Подключение телефона Grandstream 1615 по OpenVPN

На данном аппарате ввели поддержку OpenVPN клиента с версии прошивки 1.0.3.40. Поэтому обязательно обновляемся, если версия не соответствует.

Что бы обновить версию прошивки, перейдем в меню «Maintenance -> Upgrade and Provisioning»

Далее нам нужен раздел «Config» где в поле «Config Server Path» надо указать адрес с которого будем обновлять прошивку. Я брал с офф сайта: firmware.grandstream.com

Применяем настройки «Save and Apply»  и перезагружаемся
После перезагрузки мы увидим изменившуюся версию в верхней части интерфейса (в некоторых браузерах возможно придется обновить страницу с очисткой кэша – Ctrl+F5):

На данных аппаратах сталкивался с ситуацией когда прошивка обновилась, но мы этого не замечаем из-за того, что браузер закэшировал страницу. Для этого просто обновите с помощью Ctrl+F5Далее нам нужен будет сам OpenVPN сервер. Если он у вас уже настроен, эту часть вы можете пропустить.
Итак. Для начала подключим репозиторий:

yum -y install epel-release

Установим пакет OpenVPN:

yum -y install openvpn

Создаем директорию, где будут находиться ключи:

mkdir /etc/openvpn/keys

Перейдем в саму директорию и скачаем последнюю версию с GitHub

cd /etc/openvpn/keys
wget https://github.com/OpenVPN/easy-rsa/archive/master.zip

Для распаковки zip архива может поднадобитmся unzip. Установим его и продолжим:

yum -y install unzip zip
unzip master.zip
cd /etc/openvpn/keys/easy-rsa-master/easyrsa3

Создадим структуру публичных ключей:

mv vars.example vars
./easyrsa init-pki

Создаем центр СА.

Вас попросит создать пароль, который в дальнейшем будет использоваться для генерации клиентских сертификатов. Поэтому обязательно запишите и сохраните его себе отдельно.

./easyrsa build-ca

В результате получаем 2 файла, ключи и сертификат:

/etc/openvpn/keys/easy-rsa-master/easyrsa3/pki/private/ca.key

/etc/openvpn/keys/easy-rsa-master/easyrsa3/pki/ca.crt

Файл ca.crt в дальнейшем мы будем использовать вместе с клиентским сертификатом и ключом.
Продолжим. Создаем ключ сервера, в процессе можно просто нажать enter:

./easyrsa gen-req server nopass

Создаем сертификат сервера. Подтверждаем прописав yes и вводим пароль, который назначали ранее:

./easyrsa sign-req server server

Сгенерируем ключ Диффи-Хелмана, который может понадобится в дальнейшем для усиливания безопастности:

./easyrsa gen-dh

Ключ будет находиться по пути /etc/openvpn/keys/easy-rsa-master/easyrsa3/pki/dh.pem

Далее скопируем созданные ключи в папку /etc/openvpn/server:

mkdir /etc/openvpn/server
cp pki/ca.crt /etc/openvpn/server/ca.crt
cp pki/dh.pem /etc/openvpn/server/dh.pem
cp pki/issued/server.crt /etc/openvpn/server/server.crt
cp pki/private/server.key /etc/openvpn/server/server.key

Приступим к созданию клиентского сертификата и ключа (процесс аналогичен созданию сертификата сервера):

./easyrsa gen-req client nopass
./easyrsa sign-req client client

На выходе получим 2 файла:

/etc/openvpn/keys/easy-rsa-master/easyrsa3/pki/issued/client.crt
/etc/openvpn/keys/easy-rsa-master/easyrsa3/pki/private/client.key

Приступим к настройке конфигурационного файла сервера OpenVPN. Создадим следующий файл:

nano /etc/openvpn/server.conf

Следующего содержания:

port 1194 # Указываем порт по которому будет работать наш VPN
proto tcp # протокол. Можно заранее учесть, что для работы некоторых устройств tcp будет более универсален (например mikrotik, который не поддерживает udp openvpn)
dev tun1 # Номер интерфеса, если других нет, можно поставить просто tun
local 192.168.1.2 # адрес главного интерфейса, через который можно выйти в инет
ca /etc/openvpn/server/ca.crt
cert /etc/openvpn/server/server.crt
key /etc/openvpn/server/server.key
dh /etc/openvpn/server/dh.pem
server 10.20.30.0 255.255.255.0 # подсеть для туннеля, может быть любой
route 10.20.30.0 255.255.255.0 # указываем подсеть, к которой будем обращаться через vpn
push «route 10.20.30.0 255.255.255.0» # передаем маршрут клиентам
keepalive 10 360
comp-lzo
persist-key
persist-tun
status /var/log/openvpn/openvpn-status.log
log /var/log/openvpn/openvpn.log
verb 3
cipher AES-256-CBC
tun-mtu 1500

 Создадим директорию где будут храниться логи, по тому пути, который указывали в конфигурационном файле:

mkdir /var/log/openvpn
touch /var/log/openvpn/openvpn.log
touch /var/log/openvpn/openvpn-status.log

Перезагружаемся:

service openvpn restart

Проверяем наличие нового интерфейса командой ifconfig:

Пропишем в iptables правило для того, что бы клиенты могли подключаться по порту 1194:

iptables -A INPUT -p tcp —dport 1194 -j ACCEPT

Сохраняем:

service iptables save

Добавим службу openvpn в автозапуск:

chkconfig openvpn on

Так же не стоит забывать, что на роутере, если таковой имеется, следует открыть порт 1194 в сторону АТС

Вернемся к нашему телефону.

Нам понадобятся 3 файла, что мы создавали ранее

/etc/openvpn/keys/easy-rsa-master/easyrsa3/pki/ca.crt
/etc/openvpn/keys/easy-rsa-master/easyrsa3/pki/issued/client.crt
/etc/openvpn/keys/easy-rsa-master/easyrsa3/pki/private/client.key

Сохраняем себе эти 3 файла client.crt, client.key, ca.crt  туда, где телефон с веб интерфейса сможет их подхватить.

На веб интерфейсе переходим в:

Заполняем поля по примеру:

В поле «OpenVPN® Server Address» указываем внешний IP адрес АТС

В поля «OpenVPN® CA», «OpenVPN® Certificate» и  «OpenVPN® Client Key» загрузаем соответствующие файлы.

Обязательно включаем парметр OpenVPN Enable

Нажимаем «Save and Apply» и перезагружаемся

После перезагрузки заходим:

При успешном подключении мы должны увидеть в поле  «OpenVPN® IP» информацию о полученном IP.

Так же процесс подключения можем наблюдать на АТС с помощью команды:

tailf /var/log/openvpn/openvpn.log

Бывают случаи, когда телефон не может подключиться по OpenVPN из-за не верно выставленного времени на аппарате. Проверьте настройки NTP сервера.

Остается подключить саму линию

В поле «SIP Server» указываем адрес OpenVPN сервера

Сохраняемся «Save and Apply»

На этом настройка телефона окончена. В случае невозможности подключения проверьте поле «Permit» в настройках экстеншена на АТС.