[quote=kdupke]
OK, was fehlt mir sonst noch in der Auerswald? 1) Cisco VPN-Client (das ist das, was Sipgate nutzt) 2) siproxd (Sipproxy, um die Auerswald als SIP-Bridge zu nutzen) 3) openVPN als breit eingeführte VPN-Lösung 4) Komandozeilen Zugang und tools (bitte mittels SSH und Key) 5) Die Auerswald-Software als Open Source.[/quote]
Open Source fände ich auch cool. Nur was mich wundert an deiner Aufzählung warum willst du die Telefonanlage als VPN Client (Cisco) / Server (OpenVPN) missbrauchen? Dafür hat man doch einen Firewall oder bei sehr großen Installationen dann halt einen extra VPN Server. Aber das alles auf die Telefonanlage zu packen wäre mir nie in den Sinn gekommen.
Ganz einfach, bei Außenstellen ist evtl. kein Server dafür vorhanden. Hier läuft soetwas auf diversen virtuellen Maschinen, aber das möchte ich draußen nicht so hochziehen.
Sipgate unterstützt Cisco-VPN - dann gibt es kein Problem mehr mit dynamischen IPs.
OpenVPN kann jedes Handy und ist deutlich besser als secure VoIP, weil es die Ganze Verbindung einpackt.
Ich habe dafür ja Lösungen, aber ich bin ein Freund von Systemen, die man aufsetzt und dann einfach nutzt.
[quote=kdupke]Ganz einfach, bei Außenstellen ist evtl. kein Server dafür vorhanden. Hier läuft soetwas auf diversen virtuellen Maschinen, aber das möchte ich draußen nicht so hochziehen.
Sipgate unterstützt Cisco-VPN - dann gibt es kein Problem mehr mit dynamischen IPs.
OpenVPN kann jedes Handy und ist deutlich besser als secure VoIP, weil es die Ganze Verbindung einpackt.[/quote]
Ja, wir setzten bis auf eine IPSEC Verbindung auch nur OpenVPN ein, aber mir ist da eine Hardware Firewall dann doch lieber als so etwas auf der Telefonanlage laufen zu lassen.
Zumal ich Auerswald zwar durchaus zutraue gute Telefonanlagen zu Produzieren, aber das heißt ja noch lange nicht das sie auch gute Firewalls / VPN Server herstellen können.
Wir setzen als Firewall eigentlich nur pfSense ein und je nach Größe der Außenstelle bekommt man da eine gute Hardware Firewall auch durchaus für 200 Euro.
Ich muß nicht alles in einem Kasten haben, mir ist es lieber wenn jeder Kasten das macht was er am besten kann.
Das machen sie ja auch nicht. Und hoffentlich vermitteln sie nicht diesen Eindruck. Eine TK mit LAN-Connect ungeschützt ins Netz stellen, ist mit Verlaub … Cisco-VPN-Clients hin oder her. Das Teil gehört definitiv hinter eine firewall, selbst wenn man es - aus welchen Gründen auch immer - in die DMZ stellt. In diesem Fall gehört halt noch eine firewall dahinter.
Ein halbwegs vernünftiger Router mit stateful-inspection-firewall ans WAN getackert, dann hast Du auch genug Möglichkeiten, ein VPN aufzumachen … im Notfall sogar ohne öffentliche Adresse. LANCOM kann das erstaunlich gut, da reicht es, wenn ein beteiligter Router über eine public IP verfügt, Notfalls geht das sogor durchs NAT von HSPA-APN. DDNS sollte nun überhaupt kein Problem sein.
@Christian: dass muss nicht immer eine Hardeware-firewall sein, pfsense bspw. soll auch ganz gut sein Ding tun …
Da bin ich nur bedingt der selben Meinung. Was läuft denn auf vielen Routern und Firewalls heute sehr stabil? Eben, Open Source, Linux. Echte HW firewalls hat hier wohl keiner laufen.
Wenn Du solch eine Firewall-Box von einem der Top-Anbieter hast, dann kann es sehr gut sein, dass Du längst unser Linux nutzt. Da spricht nichts dagegen, dass auch Auerswald dieses benutzt. Ich sage ja nicht, dass jeder das machen soll, aber nicht die Möglichkeit dazu zu haben ist schlecht.
Dazu kommt noch, dass wir über VoIP reden, oder? Gerade da hilft ein VPN, wenn firewalls im Weg sind - insbesondere openVPN auf Port 443, weil es auch mit Proxy geht. Außenstellen werden plötzlich einfacher etc.
aus meiner Sicht wird das beim derzeitigen Auerswald-Händlerumfeld wohl nur ein frommer Wunsch bleiben.
Viele Händler kommen derzeit noch aus dem klassischen Elektro-Handwerk und nutzen daher z.B. lieber die Anlagen mit USB-Anschluss, alles mit einer Netzwerkschnittstelle ist manchmal schon zuviel. Das wird Auerswald immer im Auge behalten und deshalb keine “eierlegende Wollmilchsau” aus der Anlage machen.
Aber was jetzt noch nicht ist, kann ja in 5 Jahren ganz anders sein
btw bin ich auch mehr ein Freund davon, die Aufgaben auf verschiedene Maschinen auszulagern. Ob das am Ende eine in sich geschlossene Hardwarebox oder ein PC ist, spielt für mich dabei nur eine untergeordnete Rolle.
Das ist Dein gutes Recht - wir nennen das Diskussion
Eigentlich schon - eine firewall kann ich konfigurieren …
Genau deswegen konfiguriere ich meine firewall und route die Wege - recht praktisch, wenn dass alles in einem Kästchen sitzt. Dass auch das LCOS einen Linux-Unterbau hat …ja mei.
Aussenstellen telefonieren in der Regel nicht nur, meist laufen auch die client-PC oder member-server über das VPN in die Zentrale … da kann ich die Telefonie ja gleich mit rüberschicken, gelle?
[quote=kdupke]
Dazu kommt noch, dass wir über VoIP reden, oder? Gerade da hilft ein VPN, wenn firewalls im Weg sind - insbesondere openVPN auf Port 443, weil es auch mit Proxy geht. Außenstellen werden plötzlich einfacher etc.
gruss kai[/quote]
Das außenliegende VOIP-Nebenstellen per VPN angebunden werden, dürfte aber doch hoffentlich für alle selbstverständlich sein. Niemals nie würde ich das anders machen. Und ob es dann Open-VPN oder IPSec oder was auch immer wird, um den Tunnel zu schlagen, ist vielfach geschmacksache und hängt m.E. von den Begebenheiten beim Kunden ab. Wir verbauen z.B. primär Juniper oder Sonicwall, andere nehmen LANCOM, Gateprotect oder, oder, oder.
Dirket in der TK-Anlage jedenfalls wollte ich das nicht implementiert haben…
