PROCEDURA NON PIU SUPPORTATA: PER COLLARE TELEFONI REMOTI USARE IL TLS

FAQ DISPONIBILE UNICAMENTE COME DOCUMENTAZIONE INTERNA

NOTA: alcuni dei telefoni Yealink (ad esempio i W52P, ma anche modelli fuori produzione come i T26P e T28P) non supportano nativamente le caratteristiche di crittografia evolute adottate dal certificato autogenerato di NethServer - che viene utilizzato anche per OpenVPN - a causa di un firmware non più aggiornato: le OpenVPN stabilite con quei dispositivi quindi NON FUNZIONANO, la connessione non viene stabilita e l'interno non è in grado di registrarsi sul centralino.

In particolare tutti i dispositivi che montano un firmware PRECEDENTE alla versione 80 soffrono di questa incompatibilità.

E' però possibile continuare ad utilizzare quei dispositivi con OpenVPN modificando le caratteristiche del certificato generato da NethServer prima di cominciare la procedura di configurazione delle vpn con questi comandi:

sed -i 's/sha256/sha1/' /usr/libexec/nethserver/pki-gencrt
/etc/e-smith/events/actions/nethserver-generate-certificate

Con questo comando verrà generato un certificato con validità decennale utilizzabile anche con i prodotti Yealink fuori supporto.

ATTENZIONE : eventuali OpenVPN già attive SMETTERANNO DI FUNZIONARE e per ripristinarle sarà necessario eliminare i profili esistenti, ricrearli e scaricare i nuovi file di configurazione vpn, in modo che anche per quelli venga utilizzato il nuovo certificato.

****

Introduzione

E' possibile realizzare una connessione diretta tra un telefono Yealink ed un centralino NethVoice remoto attraverso un tunnel OpenVPN, sfruttando gli strumenti standard messi a disposizione da NethServer.

Prerequisiti necessari:

NethServer/NethVoice deve essere anche il gateway della rete;
il pacchetto OpenVPN deve essere installato.

Configurazione lato Server

Lato server è necessario configurare ed abilitare il server OpenVPN roadwarrior, selezionare la modalità di autenticazione con solo "certificato" e creare gli account necessari, che devono essere uno per ogni telefono da collegare e di tipo "Solo VPN".

Ad esempio: creiamo un nuovo account con nome account yealink1

N.B. : Prima di di procedere con la configurazione del telefono assicurarsi del buon funzionamento della vpn testandola con un pc, così da restringere il campo in caso di problemi di connessione dell'apparato telefonico.

Configurazione lato Client (Yealink)

In sintesi

Per la configurazione del telefono sarà necessario creare un file tar che contenga:

il file di configurazione della vpn che DEVE chiamarsi "vpn.cnf"
i certificati del server (ca.crt), del client (yealink1.crt) e la relativa key (yealink1.key)

Creazione dei file

Quindi creiamo una cartella dove collocare i file temporaneamente

mkdir /root/temp

e creiamo il file di configurazione

vi /root/temp/vpn.cnf

il cui contenuto dovrà essere come quello riportato di seguito:

dev tun
client

# hostname/IP e porta del server
remote IP_PUBBLICO
port 1194
float
nobind
persist-key
persist-tun

# percorso dei certificati e della key
# i percorsi variano a seconda del modello di Yealink
# i nomi dei file devono corrispondere a quelli definiti in fase di creazione dei file
ca /yealink/config/openvpn/keys/ca.crt
cert /yealink/config/openvpn/keys/yealink1.crt
key /yealink/config/openvpn/keys/yealink1.key
comp-lzo
verb 3

dove ad IP_PUBBLICO va sostituito l'indirizzo della connettività geografica del NethServer.

ATTENZIONE:
Per telefoni con firmware precedente alla versione V71 il percorso dei file indicato nell'esempio qui sopra cambia a seconda del modello di telefono!
In particolare:

per modelli T2X - firmware precedente V71 (come esempio qui sopra)

ca /yealink/config/openvpn/keys/ca.crt
cert /yealink/config/openvpn/keys/yealink1.crt
key /yealink/config/openvpn/keys/yealink1.key

per modelli T3X - firmware precedente V71

ca /phone/config/openvpn/keys/ca.crt
cert /phone/config/openvpn/keys/yealink1.crt
key /phone/config/openvpn/keys/yealink1.key

Per telefoni T2X e T3X - firmware V71 o successivo è consigliabile utilizzare un percorso unico

ca /config/openvpn/keys/ca.crt
cert /config/openvpn/keys/yealink1.crt
key /config/openvpn/keys/yealink1.key

Va poi creato un folder "keys":

mkdir /root/temp/keys

destinato ad ospitare key e certificati necessari:

cp -a /etc/pki/tls/certs/NSRV.crt /root/temp/keys/ca.crt
cp -a /var/lib/nethserver/certs/yealink1.crt /root/temp/keys/
cp -a /var/lib/nethserver/certs/yealink1.key /root/temp/keys/

Creazione del tar

Ora creiamo il file con estensione tar da utilizzare per configurare la vpn sullo Yealink.

ATTENZIONE:

Il file ".tar" DEVE rispettare una rigida organizzazione dell'albero delle cartelle di cui è composto, altrimenti non funzionerà.

Innanzitutto bisogna spostarsi nella cartella che contiene il file "vpn.cnf" e il folder "keys", nel nostro caso:

cd /root/temp

quindi impartiamo il comando:

tar -cvf yealink1.tar ./*

Configurazione dell'account SIP sul telefono

Non resta che definire un interno sul centralino per il telefono in oggetto, configurare lo yealink con i dati del nethvoice verificando che nelle impostazioni del telefono siano specificati sia il server sip che l'outbound proxy con il giusto indirizzo.

Upload sul telefono

il file "client.tar" creato nella cartella "temp" è il file che va fornito allo yealink per configurarne la vpn:

va quindi esportato dal NethVoice sul proprio PC (Si consiglia l'utilizzo di un software come winscp)
caricato nelle impostazioni della vpn dello Yealink (Network -> VPN)

ATTENZIONE:

Qualora fosse necessario configurare più di un telefono, la procedura andrà ripetuta utilizzando un file di configurazione, un certificato ed una chiave differente per ogni dispositivo telefonico.

E' importante ricordarsi di modificare i nomi dei file anche nel file di configurazione "vpn.cnf"!