Openvpn SNOM

Aus metasec wiki
Version vom 10. Januar 2011, 13:07 Uhr von Aq (Diskussion | Beiträge) (Die Seite wurde neu angelegt: „Snom bietet eine alternative Firmware für ihre Telefone an, die openVPN Verbindungen ermöglicht. Hiermit kann sich das Telefon in ein VPN einwählen und über d…“)

(Unterschied) ← Nächstältere Version | Aktuelle Version (Unterschied) | Nächstjüngere Version → (Unterschied)
Wechseln zu: Navigation, Suche

Snom bietet eine alternative Firmware für ihre Telefone an, die openVPN Verbindungen ermöglicht. Hiermit kann sich das Telefon in ein VPN einwählen und über diese Tunnel ein Verbindung zum entsprechenden Server aufbauen.

Vorteile sind:

  • Nur ein Port muss nach außen geöffnet werden
  • Tunnel komplett verschlüsselt

Firmware

Die entsprechende Firmware basiert auf einer offiziellen 7er Firmware.

Zum flashen des Telefons kopiert man diesen Link FIRMWARE und fügt ihn im Web Interface des Telefons auf der "Software Update" Seite ein. Anschliessend muss man mit "Load" bestätigen und die Firmware wird geladen.

(Alternativ existiert auch schon eine vpn Firmware, die auf der 8er Firmware basiert. Diese wurde von uns aber noch nicht ausreichend getestet)

openVPN

Das Herz bildet ein openVPN Server im lokalen Netzwerk. Zunächst sollte, wenn noch nicht vorhanden eine PKI aufgebaut werden. Folgende Beisiele basieren auf easy-rsa 2.0, welches mit openvpn mitgeliefert wird.

CA erstellen

Wechsel in das easy-rsa Verzeichniss, editieren der Datei "vars", und generieren der CA Zertifikate. 

cd /usr/share/doc/openvpn/examples/easy-rsa/2.0/
vi vars
source ./vars
./clean-all
./build-ca

Die Datei vars sollte entsprechend der eigenen Bedürfnisse editiert werden. Veränderungen müssen an den unteren EInträgen vorgenommen werden. 

# These are the default values for fields
# which will be placed in the certificate.
# Don't leave any of these fields blank.
export KEY_COUNTRY="DE"
export KEY_PROVINCE="NRW"
export KEY_CITY="Witten"
export KEY_ORG="Metasec"
export KEY_EMAIL="admin@metasec.de"

Zertifikate erstellen

Neben dem CA Zertifikat muss nun ein Zertifikat für den Server und für jeden CLienten (Snom Telefon) erstellt werden. Zunächst wird erneut die vars editiert, gesourcet und anschliessend das Zertifikat erzeugt. 

vi vars
source ./vars
./build-key-server $SERVER
./build-key $CLIENT

Alle Zertifikate werden im Unterverzeichniss keys gespeichert.

Möchte man ALLES rückgängig machen reicht ein ./clean-all aus. Dies löscht alle Zertifikate (CA, Server, Client) sowie alle Listen.

Für den Server werden noch Diffie-Hellmann Parameter benötigt: 

./build-dh

Server Konfig

Von „http://wiki.metasec.de/index.php?title=Openvpn_SNOM&oldid=670