• Protection des postes nomades Asterisk: un exemple avec la configuration d'un vpn pptpd

      Bon , il est souvent demandé comment protéger Asterisk pour les postes nomades ou connections "dynamiques".

      La solution , c'est un vpn et c'est assez simple même si je ne rentrerai pas dans les details. L'idée est de montrer que cela peut être fait facilement en 10min chrono.
      Pour des commerciaux distants équipés de softphone sous windows. pptp est un des plus faciles à déployer car le client sous Windows est intégré.

      On va prendre l'exemple d'un petit serveur asterisk ( tournant sous debian ) derriere un routeur. Le serveur asterisk a pour adresse derriere le routeur 192.168.10.200.
      L'ip externe est 82.X.Y.Z

      On va supposer qu'il est protégé déja par un script iptables tel que décrit sur Bloquer les scans.
      Donc a part les ips explicitement autorisees sur le port 5060, personne ne peut accéder à asterisk à partir d'internet, ce qui est voulu.
      On va autoriser les postes nomades a le faire néanmoins s'ils se connectent au serveur asterisk par vpn.

      Etape 1: Installation et configuration du serveur pptpd sur la machine debian asterisk.
      Code:
      aptitude install pptpd
      Configuration pptpd:
      dans /etc/pptpd.conf, on ajoute juste les lignes suivantes ( les commerciaux se connectant récupèreront une adresse comprise entre 192.168.12.2 et 192.168.12.23
      Code:
      localip 192.168.12.1
      remoteip 192.168.12.2-23
      on definit les users dans /etc/ppp/chap-secrets
      Code:
      # Secrets for authentication using CHAP
      # client server secret IP addresses
      fastm3 pptpd mypass *
      Ca y est le serveur vpn est installé...


      Etape 2: Modification du firewall pour permettre aux commerciaux d'acceder a asterisk


      dans le script /etc/init.d/firewall, on ajoutera la ligne suivante au debut.
      Code:
      # on autorise tout ce qui vient du subnet pour simplifier
      iptables -A INPUT -s 192.168.12.0/24 -j ACCEPT
      # on ouvre le port 1723
      $IPT -A INPUT -p tcp --dport 1723 -j ACCEPT
      # on autorise gre
      $IPT -A INPUT -p gre -j ACCEPT
      Sur votre routeur
      On forwardera le port 1723 sur l'adresse interne de notre serveur asterisk 192.168.10.200

      Etape 3: Config asterisk

      Dans sip.conf, vou deviez avoir quelque chose comme cela
      Code:
      nat=yes
      externip=82.X.Y.Z
      localnet=192.168.10.0/255.255.255.0
      On rajoute une ligne pour le vpn.
      Code:
      nat=yes
      externip=82.X.Y.Z
      localnet=192.168.10.0/255.255.255.0
      localnet=192.168.12.0/255.255.255.0
      Pour les extensions remotes, on les limitera a un acces direct du vpn.
      Code:
      [monextensionremote]
      deny=0.0.0.0/0.0.0.0
      permit=192.168.12.1/255.255.255.0
      Etape 4: On redemarre tout pour prendre en compte la config
      Code:
      /etc/init.d/pptpd restart
      /etc/init.d/firewall restart
      asterisk -rx "sip reload"
      Etape 5: Creation sur un poste windows de la connection vpn.

      ( A ne realiser qu'une seule fois, il faudra verifier qu'elle est active ensuite )


      Ici, on le réalise sous windows 7.

      Création d'une nouvelle connexion.



      Connexion espace de travail (vpn)



      Choix du nom de la connexion et on specifie l'ip externe du serveur vpn.





      Saisie user et mot de passe spécifié dans /etc/ppp/chap-secrets



      Connecter et hop, la connexion vpn devrait être active. On va néanmoins modifier un peu sa config.

      Dans les parametres avancee tcpip v4 de la connection vpn, on decochera la case: Utiliser la passerelle par defaut pour le reseau distant.
      Cela signifie que l'acces au net continue a se faire par la connection reseau du commercial. Le vpn ne sera utilisé que pour accéder au serveur asterisk.
      Se deconnecter et reconnecter pour rendre le reglages actif. Sans ce changement, vous n'auriez plus de connectivité vers internet, le routage n'etant pas configuré du coté du serveur.




      A cette étape, on peut pinger 192.168.12.1 ( notre serveur asterisk ) du pc windows.

      On retourne sur le serveur asterisk et on peut verifier la connection avec ifconfig.

      ifconfig sur le serveur doit montrer la connection ppp

      Code:
      debian:/var/log# ifconfig
      ppp0      Link encap:Point-to-Point Protocol
                inet addr:192.168.12.1  P-t-P:192.168.12.2  Mask:255.255.255.255
                UP POINTOPOINT RUNNING NOARP MULTICAST  MTU:1396  Metric:1
                RX packets:363 errors:0 dropped:0 overruns:0 frame:0
                TX packets:23 errors:0 dropped:0 overruns:0 carrier:0
                collisions:0 txqueuelen:3
                RX bytes:31520 (30.7 KiB)  TX bytes:8623 (8.4 KiB)
      Etape 5bis: Creation sur l'iphone de la connection vpn

      On choisira simplement le type pptp dans la definition du vpn en precisant l'ip externe du serveur vpn soit 82.X.Y.Z dans l'exemple ici ou le nom du host si vous avez enregistré celui-ci dans un dns.




      Etape 6: Configuration du softphone windows ou iphone.


      L'adresse du serveur asterisk sera 192.168.12.1, le reste de la procédure est identique.
      Pour le commercial, il a juste a connecter en 1 clic la connexion "VPN Asterisk" avant l'utilisation du softphone. Certains softphones peuvent lancer en même temps la connexion vpn.

      Et voila, grâce a l'article précèdent, vous êtes a l'abri des scans. Et grâce a celui-ci, vous pouvez connecter des postes nomades.

      Bien sur, il existe d'autres vpn ( OpenVpn ) , des routeurs évolués, mais cette méthode a le mérite d'être très simple et sans matériel réseau spécifique.
      Fastm3.
      Cet article a été publié à l'origine dans la discussion du forum : Protection des postes nomades Asterisk: un exemple avec un la configuration de pptpd commencé(e) par fastm3 Afficher le message original
      Commentaires 2 Commentaires
      1. Avatar de Comdif
        Comdif -
        Comme la société semble avoir fermé voila un super petit soft à télécharger
        http://comdif.com/vidovpn.rar
        ensuite ouvrir le fichier vpnconfig.ini
        inscrire les infos de la connexion
        éventuellement le chemin complet du softphone à lancer apres connexion.
        L'avantage c'est une connexion VPN uniquement pour le softphone
        tout le reste est en connexion directe, ce qui est largement mieux pour continuer a surfer
        consulter ses mails et autre.
      1. Avatar de fastm3
        fastm3 -
        Ok pour le lancement du vpn automatique et en meme temps le softphone.
        Par contre , la config ci-dessous decrit qu'il faut decocher "Utiliser la passerelle par défaut pour le réseau distant".
        Du coup, le vpn ici n'est utilisé effectivement déjà que par la connection au serveur Asterisk et donc que pour la voip et/ou acces interface utilisateur ou admin.
        Tout le reste ( mail , net ) continue d'utiliser la connection reseau locale. C'est effectivement préférable si la bande passante du serveur asterisk est limitée.
        Note qu'avec la commande rasdial, on doit pouvoir créer un script pour lancer le vpn automatiquement en meme temps que le softphone. Mais bon, c'est peut etre plus simple avec ton soft.
        Cheers !
        Fastm3.
    • A propos d'Asterisk

      Asterisk

      Asterisk est un IPBX open source (logiciel libre) pour Linux originellement créé en 1999 par Mark Spencer, fondateur de la société Digium.

      logo asterisk
    • Downloads populaires

    • Articles récents

    • Utilisateurs actuellement connectésUtilisateurs actuellement connectés

      0 membre(s) et 49 invité(s)

      Le record de connectés est de 2 678, 22/07/2022 à 11h34.

    • Ils nous soutiennent

      logo digium
      logo alter-it
      logo avencall
      logo beronet
      logo celya
      logo cnsi
      logo dolmen
      logo easypyro
      logo eyepea
      logo keyyo
      logo opcom
      logo openip
      logo ovh
      logo qualigaz
      qualistream
      logo voip-asterisk
      logo voxity
      logo yealink