вот уже полгода без нареканий и по SIP и по SCCP.
    Мучения былииии, зато и опыт получен хороший + с ув. ded познакомился с forum.asterisk.ru (кто в теме, те поймут)  8)

    Спасибо конечно, но это не сильно то и помогло. Я не могу понять (и по тем ссылкам ничего не сказано), какой в итоге конфиг то брать?



  • 1. Обновите ПО телефона
    2. Сперва сервер корректно настройте. Потому как гранд далеко не все поддерживает в плане шифрования и т.д. - http://blog.unlimite.net/?p=5



  • @werter:

    1. Обновите ПО телефона
    2. Сперва сервер корректно настройте. Потому как гранд далеко не все поддерживает в плане шифрования и т.д. - http://blog.unlimite.net/?p=5

    1. Обновил)
    2. Скажем так, сейчас его скорректировал, до этого почти правильно был настроен)



  • https://www.ip-phone-forum.de/threads/grandstream-gxp2160-gxp2170-openvpn-zugang-via-pfsense-zu-freepbx.297021/

    It works now.

    Should someone else try the same:

    reading
    https://forums.grandstream.com/forums/index.php?topic=34040.msg102219#msg102219
    https://forums.grandstream.com/forums/index.php?topic=34131.msg109024#msg109024
    https://forums.grandstream.com/forums/index.php?topic=31611.msg92291#msg92291
    https://pbxinaflash.com/community/threads/yealink-ip-phone-openvpn-guide-wip.15423/
    https://www.sparklabs.com/support/kb/article/creating-certificates-and-keys-for-your-openvpn-server/
    http://support.yealink.com/attachme…enVPN_Feature_on_Yealink_IP_Phones_V81_20.pdf

    Otherwise at the institution:

    • always select SHA1
    • I started with 1024 bit certificates, but 2048 work too
    • I switched off compression
    • DH also works with 1024 and 2048 bit
    • Select "Remote Access (SSL / TLS)" in OpenVPN, username / password will not be required
    • In OpenVPN you can grant access only to the Asterisk system - is probably a bit safer, since the security is affected by SHA1
    • It works with current Grandstream firmware both Blowfish and z. Eg AES-256-CBC
    • I have in the Asterisk and in the Grandstream "Symmetrical RTP" activated, which solved first all seen audio problems
    • as already written, the 3 files that need to be uploaded are the CA certificate, ie the certificate of the issuer (.crt), the certificate of the client (.crt) and the key of the client (.key)


  • На счет Grandstream не уверен, но в Asus, Android, iOS, MacOS подходил  конфиг по кнопке Others. Минимальные донастройки нужны были лишь на Asus (Merlin).



  • @pigbrother:

    На счет Grandstream не уверен, но в Asus, Android, iOS, MacOS подходил  конфиг по кнопке Others. Минимальные донастройки нужны были лишь на Asus (Merlin).

    Так даже если скачать конфиг по кнопке Others, скачивается файл с расширением opvn, а Grandstream просит 3 файла: OpenVPN® CA, Сертификат OpenVPN®, Ключ OpenVPN®
    И вот хрен поймешь где их брать то.



  • И вот хрен поймешь где их брать то.

    1. OpenVPN® CA - System-Certificate Manager-CAs - там есть серт для CA, которым создавали сервер и клиента  Grandstream.
    2. Сертификат OpenVPN®, Ключ OpenVPN®System-CertificateManager-Certificates - там есть и серт и ключ для клиента, созданного для  Grandstream.

    Теоретически может понадобиться ключ TLS authentication.
    Взять его можно в настройках сервера на pfSense в TLS authentication



  • TLS оно может и не уметь.



  • @werter:

    TLS оно может и не уметь.

    А может и уметь. Не уверен, что ТС из конфига его сможет вытащить, потому и указал где взять, если потребуется.
    Но  если не умеет - в  сервере придетесь TLS отключать.



  • @pigbrother:

    И вот хрен поймешь где их брать то.

    1. OpenVPN® CA - System-Certificate Manager-CAs - там есть серт для CA, которым создавали сервер и клиента  Grandstream.
    2. Сертификат OpenVPN®, Ключ OpenVPN®System-CertificateManager-Certificates - там есть и серт и ключ для клиента, созданного для  Grandstream.

    Теоретически может понадобиться ключ TLS authentication.
    Взять его можно в настройках сервера на pfSense в TLS authentication

    1. С этим я разобрался.
    2. А вот с этим гемор ,какой именно надо брать?



  • вот с этим гемор ,какой именно надо брать?
    Вам писали:
    1.там есть и серт и ключ для клиента, созданного для  Grandstream
    Он у вас и в имени слово "клиент" содержит
    2. Рассуждая здраво - настраиваем клиента - нужен клиентский сертификат.
    3. Не рассуждая вообще  ;) - пробуем оба, у вас их всего 2.



  • @pigbrother:

    вот с этим гемор ,какой именно надо брать?
    Вам писали:
    1.там есть и серт и ключ для клиента, созданного для  Grandstream
    Он у вас и в имени слово "клиент" содержит
    2. Рассуждая здраво - настраиваем клиента - нужен клиентский сертификат.
    3. Не рассуждая вообще  ;) - пробуем оба, у вас их всего 2.

    Так а сертификат сервера не нужен чтоли?



  • Сертификат сервера нужен серверу.
    Клиента - клиенту.

    Неясно, правда,  зачем вашему Grandstream нужен серт. CA. Для спокойствия?



  • @pigbrother:

    Сертификат сервера нужен серверу.
    Клиента - клиенту.

    Неясно, правда,  зачем вашему Grandstream нужен серт. CA. Для спокойствия?

    Для ВПН на сертификатах CA нужен клиенту. Любому. Потому как серт-ты и сервера и клиента подписаны одним СА.
    И сервер и клиент это проверяют.

    Попробуйте зайти в настр. впн клиента на пф. Или выгрузить online-конфу для любого клиента. Там 100% будет СА.