VPN туннели для подключения к сервису

 

Сервисы Общения Форумы Телефония VPN туннели для подключения к сервису

В этой теме 29 ответов, 9 участников, последнее обновление  AndyRadist 2 года/лет, 9 мес. назад.

Просмотр 20 сообщений - с 1 по 20 (из 30 всего)
  • Автор
    Сообщения
  • #10289

    sale
    Участник

    Предлагаю в настройках внешних учетных записей добавить возможность VPN тунеля (адрес, логин, пароль).
    Т.к. некоторые мобильные провайдеры (Интертелеком) при конекте с заграничных IP (не украинские) беруть больше денег за исходящую связь (типа SIP в роуминге).

    #10291

    Demon
    Участник

    Выделил это сообщение в отдельную тему.
    В моих планах создать возможность подключаться к серверу через клиента OpenVPN. Т.е. что не сам сервер подключался куда-то.. а именно что-то (клиент или иное) подключалось к серверу через OpenVPN (именно OpenVPN, а не другие туннели).
    Подойдёт ли такое решение?

    #10292

    Homo interneticus
    Участник

    Android умеет openvpn компы тоже
    а вот телефончики не умеют openvpn
    l2tp pptp
    может посмотреть на реализацию у сипнета
    https://wiki.sipnet.ru
    Категория:VPN доступ к SIPNET

    #10293

    Demon
    Участник

    Были так же идеи поставить и настроить https://www.softether.org/
    По документации он жутко гибкий и может прикидываться и OpenVPN и pp2p и прочими… вплоть до работы через icmp и https.
    Но.. у него нет родного Android клиента и надо проверять будет ли работать клиент от OpenVPN с ним.

    OpenVPN мне знаком во всех проявлениях и мне просто его легче настроить. softether я хотел бы изучить, но это требует времени.

    #10295

    Homo interneticus
    Участник

    SoftEther штука интересная
    говорят легко настраиваемая
    я SoftEther не применял нигде
    openvpn использую где можно
    но!
    аппаратные телефоны и шлюзики разные не могут openvpn
    если и могут то одна или две модели

    #10296

    Homo interneticus
    Участник

    то есть сново роутеры пилить под openwrt
    а это не все хотят

    #10297

    sale
    Участник

    @demon “Подойдёт ли такое решение?”
    Немного запутался: кого считать сервером и кого клиентом 🙂

    Приведу примеры.
    1. Допустим для Белоруссии, где масово блочать SIP трафик: настраиваем VPN на андроиде, железном телефоне или роутере.
    При этом на takl37 ничего делать не нужно.

    2. Мой случай: оператор Интертелеком Украина позволяет цеплятся к ним по всему миру.
    Для входящих звонков без разницы с какого IP цеплятся – входящие всегда бесплатно.
    Для исходящих звонков – если клиент зацепился с украинского IP, то тариф почти бесплатный. Если клиент (в данном случает talk37 srv_d14078) зацепился с российского IP, то тариф драконовский 🙁

    Задача: зацепить talk37 к Интертелекому через тунель с украинским IP. Для настройки тунеля есть сервер, логин, пароль.

    #10298

    Homo interneticus
    Участник

    vpn нужен чтоб скрыть трафик
    то есть
    vpn сервер talk37
    и всё вешается на него
    телефоны и роутеры
    а в вашем примере
    ваш сервер
    а с него трафик voip отправляем куда угодно
    где deep packet inspection не фильтрует voip трафик

    #10299

    Homo interneticus
    Участник

    тут было бы лучше
    если talk37 был SoftEther

    #10300

    AndyRadist
    Участник

    @sale Под Ваши задачи подойдёт SIP-proxy, подключенный к украинскому IP. Если есть возможность развернуть, тоже хотел-бы воспользоваться этим прокси.

    @demon Публичный srv_d19411 важно оставлять на неукраинском IP, я объяснял почему.

    VPN-сервер на Т37 можно бы поднять для отладки и экспериментов. Кстати ходил по ссылке https://www.softether.org/ и похоже он лучше для Андроида, чем OpenVPN, так как Андроиду не потребуется особый клиент, достаточно штатных возможностей VPN в Андроиде https://www.softether.org/4-docs/2-howto/9.L2TPIPsec_Setup_Guide_for_SoftEther_VPN_Server/3.Android_L2TP_Client_Setup
    Авторизацию в идеале делать через индивидуальные самовыпущенные клиентские сертификаты. Но для начала, на период отладки, вполне приемлемо использовать пароль PSK, но только индивидуальный для каждого клиента, распостраняемый по запросу в личных сообщениях Т37, но таким образом, чтобы не попал в почтовую рассылку. Либо прямо на Т37 при организации VPN какой-то скрипт помогает генерировать пароль.

    #10301

    sale
    Участник

    @andyradist Для звонков на +38094 IP адрес не играет роли на тарификацию (кроме номеров +3809471)

    SIP-proxy у меня нет. Может есть возможность его настроить прямо на роутере, который находится на укр. IP ?

    #10303

    Nobody
    Участник

    SoftEther отличный VPN сервер.
    Он умеет создавать практически все VPN тунели в одном сервере в одной настройке.
    И собственный, и OpenVPN, и майкрософтовские L2TP/IPSEC и SSTP.
    Умеет безумные обходы блокировок типа vpn по icmp. Или бесплатно использует облачный азурвпн если сервер за натом.
    Я очень доволен его работой.

    На Андройде штатный l2tp по ipsec и он не работает по сертификатам, только пароль. Да и не безопасный он.
    Поэтому по сертификатам только OpenVPN или SSTP.
    Решение на SoftEther выглядит наиболее соответствующим современному сервису.
    Кому просто будут с андройда на l2tp, кому безопасно с андройда по OpenVPN, а кому просто, быстро, безопасно с десктопа по собственному SoftEther.

    Настройка очень простая. Дима, это лучшее решение.
    Да и надо ли сказать, что это будет первый VoIP сервер с SoftEther в качестве впн.
    И всякие заморочки с ZRTP и SRTP отойдут в прошлое.

    #10304

    Nobody
    Участник

    @andyradist Для звонков на +38094 IP адрес не играет роли на тарификацию (кроме номеров +3809471)

    SIP-proxy у меня нет. Может есть возможность его настроить прямо на роутере, который находится на укр. IP ?

    В этом случае VPN на talk37 не решит проблему.
    Чтобы понять возможен ли вариант с прокси надо понять внешний ли ip на том роутере и что на нем DDWRT, OPENWRT?

    #10305

    sale
    Участник

    IP внешний. Прошивка заводская.

    #10313

    Nobody
    Участник

    Надо смотреть умеет ли он вышеозвученные прошивки.

    #10397

    Nobody
    Участник

    Да и надо ли сказать, что это будет первый VoIP сервер с SoftEther в качестве впн.

    Это я погорячился. У sipnet’а сервер на softether поднят. 🙂

    #10442

    Demon
    Участник

    Чуть потратил время на инсталляцию и изучение ethervpn.
    Пока споткнулся на то, что он имеет весьма ограниченный круг методов авторизации пользователей… по сути только своя база, сертификаты в своей базе, радиус и NTLM. всё..
    https://www.softether.org/4-docs/1-manual/2._SoftEther_VPN_Essential_Architecture/2.2_User_Authentication

    Как же мне обучить его аутентификации через мой скрипт? Неужель радиус прослойку ставить ради этого? 🙁

    #10449

    AndyRadist
    Участник

    А если самописные, самовыпущенные сертификаты? Ведь главное, чтобы сервер их принял.

    #11656

    Demon
    Участник

    Вернулся к настройке SoftEther VPN… с авторизацией разобрался и это работает.
    Теперь возникла проблема с.. NAT, DHCP.. даже иначе.. с доступом к серверу по его IP.
    Дело в том что SoftEther использует виртуальный NAT..он реально не создаёт устройства в системе (есть там создание их, но пока не пробовал. может поможет?).
    Т.е. можно легко выдавать подключающимся IP адреса через SecureNAT и виртуальный DHCP… но при обращении по “серому” адресу сервера доступа к серверу не происходит!
    Как же обратиться к самому серверу через виртуальную сеть?
    Ну и вторая проблема… если сервер VPN находится на том же сервере что и SIP сервер, то как настроить SIP-клиент? Внешний IP адрес сервера нельзя маршрутом перенаправить, т.к. сломается VPN… а другой вариант какой? Подменять IP хоста на серый через подменный DNS?

    Извиняюсь за вечерний послерабочий сумбур.
    Собственно, разыскиваются знатоки SoftEther и просто умные люди 🙂

    #11658

    AndyRadist
    Участник

    На моей прошлой работе сись-админы обеспечили корпоративную почту и SIP следующим образом. VPN-сервер со статическим белым IP. После поднятия тоннеля выдаётся локальный IP клиента. SIP-сервер находится в этой-же локальной сети, в той-же локалке находится корпоративная почта. Доступ в VPN по самописным сертификатам.

    Для SIP-сервера нужно создать дополнительный локальный сетевой порт и делать его доступным внутри VPN-тоннеля. Это можно сделать даже аппаратно через роутер с VPN, например D-Link DL-260e.

    Основная задача – статический белый IP, в случае Т37 это выполняется.

Просмотр 20 сообщений - с 1 по 20 (из 30 всего)

Для ответа в этой теме необходимо авторизоваться.