Ihre Gastgeber

Markus Ehlers Benjamin-Nicola Lüken

Agenda

•Warum wird ein VPN empfohlen um externe Telefone zu verbinden

• Basiswissen zur Funktion von VPN

•Wie konfiguriert man pfSense als VPN-Server

•Wie konfiguriert man SNOM Telefon als VPN-Klienten

Warum VPN? Weil Port-Forwarding für SIP-Ports nicht ratsam ist

•Offene Ports sind eine große Schwachstelle • Bots suchen im Internet nach offenen SIP-Ports • Brute-Force-Attacken • DDoS-Attacken

• SIP ist nicht verschlüsselt • Ein „Man-in-the-middle“ kann Metadaten abgreifen oder Audio

mithören

• Routing-Probleme • kein Audio •One way-Audio • sporadische Ausfälle

Immer mit VPN Sicherheit, Zuverlässigkeit, Weniger Probleme

• Keine offenen SIP-Ports

• Keine Ziele für Hacker

• VPN kann verschlüsselt werden

• Niemand kann die SIP-Pakete abfangen oder Audio mithören

• Keine Audioprobleme

• Externe Telefone werden behandelt wie interne

• Keine Probleme mit „anderen“ Netzwerken

Application

Presentation

Session

Transport

Network

Data Link

Physical

SIP

IP

MAC

Application

Presentation

Session

Transport

Network

Data Link

Physical

SIP

IP

Laye

r 2 (S

witc

h)

Laye

r 3 (R

outin

g)

SIP-

ALG

, SIP

-Pro

xy

MAC

Application

Presentation

Session

Transport

Network

Data Link

Physical

SIP

IP Network IPe.g. 216.123.123.123

SIP IPe.g. 192.168.1.5

Laye

r 2 (S

witc

h)

Laye

r 3 (R

outin

g)

SIP-

ALG

, SIP

-Pro

xy

Dee

p Pa

ckag

e In

spec

tion

MAC

Application

Presentation

Session

Transport

Network

Data Link

Physical

SIP

IP

Laye

r 2 (S

witc

h)

Laye

r 3 (R

outin

g)

SIP-

ALG

, SIP

-Pro

xy

MAC

Application

Presentation

Session

Transport

Network

Data Link

Physical

SIP

IP

MACLayer 2 VPN Bridging (TAP)

Layer 3 VPN Routing (TUN)

VPN Example

Internet

Askozia192.168.10.50

Router180.123.123.123

10.99.0.55

NAT IPv410.99.0.0/24

NAT IPv4192.168.10.0/24

Firewall/Router240.123.123.123

VPN-Server

Without VPN:SIP-IP: 10. 99. 0. 55Layer 3 IP: 180.123.123.123

With VPN:SIP-IP: 192.168.10.10Layer 3 IP: 192.168.10.10

192.168.10.10

VPN

My CompanyHome Office

Wie konfigurieren?

•Konfiguration des VPN-Server • Zertifikate erstellen (CA and Server certificate) • Erstellen des VPN-Server (tap) • Installation des Open-VPN Paket • Firewall Regeln für VPN erstellen

•Vorbereitung/Konfiguration eines VPN-Klienten • Firmware vorbereiten • Exportieren der VPN-Konfiguration •Modifizieren der VPN-Konfiguration • Hochladen der VPN-Konfiguration

pfSense als Beispiel

Fragen? Sie haben es gleich geschafft!

markus.ehlers@askozia.com