VPN туннели для подключения к сервису
- В этой теме 29 ответов, 9 участников, последнее обновление 8 лет назад сделано
.
-
Сообщения
-
Предлагаю в настройках внешних учетных записей добавить возможность VPN тунеля (адрес, логин, пароль).
Т.к. некоторые мобильные провайдеры (Интертелеком) при конекте с заграничных IP (не украинские) беруть больше денег за исходящую связь (типа SIP в роуминге).Выделил это сообщение в отдельную тему.
В моих планах создать возможность подключаться к серверу через клиента OpenVPN. Т.е. что не сам сервер подключался куда-то.. а именно что-то (клиент или иное) подключалось к серверу через OpenVPN (именно OpenVPN, а не другие туннели).
Подойдёт ли такое решение?Android умеет openvpn компы тоже
а вот телефончики не умеют openvpn
l2tp pptp
может посмотреть на реализацию у сипнета
https://wiki.sipnet.ru
Категория:VPN доступ к SIPNETБыли так же идеи поставить и настроить https://www.softether.org/
По документации он жутко гибкий и может прикидываться и OpenVPN и pp2p и прочими… вплоть до работы через icmp и https.
Но.. у него нет родного Android клиента и надо проверять будет ли работать клиент от OpenVPN с ним.OpenVPN мне знаком во всех проявлениях и мне просто его легче настроить. softether я хотел бы изучить, но это требует времени.
SoftEther штука интересная
говорят легко настраиваемая
я SoftEther не применял нигде
openvpn использую где можно
но!
аппаратные телефоны и шлюзики разные не могут openvpn
если и могут то одна или две модели@demon “Подойдёт ли такое решение?”
Немного запутался: кого считать сервером и кого клиентом 🙂Приведу примеры.
1. Допустим для Белоруссии, где масово блочать SIP трафик: настраиваем VPN на андроиде, железном телефоне или роутере.
При этом на takl37 ничего делать не нужно.2. Мой случай: оператор Интертелеком Украина позволяет цеплятся к ним по всему миру.
Для входящих звонков без разницы с какого IP цеплятся – входящие всегда бесплатно.
Для исходящих звонков – если клиент зацепился с украинского IP, то тариф почти бесплатный. Если клиент (в данном случает talk37 srv_d14078) зацепился с российского IP, то тариф драконовский 🙁Задача: зацепить talk37 к Интертелекому через тунель с украинским IP. Для настройки тунеля есть сервер, логин, пароль.
vpn нужен чтоб скрыть трафик
то есть
vpn сервер talk37
и всё вешается на него
телефоны и роутеры
а в вашем примере
ваш сервер
а с него трафик voip отправляем куда угодно
где deep packet inspection не фильтрует voip трафик@sale Под Ваши задачи подойдёт SIP-proxy, подключенный к украинскому IP. Если есть возможность развернуть, тоже хотел-бы воспользоваться этим прокси.
@demon Публичный srv_d19411 важно оставлять на неукраинском IP, я объяснял почему.VPN-сервер на Т37 можно бы поднять для отладки и экспериментов. Кстати ходил по ссылке https://www.softether.org/ и похоже он лучше для Андроида, чем OpenVPN, так как Андроиду не потребуется особый клиент, достаточно штатных возможностей VPN в Андроиде https://www.softether.org/4-docs/2-howto/9.L2TPIPsec_Setup_Guide_for_SoftEther_VPN_Server/3.Android_L2TP_Client_Setup
Авторизацию в идеале делать через индивидуальные самовыпущенные клиентские сертификаты. Но для начала, на период отладки, вполне приемлемо использовать пароль PSK, но только индивидуальный для каждого клиента, распостраняемый по запросу в личных сообщениях Т37, но таким образом, чтобы не попал в почтовую рассылку. Либо прямо на Т37 при организации VPN какой-то скрипт помогает генерировать пароль.@andyradist Для звонков на +38094 IP адрес не играет роли на тарификацию (кроме номеров +3809471)
SIP-proxy у меня нет. Может есть возможность его настроить прямо на роутере, который находится на укр. IP ?
SoftEther отличный VPN сервер.
Он умеет создавать практически все VPN тунели в одном сервере в одной настройке.
И собственный, и OpenVPN, и майкрософтовские L2TP/IPSEC и SSTP.
Умеет безумные обходы блокировок типа vpn по icmp. Или бесплатно использует облачный азурвпн если сервер за натом.
Я очень доволен его работой.На Андройде штатный l2tp по ipsec и он не работает по сертификатам, только пароль. Да и не безопасный он.
Поэтому по сертификатам только OpenVPN или SSTP.
Решение на SoftEther выглядит наиболее соответствующим современному сервису.
Кому просто будут с андройда на l2tp, кому безопасно с андройда по OpenVPN, а кому просто, быстро, безопасно с десктопа по собственному SoftEther.Настройка очень простая. Дима, это лучшее решение.
Да и надо ли сказать, что это будет первый VoIP сервер с SoftEther в качестве впн.
И всякие заморочки с ZRTP и SRTP отойдут в прошлое.@andyradist Для звонков на +38094 IP адрес не играет роли на тарификацию (кроме номеров +3809471)
SIP-proxy у меня нет. Может есть возможность его настроить прямо на роутере, который находится на укр. IP ?
В этом случае VPN на talk37 не решит проблему.
Чтобы понять возможен ли вариант с прокси надо понять внешний ли ip на том роутере и что на нем DDWRT, OPENWRT?Да и надо ли сказать, что это будет первый VoIP сервер с SoftEther в качестве впн.
Это я погорячился. У sipnet’а сервер на softether поднят. 🙂
Чуть потратил время на инсталляцию и изучение ethervpn.
Пока споткнулся на то, что он имеет весьма ограниченный круг методов авторизации пользователей… по сути только своя база, сертификаты в своей базе, радиус и NTLM. всё..
https://www.softether.org/4-docs/1-manual/2._SoftEther_VPN_Essential_Architecture/2.2_User_AuthenticationКак же мне обучить его аутентификации через мой скрипт? Неужель радиус прослойку ставить ради этого? 🙁
Вернулся к настройке SoftEther VPN… с авторизацией разобрался и это работает.
Теперь возникла проблема с.. NAT, DHCP.. даже иначе.. с доступом к серверу по его IP.
Дело в том что SoftEther использует виртуальный NAT..он реально не создаёт устройства в системе (есть там создание их, но пока не пробовал. может поможет?).
Т.е. можно легко выдавать подключающимся IP адреса через SecureNAT и виртуальный DHCP… но при обращении по “серому” адресу сервера доступа к серверу не происходит!
Как же обратиться к самому серверу через виртуальную сеть?
Ну и вторая проблема… если сервер VPN находится на том же сервере что и SIP сервер, то как настроить SIP-клиент? Внешний IP адрес сервера нельзя маршрутом перенаправить, т.к. сломается VPN… а другой вариант какой? Подменять IP хоста на серый через подменный DNS?Извиняюсь за вечерний послерабочий сумбур.
Собственно, разыскиваются знатоки SoftEther и просто умные люди 🙂На моей прошлой работе сись-админы обеспечили корпоративную почту и SIP следующим образом. VPN-сервер со статическим белым IP. После поднятия тоннеля выдаётся локальный IP клиента. SIP-сервер находится в этой-же локальной сети, в той-же локалке находится корпоративная почта. Доступ в VPN по самописным сертификатам.
Для SIP-сервера нужно создать дополнительный локальный сетевой порт и делать его доступным внутри VPN-тоннеля. Это можно сделать даже аппаратно через роутер с VPN, например D-Link DL-260e.
Основная задача – статический белый IP, в случае Т37 это выполняется.
- Для ответа в этой теме необходимо авторизоваться.