суббота, 24 сентября 2016 г.

Почему использовать аппаратные телефоны с TLS в VOIP из мира - это плохая идея.

Собственно купил я телефон своим коллегам аппаратный. Пока один.
Работает он неплохо, До поры до времени.
Здесь нужно понимать, что IP-телефоны хардверные предназначены для использования ВНУТРИ офиса. И программная АТС должна стоять в ОФИСЕ.
Если хотим чтобы телефон всегда был онлайн - никаких извращений с шифрованием голосового трафика трафика по SRTP между этим телефоном и сессионной авторизации с использованием TLS городить не нужно.
Именно номера локальных телефонов нужно элементарно описать в SIP-сервере как SIP-пиры без шифрования трафика и с использованием протокола UDP. Тогда они доступны всегда и мгновенно.

Почему?
Во-первых шифрование трафа в локалке бессмысленно. Если конечно Вы не работайте в компании где все коллеги спецслужбы которые следят за Вами. В таком случае надо смотреть в сторону ieee 802.1x. Эта локалка стоит за корпоративным интернет-шлюзом. Шифрование немного ухудшает качество голоса (я заметил да).
А во вторых что САМОЕ ужасное - так это TLS. Телефону нужно переустановить соединение с сервером после устранения сетевых проблем (если они возникли). Для этого нужно заново пройти TLS -рукопожатие (Handshake), обменяться серт-инфой. Инженера Д-ЛИНК(а) не слишком заморочились с этим гемором в прошивке телефона. Потому если сервер телефонии ребутается то при включеном в аппаратном телефоне TLS-шифровании голоса он отпадает на рандомное время от минуты до бесконечности.

SIP-клиенты в мобильных телефонах реконектяться мгновенно. Ибо расчитаны на использование на нестабильном мобильном инете.
Вывод - если хотите юзать апапатные телефоны во всех офисах - Вам придеться поднимать сервер телефонии в каждом, строить туннели и шифровать трафик с двух сторон между ними. А уже хардверным телефонам отдавать нешифрованый траф по локалке и по не-сессионному RAW-протоколу UDP.

Иначе Вы заебетесь ребутать телефоны. Пользователям.
Ну или посмотреть модели от CISCO, говорят в них как бы с этим меньше проблем. Попробую - отпишусь.

Комментариев нет:

Отправить комментарий