PDA

Voir la version complète : Question réseau pour interconnecter plusieurs sites



sbeu
13/11/2014, 22h45
Bonjour.
J'ai besoin d'interconnecter plusieurs sites distants pour faire de la téléphonie.

Chaque site est un réseau local connecté à internet via une box.
J'ai un serveur asterisk auquel je souhaite que les téléphones se connectent.
Le serveur se trouve chez ovh, sur une machine virtuelle.
Je ne souhaite pas que le serveur soit exposé à Internet, car je n'ai pas les capacités techniques pour le sécuriser.
Alors voici mon idée:

Je monte un serveur openvpn qui a une adresse publique.
Le serveur Asterisk se connecte à ce vpn.
Les téléphones se connectent à ce vpn, et tout va bien.

MON PROBLEME:
J'utilise des yealink et j'ai eu toutes les peines du monde à les connecter à openvpn. En fait je n'ai jamais réussi. Alors j'ai pensé à ça:
Derrière chaque box, mettre un routeur qui lui, peut se connecter comme client à openvpn et mettre ce routeur comme passerelle à tous les téléphones.
Ainsi, les PC qui sont derrière la box continuent d'utiliser la box comme accès à internet
Et les téléphones se connectent au serveur asterisk en passant par le router connecté au vpn (routeur qui lui, passe par la box)

Suis-je clair?

Est-ce une bonne idée?

PS: j'aurais voulu mettre un serveur asterisk sur chaque site, et les interconnecter via IAX2, mais c'est impossible, car il faut proposer une solution à faible voire très faible cout.

Auriez vous des suggestions?


Merci de m'avoir lu :)

fastm3
14/11/2014, 00h45
Openvpn peut tres bien tourner directement sur le serveur asterisk. Ca simplifiera . Oui, le routage de 2 routeurs openvpn sur les 2 sites sera transparent pour les telephones. C'est une solution.
Sinon, si c'est pour relier des 2 sites avec ip fixes, il est tout a fait possible que le serveur ne soit pas exposé à internet tout en permettant la connection exclusivement des 2 sites. Ca permet de se contenter des boxs quoique la freebox a maintenant aussi un client openvpn...Le flux sip passe en clair sur internet neanmoins, faut le savoir.
Tu as la franchise d'indiquer que tu n'as pas vraiment la connaissance de securiser le serveur asterisk.
C'est tout de meme ennuyeux pour un serveur justement avec une ip publique sur internet chez un hebergeur. Soit extremement prudent. Iptables est ton ami.
A moins qu'il n'ait pas d'ip publique. Il faudrait alors connaitre la config reseau de ta machine virtuelle. NAT derriere le serveur host ?
Mais ca complique tout de meme pour avoir un ensemble fonctionnel.

Si tu choisis la route :) openvpn, commence par cela hors config tels et asterisk.
Tu dois pouvoir pinger l'adresse openvpn du serveur asterisk a partir des deux reseaux et inversement.
Apres la config asterisk et tels sera 'triviale'

Cheers !
Francois.

sbeu
14/11/2014, 16h32
Merci pour ta réponse.

Un peu plus de précisions sur l'architecture:

Tu dis:
C'est tout de meme ennuyeux pour un serveur justement avec une ip publique sur internet chez un hebergeur. Soit extremement prudent. Iptables est ton ami.

J'ai un serveur dédié chez ovh sur lequel j'ai un proxmox. Je dispose d'adresses ip failover. Donc je peux assigner une adresse IP à une machine virtuelle, machine qui sera directement visible depuis internet. Ainsi seul le serveur vpn est visible.
Je préfère ne pas mettre le serveur asterisk sur la même machine virtuelle, car
1) j'utilise des containers donc les ressources utilisées sont très faibles 2) je vais utiliser ce serveur vpn pour avoir plusieurs vpn 3) Je souhaite vraiment que l'asterisk ne soit pas visible depuis internet, car je ne maîtrise pas assez iptables (bien que je vais m'y mettre :) )

Si tu choisis la route openvpn, commence par cela hors config tels et asterisk.
Tu dois pouvoir pinger l'adresse openvpn du serveur asterisk a partir des deux reseaux et inversement.
Apres la config asterisk et tels sera 'triviale'

Oui je pense que je vais prendre le chemin openvpn. D'ailleurs il est déjà en place et je peux pinger des machines entre elles sur le vpn.
Je vais rapidement installer un nouveau container avec le serveur asterisk, le connecter sur le vpn, l'isoler complètement d'internet, et je ferai des tests de performance.

Dernière question, plus d'ordre réseau qu'autre chose: Le client a une LIVEBOX (j'ai pas choisi!) donc je ne veux plus toucher à cette saleté. Alors pour la connexion au vpn à partir du réseau "client", j'ai pensé à installer un routeur sur leur réseau local, et à y installer DD-WRT pour qu'il se connecte au serveur. Cela permettra aux téléphones d'utiliser cette passerelle, tandis que les PC présents sur le réseau se connecteront à Internet via la box.

Ca peut marcher?

En tous cas un GRAND merci pour ta réponse, Président!

Xavier

fastm3
14/11/2014, 17h19
Tu fais comme tu veux mais je conseillerai deja de te faire la main sur une config plus simple.
La machine host a autant besoin d'iptables. Si tu as des soucis de qualité audio , pense au diagnostic du probleme qui ne va pas etre des plus simple. Entre les pbs des 2 liens adsl, de celle du serveur host, des pbs de resources sur la vm asterisk, sur la vm openvpn, sur le host...Bon courage si tu n'es pas à l'aise.
Ca me semble bien compliqué juste pour relier 2 sites meme si techniquement , c'est possible.

A mon avis, le vpn entre les sites n'est pas en place non ? Puisque a priori, je comprends que tu n'as pas fait les tests a partir des 2 sites avec un routeur.
La livebox n'a pas de modem bridge... La livebox a une dmz , on peut s'en sortir en mettant le routeur qu etu veux derriere sauf que le double nat complique un peu et que le mode dmz de la livebox semble filtrer tout de meme des petites choses...Le support vdsl2 change un peu la donne mais sinon, un modem a 15€ te rendra je pense la vie plus facile.

Pour faire de la voip en entreprise, on conseille fortement un lien adsl dédié. Rajoute cela dans l'equation et on commence a avoir une petite usine a gaz juste pour 2 sites...
J'aime la technique mais les architectures simples sont souvent les plus efficaces.
Pour 2 petits sites, je mets un petit asterisk sur un des 2 et basta...
Pour 2 gros sites, je prefere une appliance locale sur chacun des sites ce qui permet d'envisager des solutions de backup traditionnelles probablement à moindre cout.
Je vois plutot les vm proxmox comme des solutions de backups. C'est hb22 qui je crois mettait sur ses tels en secours une ip d'une vm si le local etait HS, ca c'est top comme idée. J'aime bien faire le mix avec de la telephonie rnis en entreprise ou analogique pour les tpe ( sortie illimité des boxs ). J'arrive donc souvent à une solution avec un asterisk en local bien à l'abri derriere le nat et son propre firewall.
Si c'est pour faire un tres gros centrex et juste ca, en entreprise, il y a des sociétés qui font cela. Inutile de reinventer la roue si tu n'as pas ou peu de plus value ou un besoin hyper pointu.

C'est juste mon avis hein. Je ne declare pas ne jamais faire de mauvais choix.
My €0.02
Francois.