Výber vhodnej VPN pre VoIP

[pavol.jurko]

Zdravim,
potreboval by som poradit ohladom vyberu VPN riesenia. Moja topologia siete vyzera nasledovne:
V cloude a teda vo virtualnom serveri mam nainstalovnu linuxovu distribuciu Elastix beziacu pod CentOS 5.10
Jednotlive Office su pripojene do internetu cez DSL pripojenie riesene pomocou routra Cisco 876. Potrebujem poradit ako mam spravne zabezpecit VoIP prevadzku, resp. co doporucujete vy.
1. Pouzit SIP over TLS a sRTP ako zabezpecenu komunikaciu medzi IP telefonmi a PBX.
2. Pouzit niektore z dostupnych VPN rieseni.

Co sa tyka prveho riesenia, s tym by podla mna nemal byt problem avsak zakaznikovi dane riesenie z nejakych dovodov nevyhovuje.
Preto by som chcel ist cestou VPN. OpenVPN asi neprichadza do uvahy pretoze v Cisco 876 ho nenastavim, nepodporuje ho. Rozmyslam som teda nad pouzitim IPSec ale...

Je mozne na CentOS nainstalovat Ipsec vpn server ktory by zvladol pripojenie napr. 20 officeov a teda 20 roznych tunelov? Skusal som to pomocou OpenSWAN ale vzdy sa tam definuje lava a prava strana. Som trosku z toho zmateny. Ja ako PBX admin by som sa potreboval tiez pripojit na vpn server a mal by som mat pristup do kazdeho ip telefonu kvoli administracii a pripadnemu prekonfigurovaniu. Co by ste mi v tomto pripade odporucili urobit? S VPNkami nemam nejake velke skusenosti takze nebudte na mna zliii. Dakujem za pomoc.

[Reklama]

[alfi]

ad 1. by mělo úplně stačit. jen pozor na (ne)vystavení administrace IP telefonu do internetu :-)
ad 2. co je to za telefony? nemají nějakou vpn už vestavěnou? (pokud by to bylo opravdu jen pro ně)

[pavol.jurko]

Ta VPN-ka je tam len kvoli administracii IP telefonov, kvoli nicomu inemu.
Riesim otazku aku VPN-ku tam pouzit ale kedze tieto cisco routre podporuju len IPSec 3DES inicializaciu / zakoncenie tak budem musiet pouzit tuto vpnku aj na strane centos servera.

Predpokladam ze v tomto pripade potrebujem SITE-to-SITE vpn aby som sa vedel na telefon dostat. Len veru neviem ci je mozne opriet viacero cisiek cez vpn na jeden centos server. Ci to vlastne takto pojde a netreba k tomu nejaky speci vpn router...
Skuste poradit prosim...

[alfi]

aha. nestačí potom pustit administraci jen na https, lépe nestandardním portu a někde na routeru omezit seznam IP z internetu, které se můžou připojovat? :-)

jinak většina rozumných IP telefonů má taky vzdálený provisioning, tedy někam na http(s)/tftp vystavím konfigurační soubor s požadovanou změnou a do druhého dne, příp. po restartu si ho telefon stáhne a použije. ideální, pokud se navíc stejná změna dělá pro víc telefonů současně :-)

VPN server typicky počítá s připojením desítek i stovek klientů, tedy by to mělo jít, ale s IPsecem už neporadím.