VoIP telefony za TCP OpenVPN - je to problem?
Napsal: stř 17. říj 2018 9:56:17
Dobry den,
rozjizdime vlastni telefonni ustrednu na Asterisku, ke ktere planujeme odorik sip trunk.
V planu je je asi 80-120 hardwarovych VoIP telefonu. Telefony budou rozmisteny mezi nasimi spolupracovniky v nekolika statech EU.
Nyni mame nainstalovany Asterisk a testujeme volani mezi telefony. Po uspesnem otestovani zacneme resit sip trunk.
Problem je, ze prevazna vetsina spolupracovaniku jsou bezni uzivatele. Je tedy treba jim poslat krabici se "samoinstalacnim balickem" s navodem typu "do cerneho konektoru na telefonu pripoj internet prilozenym kabelem".
Pri pokusech s Asteriskem na vlastnim serveru jsem resil spoustu pokusu o utok na SIP. Hodne lidi mi doporucilo zavrit SIP do VPN. Take se mi ta myslenka libi.
Nektere VoIP telefony, ktere jsem testoval mely podporu VPN primo v sobe. Zdaleka ne vsak vsechny, takze tento zpusob nejde pouzit.
Idelani reseni by bylo, aby kazdy spolupracovnik mel VoIP telefon a "krabicku", ktera bude telefonu delat VPN a zaroven mi umozni v pripade problemu pripojeni k zarizeni a moznost opravy (mnohem lepsi, nez dohadovat TeamViewer pristup z pc).
A ted k samotnemu problemu:
na dost mistech pouzivam Mikrotik hAP lite, jako OpenVPN do site. Zarizeni stoji 500 Kc, ma caste bezpecnostni aktualizace a bohate moznosti nastaveni. Toto reseni se mi moc dobre osvedcilo a nejsou s nim zadne problemy.
Na vsechny VPN do Mikrotiku jsem do ted pouzival OpenVPN (nikdy nebyla potreba VoIP). Ma ohromnou vyhodu, ze proleze temer vsemi firewally a proste funguje.
Jenze Mikrotik umoznuje OpenVPN jen v TCP rezimu. Jak moc velky problem je to u VoIP? TCP over TCP je spatne, ale samotny zvuk (RTP) by uz mel prece jit pres UDP. Tunelovani UDP skrz TCP mi nikdy nedelalo problem. Netestoval jsem to vsak na telefonovani.
Je mozne/dobre telefonovat pres TCP VPN tunel, nebo to muze a bude prinaset problemy? Pokud to je problem, zacnu vymyslet mikrotik+ipsec, ktery pouziva UDP.
Idealne by se mi hodily prakticke zkusenosti nekoho, kdo neco podobneho pouziva/zkousel.
Dekuji,
Martin Vancl
rozjizdime vlastni telefonni ustrednu na Asterisku, ke ktere planujeme odorik sip trunk.
V planu je je asi 80-120 hardwarovych VoIP telefonu. Telefony budou rozmisteny mezi nasimi spolupracovniky v nekolika statech EU.
Nyni mame nainstalovany Asterisk a testujeme volani mezi telefony. Po uspesnem otestovani zacneme resit sip trunk.
Problem je, ze prevazna vetsina spolupracovaniku jsou bezni uzivatele. Je tedy treba jim poslat krabici se "samoinstalacnim balickem" s navodem typu "do cerneho konektoru na telefonu pripoj internet prilozenym kabelem".
Pri pokusech s Asteriskem na vlastnim serveru jsem resil spoustu pokusu o utok na SIP. Hodne lidi mi doporucilo zavrit SIP do VPN. Take se mi ta myslenka libi.
Nektere VoIP telefony, ktere jsem testoval mely podporu VPN primo v sobe. Zdaleka ne vsak vsechny, takze tento zpusob nejde pouzit.
Idelani reseni by bylo, aby kazdy spolupracovnik mel VoIP telefon a "krabicku", ktera bude telefonu delat VPN a zaroven mi umozni v pripade problemu pripojeni k zarizeni a moznost opravy (mnohem lepsi, nez dohadovat TeamViewer pristup z pc).
A ted k samotnemu problemu:
na dost mistech pouzivam Mikrotik hAP lite, jako OpenVPN do site. Zarizeni stoji 500 Kc, ma caste bezpecnostni aktualizace a bohate moznosti nastaveni. Toto reseni se mi moc dobre osvedcilo a nejsou s nim zadne problemy.
Na vsechny VPN do Mikrotiku jsem do ted pouzival OpenVPN (nikdy nebyla potreba VoIP). Ma ohromnou vyhodu, ze proleze temer vsemi firewally a proste funguje.
Jenze Mikrotik umoznuje OpenVPN jen v TCP rezimu. Jak moc velky problem je to u VoIP? TCP over TCP je spatne, ale samotny zvuk (RTP) by uz mel prece jit pres UDP. Tunelovani UDP skrz TCP mi nikdy nedelalo problem. Netestoval jsem to vsak na telefonovani.
Je mozne/dobre telefonovat pres TCP VPN tunel, nebo to muze a bude prinaset problemy? Pokud to je problem, zacnu vymyslet mikrotik+ipsec, ktery pouziva UDP.
Idealne by se mi hodily prakticke zkusenosti nekoho, kdo neco podobneho pouziva/zkousel.
Dekuji,
Martin Vancl