RE: [FRnOG] [BIZ] Postes ToIP - VPN ASA
Bonjour Christian, Le plus simple est quand même de se passer de VPN. Comment ça, et la sécurité alors ? Bien du SIPS et du SRTP Sur notre iPBX Sipleo on fait à en UDP ou TCP, postes physiques ou softphone peut importe A disposition pour fournir une maquette de test si besoin pour remplacer le 4400 est le remettre a effectivement un musé Xavier -Message d'origine- De : Michel Py Envoyé : vendredi 22 janvier 2021 11:46 À : 'David Ponzone' Cc : Christian Rolland ; frnog-...@frnog.org Objet : RE: [FRnOG] [BIZ] Postes ToIP - VPN ASA > David Ponzone a écrit : > Limitation quand même: ça supporte que le mode TCP pour le moment mais pour > de la téléphonie, ça devrait aller. Ah là je dis non : la téléphonie avec TCP çà ne marche pas. Pas sur de l'Internet grand public. UDP obligatoire. Perdre un paquet SIP ça s'entend à peine. TCP qui redemande la retransmission non seulement çà ne sert à rien, mais en plus ça va introduire de la gigue qui fait bégayer l'interlocuteur. Une VM pour mettre OpenVPN, ça coute pas cher non plus. Michel. --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [BIZ] Postes ToIP - VPN ASA
Ah ? Pour le coup, je serai plutôt pragmatique sur cette approche. SIP en TCP, ça permet déjà de ne pas se faire avoir par un mauvais routeur qui fait (mal) du SIP ALG. Le mauvais routeur qui fait mal de l'ALG ne regarde en général que le 5060 UDP. Ensuite, la retransmission TCP est une plaie en téléphonie, mais si t'as de la retransmission, t'aurais eu de la perte en UDP. Dans ce cas, TCP est pire UDP mais en UDP ça n'aurait pas été bien perçu par l'utilisateur non plus ! Du coup, TCP pour de la voix, c'est clairement pas le pied, mais ça n'a pas non plus que des inconvénients. Dépendamment du contexte, ça peut avoir un intérêt :) Alexis Le 22/01/2021 à 11:46, Michel Py a écrit : David Ponzone a écrit : Limitation quand même: ça supporte que le mode TCP pour le moment mais pour de la téléphonie, ça devrait aller. Ah là je dis non : la téléphonie avec TCP çà ne marche pas. Pas sur de l'Internet grand public. UDP obligatoire. Perdre un paquet SIP ça s'entend à peine. TCP qui redemande la retransmission non seulement çà ne sert à rien, mais en plus ça va introduire de la gigue qui fait bégayer l'interlocuteur. Une VM pour mettre OpenVPN, ça coute pas cher non plus. Michel. --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [BIZ] Postes ToIP - VPN ASA
> Ben oui, moi et au moins 50 autres sur cette liste, parce qu'il y a plein de > machins qui ne marchent qu'avec Red Hat Tu peux élaborer ? Genre des binaires nux sans les sources, avec des tonnes de deps externes pour du RH et qui ne tournent donc que sur CentOS en gratuit ? > Le même problème que Windoze, IPv4, Junisco, et j'en passe. Ca fait 30 ans > que tout le monde dit que c'est de la merde, mais ça continue d'être quelque > chose dont il est impossible de se passer. Question de formation (c) Audiard -- Be Seeing You Number Six --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [BIZ] Postes ToIP - VPN ASA
Je pense qu’Adrien voulait dire: Untangle comme serveur OpenVPN à la place ce Mikrotik ou OpenVPN-AS. > Le 22 janv. 2021 à 12:01, Michel Py a > écrit : > >> Adrien Rivas a écrit : >> Untangle sinon ? > > On y a pensé. A mettre chez chaque employé, c'est trop de travail, sans > parler du cout. > Dans un monde parfait ou les FAI n'imposeraient pas leur machinbox ça > pourrait se discuter, mais pas dans la situation actuelle. > > Michel. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [BIZ] Postes ToIP - VPN ASA
Oui je sais bien mais concrètement dans la pratique, ça va. J’ai des téléphones en prod comme ça. Après, la V7 va finir par arriver (déjà 1an de beta). Ceci dit, je savais pas qu’il y avait un OpenVPN-AS avec un webUI maintenant. Effectivement, c’est peut-être une meilleure idée. > Le 22 janv. 2021 à 11:46, Michel Py a > écrit : > >> David Ponzone a écrit : >> Limitation quand même: ça supporte que le mode TCP pour le moment mais pour >> de la téléphonie, ça devrait aller. > > Ah là je dis non : la téléphonie avec TCP çà ne marche pas. Pas sur de > l'Internet grand public. UDP obligatoire. > Perdre un paquet SIP ça s'entend à peine. TCP qui redemande la retransmission > non seulement çà ne sert à rien, mais en plus ça va introduire de la gigue > qui fait bégayer l'interlocuteur. > > Une VM pour mettre OpenVPN, ça coute pas cher non plus. > > Michel. > --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [BIZ] Postes ToIP - VPN ASA
>> Entre parenthèses, va falloir commencer à chercher quoi mettre à la place >> de CentOS :-( Bah, Debian quoi. Ce que t'aurais toujours du utiliser :> > > Parce que y'a encore des gens qui utilise ce truc à base de frankernel du > XVIème siecle patché en mode YOLO kernel stable ? > Joli :) -- Be Seeing You Number Six --- Liste de diffusion du FRnOG http://www.frnog.org/
RE: [FRnOG] [BIZ] Postes ToIP - VPN ASA
> Adrien Rivas a écrit : > Untangle sinon ? On y a pensé. A mettre chez chaque employé, c'est trop de travail, sans parler du cout. Dans un monde parfait ou les FAI n'imposeraient pas leur machinbox ça pourrait se discuter, mais pas dans la situation actuelle. Michel. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [BIZ] Postes ToIP - VPN ASA
Untangle sinon ? Le ven. 22 janv. 2021 à 11:46, Michel Py a écrit : > > David Ponzone a écrit : > > Limitation quand même: ça supporte que le mode TCP pour le moment mais > pour de la téléphonie, ça devrait aller. > > Ah là je dis non : la téléphonie avec TCP çà ne marche pas. Pas sur de > l'Internet grand public. UDP obligatoire. > Perdre un paquet SIP ça s'entend à peine. TCP qui redemande la > retransmission non seulement çà ne sert à rien, mais en plus ça va > introduire de la gigue qui fait bégayer l'interlocuteur. > > Une VM pour mettre OpenVPN, ça coute pas cher non plus. > > Michel. > > > --- > Liste de diffusion du FRnOG > http://www.frnog.org/ > --- Liste de diffusion du FRnOG http://www.frnog.org/
RE: [FRnOG] [BIZ] Postes ToIP - VPN ASA
> David Ponzone a écrit : > Limitation quand même: ça supporte que le mode TCP pour le moment mais pour > de la téléphonie, ça devrait aller. Ah là je dis non : la téléphonie avec TCP çà ne marche pas. Pas sur de l'Internet grand public. UDP obligatoire. Perdre un paquet SIP ça s'entend à peine. TCP qui redemande la retransmission non seulement çà ne sert à rien, mais en plus ça va introduire de la gigue qui fait bégayer l'interlocuteur. Une VM pour mettre OpenVPN, ça coute pas cher non plus. Michel. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [BIZ] Postes ToIP - VPN ASA
> Le 22 janv. 2021 à 11:25, Michel Py a > écrit : > >>> Michel Py a écrit : >>> Christian, je crois que tu réfléchis trop. Continue avec tes Grandstream, >>> c'est pas parfait mais les autres >>> non plus; au moins c'est pas cher et la qualité mains libres est super. >>> Installe un serveur OpenVPN, et gougleu >>> et toi vont faire marcher le machin. Ne t'emmerdes pas a essayer de faire >>> du VPN d'un poste VoIP vers un ASA. > >> David Ponzone a écrit : >> Et là, j’ai envie de dire: 1 Mikrotik à 50€ fera le job. > > Comme serveur OpenVPN ? Ben ouais. Après tu peux mettre un modèle à 100€, ou à 300€, ou à 1000€. Limitation quand même: ça supporte que le mode TCP pour le moment mais pour de la téléphonie, ça devrait aller. L’avantage c’est que c’est pas onéreux à valider/tester (doit même y avoir un modèle à 25€). Le mode UDP est en bêta dans le RouterOS 7 (c’est vendredi, je peux parler du RouterOS 7, le truc qui se fait tellement attendre qu’on finit par penser qu’ils ont mis la théorie de la grande unification dedans, et peut-être aussi le sens de la vie). --- Liste de diffusion du FRnOG http://www.frnog.org/
RE: [FRnOG] [BIZ] Postes ToIP - VPN ASA
>> Michel Py a écrit : >> Entre parenthèses, va falloir commencer à chercher quoi mettre à la place de >> CentOS :-( > Remi Desgrange a écrit : > > Parce que y'a encore des gens qui utilise ce truc à base de frankernel du > XVIème siecle patché en mode YOLO kernel stable ? > Ben oui, moi et au moins 50 autres sur cette liste, parce qu'il y a plein de machins qui ne marchent qu'avec Red Hat et qu'on a pas envie de payer donc on fait du CentOS. Le même problème que Windoze, IPv4, Junisco, et j'en passe. Ca fait 30 ans que tout le monde dit que c'est de la merde, mais ça continue d'être quelque chose dont il est impossible de se passer. Michel. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [BIZ] Postes ToIP - VPN ASA
On Fri, Jan 22, 2021 at 11:26 AM Michel Py < mic...@arneill-py.sacramento.ca.us> wrote: > >> Michel Py a écrit : > >> Christian, je crois que tu réfléchis trop. Continue avec tes > Grandstream, c'est pas parfait mais les autres > >> non plus; au moins c'est pas cher et la qualité mains libres est super. > Installe un serveur OpenVPN, et gougleu > >> et toi vont faire marcher le machin. Ne t'emmerdes pas a essayer de > faire du VPN d'un poste VoIP vers un ASA. > > > David Ponzone a écrit : > > Et là, j’ai envie de dire: 1 Mikrotik à 50€ fera le job. > > Comme serveur OpenVPN ? > > Entre parenthèses, va falloir commencer à chercher quoi mettre à la place > de CentOS :-( > > Parce que y'a encore des gens qui utilise ce truc à base de frankernel du XVIème siecle patché en mode YOLO kernel stable ? > Michel. > > > --- > Liste de diffusion du FRnOG > http://www.frnog.org/ > -- Cordialement, Rémi Desgrange --- Liste de diffusion du FRnOG http://www.frnog.org/
RE: [FRnOG] [BIZ] Postes ToIP - VPN ASA
>> Michel Py a écrit : >> Christian, je crois que tu réfléchis trop. Continue avec tes Grandstream, >> c'est pas parfait mais les autres >> non plus; au moins c'est pas cher et la qualité mains libres est super. >> Installe un serveur OpenVPN, et gougleu >> et toi vont faire marcher le machin. Ne t'emmerdes pas a essayer de faire du >> VPN d'un poste VoIP vers un ASA. > David Ponzone a écrit : > Et là, j’ai envie de dire: 1 Mikrotik à 50€ fera le job. Comme serveur OpenVPN ? Entre parenthèses, va falloir commencer à chercher quoi mettre à la place de CentOS :-( Michel. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [BIZ] Postes ToIP - VPN ASA
> Le 22 janv. 2021 à 11:14, Michel Py a > écrit : > > Christian, je crois que tu réfléchis trop. Continue avec tes Grandstream, > c'est pas parfait mais les autres non plus; au moins c'est pas cher et la > qualité mains libres est super. > Installe un serveur OpenVPN, et gougleu et toi vont faire marcher le machin. > Ne t'emmerdes pas a essayer de faire du VPN d'un poste VoIP vers un ASA. Et là, j’ai envie de dire: 1 Mikrotik à 50€ fera le job. --- Liste de diffusion du FRnOG http://www.frnog.org/
RE: [FRnOG] [BIZ] Postes ToIP - VPN ASA
>> Michel Py a écrit : >> Ceci étant dit, OpenVPN est certainement la solution qui ouvre le plus de >> portes. A prendre un peu avec des pincettes >> quand même, avec Grandstream j'ai galéré pour les faire > parler avec un >> OpenVPN qui n'était pas sur l'un de leurs PBX. > Quelqu'un (qui se reconnaitra) a écrit en privé : > Étonnement j'ai réussi sans problème avec GS, plus galéré avec Snom. Comme > quoi ... La magie du réseau ! > Ceci dit, le défaut de GS est qu'ils ne font pas TLS alors que les Snom si. Oui, mais dans le cas ou le Grandstream se connecte a travers d'une connexion OpenVPN qui se termine près du serveur Asterisk, on s'en tamponne. >>> Christian Rolland a écrit : >>> qui attaque après un Alcatel 4400. >> Sa place est dans un musée :P > tu as raison. Justement il doit être "upgradé" cette année. :-) > Ça tombe bien, nous utilisons des Grandstream pour l'instant ;-) Christian, je crois que tu réfléchis trop. Continue avec tes Grandstream, c'est pas parfait mais les autres non plus; au moins c'est pas cher et la qualité mains libres est super. Installe un serveur OpenVPN, et gougleu et toi vont faire marcher le machin. Ne t'emmerdes pas a essayer de faire du VPN d'un poste VoIP vers un ASA. Aussi, n'ignore pas l'autre option : le client logiciel SIP sur le portable, avec le VPN existant. Utiliser les haut-parleurs et le micro du portable ça merde de tous les cotés, mais un casque/micro USB raisonnable ça coute 30 balles, en plus on peut écouter la zicmu en stéréo en travaillant quand on n'est pas dans un appel ou une conférence. Surtout depuis COVID-19, on fournit aux employés des Logi H390 (c'est pas moi qui ai choisi); j'ai pas comparé avec d'autres mais ça marche pour moi. Avec un Codec HD c'est le pied. Michel. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [BIZ] Postes ToIP - VPN ASA
On 1/22/21 4:33 AM, Michel Py wrote: >>> Christian Rolland a écrit : >>> Pour l'instant c'est du Asterisk > > Quelle version / distro ? C'est quoi les postes que tu utilises actuellement > sur cet Asterisk ? Qu'est-ce qu'ils ont comme VPN ? > A moins que tu n'en sois pas content et que tu veuilles changer, garder ce > que tu connais déjà ça me semblerait la première option à explorer. > >> qui attaque après un Alcatel 4400. > > Sa place est dans un musée :P tu as raison. Justement il doit être "upgradé" cette année. > > >> David Ponzone a écrit : >> Tu auras donc certainement plus de choix en mettant un serveur OpenVPN sur >> l’Asterisk. > > Pas sur le serveur Asterisk lui-même; il y a PLEIN de raisons de ne pas le > surcharger avec ce genre de chose. A bien faire les choses, un VLAN séparé > pour les postes qui ouvrent un VPN çà serait pas mal, aussi. > Ceci étant dit, OpenVPN est certainement la solution qui ouvre le plus de > portes. A prendre un peu avec des pincettes quand même, avec Grandstream j'ai > galéré pour les faire parler avec un OpenVPN qui n'était pas sur l'un de > leurs PBX. > Ça tombe bien, nous utilisons des Grandstream pour l'instant ;-) Christian -- Christian ROLLANDESRF Network AdministratorEuropean Synchrotron Radiation Facility Phone : +33 (0)476 88 20 69 71 avenue des Martyrs Email : roll...@esrf.eu 38000 GRENOBLE - FRANCE --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [BIZ] Postes ToIP - VPN ASA
Bonjour > Ceci étant dit, OpenVPN est certainement la solution qui ouvre le plus de portes. A prendre un peu avec des pincettes quand même, avec Grandstream j'ai galéré pour les faire > parler avec un OpenVPN qui n'était pas sur l'un de leurs PBX. Étonnement j'ai réussi sans problème avec GS, plus galéré avec Snom. Comme quoi ... Ceci dit, le défaut de GS est qu'ils ne font pas TLS alors que les Snom si. -- Daniel --- Liste de diffusion du FRnOG http://www.frnog.org/
RE: [FRnOG] [BIZ] Postes ToIP - VPN ASA
>> Christian Rolland a écrit : >> Pour l'instant c'est du Asterisk Quelle version / distro ? C'est quoi les postes que tu utilises actuellement sur cet Asterisk ? Qu'est-ce qu'ils ont comme VPN ? A moins que tu n'en sois pas content et que tu veuilles changer, garder ce que tu connais déjà ça me semblerait la première option à explorer. > qui attaque après un Alcatel 4400. Sa place est dans un musée :P > David Ponzone a écrit : > Tu auras donc certainement plus de choix en mettant un serveur OpenVPN sur > l’Asterisk. Pas sur le serveur Asterisk lui-même; il y a PLEIN de raisons de ne pas le surcharger avec ce genre de chose. A bien faire les choses, un VLAN séparé pour les postes qui ouvrent un VPN çà serait pas mal, aussi. Ceci étant dit, OpenVPN est certainement la solution qui ouvre le plus de portes. A prendre un peu avec des pincettes quand même, avec Grandstream j'ai galéré pour les faire parler avec un OpenVPN qui n'était pas sur l'un de leurs PBX. Michel. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [BIZ] Postes ToIP - VPN ASA
Tu auras donc certainement plus de choix en mettant un serveur OpenVPN sur l’Asterisk. > Le 21 janv. 2021 à 07:23, Christian Rolland a écrit : > Bonjour, > > Pour l'instant c'est du Asterisk, qui attaque après un Alcatel 4400. > --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [BIZ] Postes ToIP - VPN ASA
On 1/20/21 5:27 PM, Michel Py wrote: >> Christian Rolland a écrit : >> Nous cherchons des postes ToIP qui sont peuvent monter comme des grands un >> tunnel VPN vers nos ASAs en DTLS au mieux. Réalité ou mouton à cinq pattes ? > > Mis à part les nombreux obstacles et inconvénients associés à ce que tu veux > faire, je pense que tu abordes le problème par le mauvais bout. Un poste > ToIP, ça ce choisit non pas en fonction de son intégration avec to VPN, mais > en fonction de son intégration avec ton IPBX. C'est quoi l'IPBX ? > Bonjour, Pour l'instant c'est du Asterisk, qui attaque après un Alcatel 4400. A+, Christian -- Christian ROLLANDESRF Network AdministratorEuropean Synchrotron Radiation Facility Phone : +33 (0)476 88 20 69 71 avenue des Martyrs Email : roll...@esrf.eu 38000 GRENOBLE - FRANCE --- Liste de diffusion du FRnOG http://www.frnog.org/
RE: [FRnOG] [BIZ] Postes ToIP - VPN ASA
> Christian Rolland a écrit : > Nous cherchons des postes ToIP qui sont peuvent monter comme des grands un > tunnel VPN vers nos ASAs en DTLS au mieux. Réalité ou mouton à cinq pattes ? Mis à part les nombreux obstacles et inconvénients associés à ce que tu veux faire, je pense que tu abordes le problème par le mauvais bout. Un poste ToIP, ça ce choisit non pas en fonction de son intégration avec to VPN, mais en fonction de son intégration avec ton IPBX. C'est quoi l'IPBX ? Michel. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [BIZ] Postes ToIP - VPN ASA
On 1/20/21 11:23 AM, David Ponzone wrote: > Cisco a pas des téléphones qui font ça ? > Si même eux ne font pas, c’est pas bon signe. > > C´est plutôt pour éviter le prix CISCO ;-) Christian -- Christian ROLLANDESRF Network AdministratorEuropean Synchrotron Radiation Facility Phone : +33 (0)476 88 20 69 71 avenue des Martyrs Email : roll...@esrf.eu 38000 GRENOBLE - FRANCE --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [BIZ] Postes ToIP - VPN ASA
Cisco a pas des téléphones qui font ça ? Si même eux ne font pas, c’est pas bon signe. > Le 20 janv. 2021 à 10:55, Christian Rolland a écrit : > > Bonjour, > > Je pense que cette question est mieux dans cette liste que [TECH] > > Nous cherchons des postes ToIP qui sont peuvent monter comme des grands > un tunnel VPN vers nos ASAs en DTLS au mieux. Réalité ou mouton à cinq > pattes ? > > Merci d'avance, > > Christian ROLLAND > -- > Christian ROLLANDESRF > Network AdministratorEuropean Synchrotron Radiation Facility > Phone : +33 (0)476 88 20 69 71 avenue des Martyrs > Email : roll...@esrf.eu 38000 GRENOBLE - FRANCE > > > > --- > Liste de diffusion du FRnOG > http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [BIZ] Postes ToIP - VPN ASA
Bonjour Le 20/01/2021 à 10:55, Christian Rolland a écrit : Bonjour, Je pense que cette question est mieux dans cette liste que [TECH] Nous cherchons des postes ToIP qui sont peuvent monter comme des grands un tunnel VPN vers nos ASAs en DTLS au mieux. Réalité ou mouton à cinq pattes ? Les marques que je connais ne font que du OpenVPN -- Daniel --- Liste de diffusion du FRnOG http://www.frnog.org/
[FRnOG] [BIZ] Postes ToIP - VPN ASA
Bonjour, Je pense que cette question est mieux dans cette liste que [TECH] Nous cherchons des postes ToIP qui sont peuvent monter comme des grands un tunnel VPN vers nos ASAs en DTLS au mieux. Réalité ou mouton à cinq pattes ? Merci d'avance, Christian ROLLAND -- Christian ROLLANDESRF Network AdministratorEuropean Synchrotron Radiation Facility Phone : +33 (0)476 88 20 69 71 avenue des Martyrs Email : roll...@esrf.eu 38000 GRENOBLE - FRANCE --- Liste de diffusion du FRnOG http://www.frnog.org/