Verschlüsselte Anbindung von Homeoffice oder Außenbüros an die MobyDick.
Da unsere Büros über ganz Deutschland verteilt sind, und an die MobyDick angebunden
werden müssen, habe ich nach einer Lösung gesucht mit der Ich unsere Telefone
sicher und ohne Einsätze vorort ausrollen kann.
Im Wiki von Snom (http://wiki.snom.com/Networking/VPN) findet man dazu ein kleines Howto
wie man ein Snom 370 mit OpenVPN verwendet. Ich habe anhand diesem Howto und gewissen Foren unsere Außenbüros gesichert an unsere MobyDick angebunden.
Auf die Konfiguration eines OpenVPN-Servers werde Ich nicht eingehen, da es genug Howtos
im Internet dazu gibt.
1. Snom 370 vorbereiten
Als erstes muss man sich eine spezielle Firmware für das Snom 370 herunterladen.
http://provisioning.snom.com/download/fw/snom370-7.3.23-VPN-SIP-f.bin
Diese Datei muss man dann in snom370.bin umbenennen und per TFTP im Netzwerk bereitstellen.
Unter Windows empfehle ich folgende Software: http://tftpd32.jounin.net/tftpd32_download.html
Jetzt kann man das Telefon booten und am Anfang durch das drücken einer beliebigen Taste die
IP-Adresse des Telefons und TFTP-Server manuell eingeben. Das Telefon ladet die Firmware vom
TFTP-Server und schreibt diese in den Flash. !!! Stromversorgung darf nicht unterbrochen werden!!!
2. Snom 370 erste Provisionierung
Nachdem das Firmware-Update erfolgreich war und das Telefon gebootet hat, wird wie gewohnt das Telefon
anhand des Settingservers konfiguriert. Hier macht es Sinn wenn man eine Eigene Basiskonfiguration für die Externen Telefone erstellt, da in den meisten Fällen der NTP-Server die IP-Adresse der MobyDick ist. Da aber bei einer zertifikatsbasierenden VPN authentifizierung die Zeit und das Datum aktuell sein müssen, wird beim Booten des Telefon vor der VPN-Verbindung der angegebene NTP-Server abgefragt.
Ich habe hier in einer extra Basiskonfiguration als NTP-Server pool.ntp.org angegeben.
3. Snom 370 VPN-Paket erstellen
Damit das Telefon überhaupt eine VPN-Verbindung aufbauen kann, muss es erst mal eine Konfiguration und die dazugehörigen Zertifikate und Schlüssel im Flash haben. Dies sollte nicht über die Provisionierung
gemacht werden, da nach dem Laden der VPN-Konfiguration das Telefon neu startet und man Sich somit eine Bootschleife bauen würde. Die notwendigen Dateien werden vom Telefon von dem angegebenen Webserver als Tar-Archiv ins Flash geladen. Ein Beispiel wie so ein Tar-Archiv bestückt sein muss, findet man im Snom-Wiki http://www.snom.com/vpn/vpnclient.tar
Wichtig ist das die Konfigurationsdatei für die OpenVPN-verbindung im Tar-Archiv Vpn.cnf heist, da das Telefon beim booten nach dieser Datei im Flash sucht. Die Zertifikate und Schlüsselnamen können beliebig
sein.
Wie man die notwendige Zertifizierungsstelle, Zertifikate und Schlüssel erstellt kann man in diesem Wiki
nachsehen. http://wiki.openvpn.eu/index.php/Erzeugen_einer_PKI_mit_EasyRSA
4. Snom 370 VPN aktivieren und konfigurieren
Um OpenVPN zu nutzen, muss man diese Option per Weboberfläche des Telefons aktivieren, und die URL zum erstellten Tar-Archiv angeben. http://wiki.snom.com/Image:Vpn_on.gif
Ich verwende als Webserver die MobyDick selber und leg einen neuen Ordner “vpn” unter http://<mobydick>/mobydickcmd/custom/ an, in dem die Tar-Archive liegen.
Daraus ergibt sich z.B. folgender Link. http://<mobydick>/mobydickcmd/custom/vpn/vpnclient.tar
Dieser Vorgang muss nur einmal gemacht werden, da danach die Dateien vom Tar-Archiv im Flash vom Telefon gespeichert sind.
Nachdem VPN aktiviert ist und die URL eingegeben, fordert das Telefon einen Neustart an. Beim Neustart
verbindet sich das Telefon mit dem angegebenen Webserver und lädt das Tar-Archiv herunter und kopiert diese in den Flash. Nach diesem Vorgang startet das Telefon nochmal neu und entfernt die URL zum Tar-Archiv in der Konfiguration.
5. Snom 370 VPN booten und verbinden
Beim booten kann man auf dem Display sehen das als erstes die Zeit anhand des angegebenen NTP-Servers gesetzt wird, und danach die VPN-Verbindung aufgebaut wird. Wenn alles funktioniert hat,
kann man sehen dass im Display unten rechts “VPN” angezeigt wird.
Jetzt könnt Ihr wie gewohnt dem Telefon über den MobyDick-Commander eine Identität zuweisen.
Achtung !!!
Solltet Ihr als Amt so wie Ich einen SIP-Provider über NAT verwenden, müsst Ihr zusätzlich in der sip.conf folgenden Eintrag hinzufügen. localnet=<VPN-Netz>/255.255.255.0 z.B. localnet=10.10.10.0/255.255.255.0
da sonst dem Telefon die NAT-IP-Adresse als Registrarserver übergeben wird.
Ich hoffe dass Ich halbwegs verständlich war, und wünsche euch Viel Spaß beim Testen.
Gruß
Arthur Vogel