asterisk und openvpn

[iwankoenig]

Servus!
Folgende Aufgabe habe ich mir selbts gestellt:
Ich habe drei Rechner: Linux SuSe (IP-218.1.31.120 mit Internetzugang), Windows XP (IP - 218.1.31.168 ) und noch mal Windows XP (IP - 218.1.31.186).
So...Und ich möchte zwischen den beiden Windows XP VoIP aufbauen. Dazu installiere ich auf Linux-PC asterisk, stelle alles ein, configuriere Softphones auf den Clients und es geht los. VoIP funktioniert einwandfrei..Folgendes Schema läuft: Auf dem softphone wähle ich Nummer des anderen Softphones (z.B. 168 -> 186), Asterisk meldet auf dem 186, dass der Anruf von 168 kommt, du gehst dann ran und Asterisk teilt den beiden Softphones die IP Adressen von diesen Softphones. Und das Geschpräch läuft dann nicht mehr über asterisk server sondern direkt zwischen den beiden PCs.
Super. Ich bin begeistert.
Jetzt komme ich zur Frage der Sicherheit der Geschpräche. Ich möchte, dass diese Gespräche über OpenVPN verschlüsselt laufen.
Was mache ich dazu: ich lese ne Menge Tutorial, das Forum usw. und dann installiere ich auf den beiden Windows-PCs OpenVPN und configuriere einen als Server und den anderen als Client.
So. Starte das ganze und stelle fest, dass alles einfach einwandfrei läuft.
Jetzt habe ich folgendes: Windows - VPN-Server hat jetzt die IP- Adresse 218.1.31.186 und die VPN-IP-Adresse 10.0.0.1 und der VPN-Client: 218.1.31.168 und 10.0.0.2
Der Asterisk-server sieht die VPN-IP-Adresse von Windows-Rechnern überhaup net. Also jetzt wähle ich auf einem Softphone die Nummer des Anderen, der Asterisk meldet bei dem anderen, dass ein Anruf kommt. Ich gehe ran und der Asteriks teilt jetzt die IP Adressen von Softphones mit und das Geschpräch läuft. Nun, da Asterisk die VPN-IP-Adressen nicht sieht, gibt er natürlich die LAN-IP-Adressen und das Geschpräch läuft dann trotzdem nicht über VPN-Tunnel?

Mit etherreal habe ich folgendes ausprobriert: ich habe versucht über etherreal zu sehen, welche packete laufen über diesen TAP-Device von OpenVPN. Wenn ich einfache daten zwischen den beiden Windows-Rechnern austausche, dann sehe ich, dass es sich "irgendwas" bewegt durch den Tunnel. Wenn ich aber Gespräche führe, dann sehe ich überhautp keine Bewegung von Daten über den Tunnel.

Ich komme zur Schlußfolgerung: Die Gespräche laufen net über den Tunnel, sondern ganz normal über RTP-Protokol.

Könnte mir jemand Helfen? Vielleicht in Richtung "routing" habe ich irgendwas Falsches gemacht? Oder so?

Herzlichen Dank!

Beste Grüße aus Süden!

 

[AndreR]

Vorweg: ich kenne mich mit Asterisk garniht aus, aber VPN geht so

idealerweise sollte in der Client-Config der Befehl

redirect-gateway

stehen. Dann wird jeglicher Verkehr über den Server abgewickelt. Allerdings: Dann geht er auch DIREKT an den VPN Server - und von dort erst an den Asterisk.

Für dein Vorhaben sollte der Asterisk m.E. nach gleichzeitig der VPN server (multi-Client ==> Zertifikate) sein

 

[iwankoenig]

Ja! Ich habe es verstanden, dass der Asterisk selbst auch der VPN-Server sein sollte. Ich habe ja auch so gemacht..Jetzt läuft alles super! Im Etherreal sehe ich schon, dass die Gespräche über VPN-Tunnel laufen. Also genau, dass was ich haben wollte!
Nun, kommt jetzt ein weiteres Problem: zu dem Asterisk Server sind auch zwei SIP-Telefone angeschlossen (also keine Softphones!). Und wenn ich von einem Softphone ein SIP-Telefon anrufe, dann klingelt es zwar, aber die Sprachübertragung funktioniert gar net. Und umgekehrt auch.
Also ich muss doch den VPN-Tunnel nur zwischen den beiden Windows-Rechnern aufbauen. Und jetzt probiere ich mit redirect-gateway...vielleicht klappt's. Nur habe ich dabei folgendes Bedenken: wenn ich das ganze über VPN laufe lasse, stelle ich fest, es kommt schon zur Übertragungsverzögerung, zo ungefähr eine Sekunde (nicht übertrieben!!!). Das ist schon ziemlich heftig. Und wenn das ganze so laufen wird, wie du beschrieben: von Openvpn-Client zu Openvpn-Server und dann zu Asterisk-Server, wird es bestimmt zur noch größeren Verzögerung führen. Aber probieren werde ich es.
Danke!

 

[iwankoenig]

mit redirect-gateway funktioniert es auch nicht.
Fehlermeldung beim Client:
NOTE: unable to redirect default gateway --Cannot read current default gateway from system.
Initialization Sequence Completed

 

[iwankoenig]

ich glaube einfach nicht, dass es nicht möglich ist zwei Windows-Rechner mit openvpn zu tunnel, so dass der dritte Linux-Asterisk-Rechner diesen Tunnel sieht.
hat keiner eine Idee?

 

[AndreR]

Der Server soll ja den Tunnel bereit stellen, er ist damit ein Teil des Tunnels.

Und wenn redirect-gateway nicht geht, füge zusätzlich ein:

route-gateway 192.168.x.x

wobei die Adresse die des Asterisk sein sollte

 

[iwankoenig]

ok..ich habe zugefügt...es hat sich überhaupt nichts geändert. vpn läuft hervorragen, aber die gespräche laufen außerhalb des Tunnels.
:noidea:

 

[AndreR]

Kommt die Meldung mit Redirect-gateway immer noch?

Eine blöde Frage mal: diese SIP-Phones: wie sind die wo angeschlossen?

 

[iwankoenig]

die SIP-Telefone interessieren mich wenig. Sie sind einfach über HUP zum Asterisk Server angeschlossen. Und das funktioniert ja alles prima. Asterisk ist geil!
redirect-gateway gibt immer noch die selbe Fehlermeldung.
Ich bin echt verzweifelt. Egal was ich mache, funktioniert nicht. und ich habe schon die ganzen Tutorials von openvpn.net durch gelesen und durchgearbeitet. verdammt! das funktioniert einfach nicht..ich wusste nicht, dass es so schwer sein wird, nur zwei PCs zu tunneln und Asterisk laufen lassen.

 

[AndreR]

Dann muss ich nochmal doof fragen: was genau ist dein Problem? Hier (gestern) schreibst du:

Ich habe ja auch so gemacht..Jetzt läuft alles super! Im Etherreal sehe ich schon, dass die Gespräche über VPN-Tunnel laufen. Also genau, dass was ich haben wollte!

Und wenn es nicht um die SIP-Telefone geht?!

@redirect-gateway: Wie funktioniert denn die "normale" Verbindung? Also DSL oder LAN oder was auch immer? Da scheint kein Gateway eingetragen zu sein

 

[iwankoenig]

Mein genaues Problem ist: wenn ich Asterisk Server zum OpenVPN-Server einstelle, dann laufen die Gespräche zwischen Softphones sehr gut über VPN-Tunnel verschlüsselt. Aber, wenn ich vom Softphone ein Hardphone anrufen möchte, dann klingeln zwar die Hardphones, die Sprache wird aber nicht übertragen. Du hörst einfach nichts. Die Sicherheit der Gespräche zu den Hardphones interessiert mich wenig. Die Gespräche müssen einfach laufen, egal, wie sicher.
Na ja...bin gerade dabei mich ins Thema "routing" einzulesen. Ich denke damit kann ich was erreichen.
Wenn ich die Lösung finde, poste ich die hier. Ich glaube, dass ich nicht der einzige bin, der so ein Problem hat.
Servus.

 

[AndreR]

Wo sind die SIP-Phones denn angeschlossen? Kann ja auch sein, dass die "Ihren eigenen" Weg gehen

 

[derdanielder]

Reinvite

Moin,

nur so als Hinweis:
Wenn Du in der sip.conf deiner Asterisk Box die Option canreinvite = no setzt bleibt die Asterisk immer im Media Path.
Dann Funzt auch :
SIP Verbindung sicher (z.B. über Internet per SSH-Tunnel oder vpn) spricht mit SIP Verbindung unsicher (z.B. VoIP Telefon direkt an Asterisk)

guckst du auch hier :
http://www.voip-info.org/wiki/view/Asterisk+sip+canreinvite