OpenVPN+Grandstream 1610
-
https://www.ip-phone-forum.de/threads/grandstream-gxp2160-gxp2170-openvpn-zugang-via-pfsense-zu-freepbx.297021/
It works now.
Should someone else try the same:
reading
https://forums.grandstream.com/forums/index.php?topic=34040.msg102219#msg102219
https://forums.grandstream.com/forums/index.php?topic=34131.msg109024#msg109024
https://forums.grandstream.com/forums/index.php?topic=31611.msg92291#msg92291
https://pbxinaflash.com/community/threads/yealink-ip-phone-openvpn-guide-wip.15423/
https://www.sparklabs.com/support/kb/article/creating-certificates-and-keys-for-your-openvpn-server/
http://support.yealink.com/attachme…enVPN_Feature_on_Yealink_IP_Phones_V81_20.pdfOtherwise at the institution:
- always select SHA1
- I started with 1024 bit certificates, but 2048 work too
- I switched off compression
- DH also works with 1024 and 2048 bit
- Select "Remote Access (SSL / TLS)" in OpenVPN, username / password will not be required
- In OpenVPN you can grant access only to the Asterisk system - is probably a bit safer, since the security is affected by SHA1
- It works with current Grandstream firmware both Blowfish and z. Eg AES-256-CBC
- I have in the Asterisk and in the Grandstream "Symmetrical RTP" activated, which solved first all seen audio problems
- as already written, the 3 files that need to be uploaded are the CA certificate, ie the certificate of the issuer (.crt), the certificate of the client (.crt) and the key of the client (.key)
-
На счет Grandstream не уверен, но в Asus, Android, iOS, MacOS подходил конфиг по кнопке Others. Минимальные донастройки нужны были лишь на Asus (Merlin).
-
На счет Grandstream не уверен, но в Asus, Android, iOS, MacOS подходил конфиг по кнопке Others. Минимальные донастройки нужны были лишь на Asus (Merlin).
Так даже если скачать конфиг по кнопке Others, скачивается файл с расширением opvn, а Grandstream просит 3 файла: OpenVPN
CA, Сертификат OpenVPN, Ключ OpenVPN
И вот хрен поймешь где их брать то. -
И вот хрен поймешь где их брать то.
1. OpenVPN
CA - System-Certificate Manager-CAs - там есть серт для CA, которым создавали сервер и клиента Grandstream.
2. Сертификат OpenVPN, Ключ OpenVPN - System-CertificateManager-Certificates - там есть и серт и ключ для клиента, созданного для Grandstream.Теоретически может понадобиться ключ TLS authentication.
Взять его можно в настройках сервера на pfSense в TLS authentication -
TLS оно может и не уметь.
-
TLS оно может и не уметь.
А может и уметь. Не уверен, что ТС из конфига его сможет вытащить, потому и указал где взять, если потребуется.
Но если не умеет - в сервере придетесь TLS отключать. -
И вот хрен поймешь где их брать то.
1. OpenVPN
CA - System-Certificate Manager-CAs - там есть серт для CA, которым создавали сервер и клиента Grandstream.
2. Сертификат OpenVPN, Ключ OpenVPN - System-CertificateManager-Certificates - там есть и серт и ключ для клиента, созданного для Grandstream.Теоретически может понадобиться ключ TLS authentication.
Взять его можно в настройках сервера на pfSense в TLS authentication1. С этим я разобрался.
2. А вот с этим гемор ,какой именно надо брать?
-
вот с этим гемор ,какой именно надо брать?
Вам писали:
1.там есть и серт и ключ для клиента, созданного для Grandstream
Он у вас и в имени слово "клиент" содержит
2. Рассуждая здраво - настраиваем клиента - нужен клиентский сертификат.
3. Не рассуждая вообще ;) - пробуем оба, у вас их всего 2. -
вот с этим гемор ,какой именно надо брать?
Вам писали:
1.там есть и серт и ключ для клиента, созданного для Grandstream
Он у вас и в имени слово "клиент" содержит
2. Рассуждая здраво - настраиваем клиента - нужен клиентский сертификат.
3. Не рассуждая вообще ;) - пробуем оба, у вас их всего 2.Так а сертификат сервера не нужен чтоли?
-
Сертификат сервера нужен серверу.
Клиента - клиенту.Неясно, правда, зачем вашему Grandstream нужен серт. CA. Для спокойствия?
-
Сертификат сервера нужен серверу.
Клиента - клиенту.Неясно, правда, зачем вашему Grandstream нужен серт. CA. Для спокойствия?
Для ВПН на сертификатах CA нужен клиенту. Любому. Потому как серт-ты и сервера и клиента подписаны одним СА.
И сервер и клиент это проверяют.Попробуйте зайти в настр. впн клиента на пф. Или выгрузить online-конфу для любого клиента. Там 100% будет СА.
