On Wed, 3 Oct 2007, Christian Felsing wrote:
1. Aufbau einer routingfähigen IPsec InfrastrukturDazu wird es notwendig sein, innerhalb der IPsec Tunnel einen GRE Tunnel aufzubauen. Die IPsec Tunnel verbinden immer zwei Dummy (Loopback bei Cisco) Interfaces miteinander. Der GRE Tunnel wird dann zwischen den beiden Dummy Interfaces aufgebaut. Über den GRE Tunnel können dann z.B. OSPF oder BGP4 laufen. Bei mehr als ca. 3 Servern erspart das eine Menge Arbeit ;-) Hier ist die Stabilität der Verbindungen Gegenstand des Experiments. In einer anderen Anwendung läuft sowas bereits. Für die Authentifizierung sollen X.509 Zertifikate benutzt werden, weil das einfacher und sicherer ist, als das Mailen von Shared Secrets.
Das ist moeglich, aber wofuer soll ein weiterer GRE Tunnel aufgebaut werden, nachdem es bereits einen IPsec Tunnel gibt, das erscheint bis jetzt nach der kurzen Beschreibung ein unnoetiger Aufwand zu sein. Einen OpenVPN Tunnel zu nehmen, der selbst von einfachen billig Routern seine Pakete via Portforwarding bekommt, ist auch wesentlich einfacher einzurichten. Die laut laermenden Cisco Router hab ich aus gutem grund meistens ausgeschaltet, ausser fuer mein Testlab.
2. Aufbau von Asterisk Servern, die diese Verbindungen nutzen Hier wird dann zwischen Endusern (also Telefone / VoIP Gatways, wie z.B. Fritzbox etc.) und Vermittlungsstellen (also Asterisk Servern) unterschieden. Die Enduser sind fest mit einem Asterisk Server verbunden und brauchen sich daher nicht mit Routingprotokollen etc. herumzuschlagen. Hier kann statt IPsec auch OpenVPN verwendet werden.
Solange die beteiligten Router ein gemeinsames Routingprotokoll beherschen, aendert sich fuer die Clients ja nichts.
Die Asterisk Server sollten immer mind. Verbindung zu zwei anderen Asterisk Servern haben. Ungeklärt ist hier die Nutzung redundanter Wege.
Das waere kein Problem mehr, sobald ein Routingprotokoll laeuft. Selbst bei RIP waeren innerhalb kurzer Zeit zumindest jeder wieder erreichbar.
Ein Dialplan muss erstellt werden. Offensichtlich müssen hier zahlreiche Überlegungen angestellt werden. Hier liegt auch der Schwerpunkt des Experiments: - Dialplan für ein solches Netz - Stabilität - Latenzzeiten / Sprachqualität - Betrieb eines solchen Netzes
die besten Latenzzeiten und Sprachqualitaet hatte man bei einem full meshed net, wo es zu jedem anderen Teilnehmer auch einen Tunnel gibt
3. Handhabung durch die Anwender Da stellen sich eigentlich nur die Fragen: - Wie kommen die Anwender damit zurecht ?
wenn die etwas selbst einstellen aendern muessten, waere IMHO etwas falsch gelaufen in der Planung, IP-Telephon Hoerer abnehmen und waehlen, um den Rest sollten die sich nicht kuemmern brauchen. Wenn das unterm Strich nicht mind. genauso einfach wie Skype laeuft, und das wird die Messlatte sein, wird es im Praxistest durchfallen. Warum man lieber keinen Skype nehmen sollte, wird jeder der an so einem Versuch teilnimmt schon wissen, aber ein wichtiges Ziel sollte es sein, dass genauso einfach zu gestalten.
- Qualität der Dokumentation
fuer Anwender -- Hoerer nehmen, waehlen, telephonieren fuer Admins -- ein Alptraum, das wird nicht einfach, das umzusetzen macht mehr Spass als es zu dokumentieren
Wie soll die Unterstützung aussehen ? Gemeinsamer Aufbau eines kleinen Asterisk Netzes. Viele Configs sind schon vorhanden und können leicht angepasst werden. Voraussetzungen für Enduser: - OpenVPN oder IPsec fähiger Router (z.B. OpenWRT oder bel. Linuxdistri) - VoIP Telefon oder Gateway (z.B. FritzboxFon)
voip Telephon Software geht auch, selbst fuer Windows gaebe es mit Xen ein einfaches, oder ekiga (ehemals gnomemeeting) gibt es fuer linux und windows.
Voraussetzungen für Asteriskserver: - Root Server mit Linux oder *BSD - Asterisk Grundlagen, wäre also schon gut zu wissen, was in der extensions.conf stehen muss - Routing Grundlagen Wer einen Root Server hat, kann darauf folgende Pakete installieren: - Asterisk - OpenSwan oder StrongSwan - Quagga - ggf. für GRE notwendige Kernelmodule - OpenSSL Die Details bitte per PM klären. Die Doku wird dann in einem Wiki erscheinen. Bei Interesse kann ich den Link hier posten.
Die Liste verfolge ich aus Koeln, ein Treffen wird da schwieriger, aber fuer koennten uns auch zu verabredeten Zeiten in einem IRC channel treffen. cu Frank --
"Die Sicherheit von KKWs haengt nicht von derem Alter ab." Wieviel Verleugnung von sogar trivialer LebensErfahrung braucht man fuer diese Aussage?
Anders gesagt: "Auch neue Kraftwerke können hochgehen". Finde ich sehr ehrlich. -- Herwig Huener AQSR und Michael Krauth in ger.ct
-- ---------------------------------------------------------------------------- PUG - Penguin User Group Wiesbaden - http://www.pug.org
