Remote-Clients verwenden

Sie können Ihre IPTAM® PBX so konfigurieren, dass die Nebenstellen Ihrer Anwender über das Internet mit der Telefonanlage kommunizieren, wobei verschlüsselte Telefonie via SIP-TLS und SRTP zum Einsatz kommt. Das Provisionieren der Telefone erfolgt ebenfalls verschlüsselt per HTTPS. Diese Lösung ist interessant für die Integration von Homeoffice Arbeitsplätzen, Anschluss kleinerer Außenstandorte oder Filialen sowie auch für Fälle, wo Ihre IPTAM® PBX in einem Rechenzentrum gehostet wird.

Diese Lösung ist für Telefone des Herstellers Snom sowie für geeignete Softphones vorgesehen.

Image Die Einstellungen dazu finden Sie im Menü IP-Netzwerk►Remote-Clients, wie links abgebildet. Für die Nutzung dieser Funktion ist Verschlüsselung erforderlich, daher erhalten Sie einen Hinweis, falls diese noch nicht konfiguriert wurde. Richten Sie die Verschlüsselung für HTTPS und für interne Telefonie ein, wie hier beschrieben.

Image Rechts sehen Sie eine Darstellung der Netztopologie. Die entfernten Telefone bauen eine TCP-Verbindung zur IPTAM® PBX auf, über die per TLS verschlüsselten SIP-Nachrichten ausgetauscht werden. Die Mediendaten werden per SRTP verschlüsselt übertragen. Beim Einsatz von Telefonen des Herstellers Snom erfolgt das Provisionieren und die Nutzung der Tastenfunktionen (wie z.B. das Telefonbuch) über HTTPS. Für diese Funktionen müssen daher in der zentralen Firewall (im Bild links) Portweiterleitungen eingerichtet werden:

Port(bereich) Protokoll Zweck
5061 TCP SIP-Signalisierung, externer Port frei wählbar, intern auf 5062
10443 TCP HTTPS-Kommunikation der Telefone, Port frei wählbar extern und intern gleicher Port
21000-21090 UDP Mediendaten (SRTP). Dieser Portbereich ist 1:1 weiterzuleiten und muss sich von dem Bereich für RTP-Ports unterscheiden.
Die Portangaben sind lediglich Beispiele.

 Sicherheitshinweis
Wenn diese Funktion verwendet wird, können sich fremde Nutzer missbräuchlich an Ihrer Telefonanlage anmelden und durch Anrufe Kosten generieren. Achten Sie daher auf sichere Passwörter für SIP (ggf. lassen Sie diese automatisch generieren), verwenden Sie nach Möglichkeit bei den Accounts keine rein numerischen Angaben wie z.B. die Nebenstelle und aktivieren Sie die SIP Schutzmaßnahmen, um Angriffsversuche zu vereiteln.

Image Links sehen Sie beispielhafte Einstellungen für die Funktion.

Telefonkonfiguration

Die Snom-Telefone werden wie beschrieben verwendet. Für die erste Inbetriebnahme gibt es jedoch Abweichungen, da das Telefon ja Kontakt zur IPTAM® PBX benötigt. Dazu gibt es die folgenden Möglichkeiten:
  • Verwendung des SRAPS-Dienstes des Herstellers Snom Technology GmbH
  • Manuelle Konfiguration des „Setting-Server“-Eintrags im Telefon
  • Einsatz des DHCP-Servers in der entfernten Lokation

SRAPS-Dienst

Der Hersteller Snom Technology GmbH bietet für die IP-Telefone einen Konfigurationsdienst an, der von allen Telefonen beim Start kontaktiert wird. Sofern dort die MAC-Adresse eines Telefons hinterlegt ist, kann das Telefon teilweise oder vollständig konfiguriert werden. Für den hier beschriebenen Weg wird im Konfigurationsprofil nur die Setting-URL mit dem passenden Wert versorgt. Der Aufbau folgt dem Schema
https://name-oder-ip:port/snom_settings?mac={mac}
wobei „name-oder-ip“ die öffentliche IP-Adresse Ihrer IPTAM® PBX (bzw. der FQDN) ist und „port“ der oben konfigurierte HTTPS-Port ist.

Falls Sie bei der Verschlüsselung auf ein selbstsigniertes Zertifikat setzen, können Sie den SRAPS Dienst auch nutzen, dieses Zertifikat als vertrauenswürdig in das Telefon zu übertragen.

Manuelle Konfiguration des Setting-Servers

Image In der Web-Oberfläche des Telefons erreichen Sie die Einstellung über den Menüpunkt „Erweitert“ (1) und den Reiter „Update“ (2) im Feld „Setting-URL“ (3). Der Eintrag hat die Form
https://name-oder-ip:port/snom_settings?mac={mac}
wobei „name-oder-ip“ die öffentliche IP-Adresse Ihrer IPTAM® PBX (bzw. der FQDN) ist und „port“ der oben konfigurierte HTTPS-Port ist.

Einsatz des DHCP-Servers

Wenn Sie im entfernten Standort einen konfigurierbaren DHCP-Server einsetzen, können Sie diesen so konfigurieren, dass die Setting-URL von diesem verteilt wird. Konfigurieren Sie den DHCP-Server so, dass Option 66 die URL wie oben beschrieben für Snom-Telefone verteilt.

Diagnose

Image Zur Überprüfung, ob sich die Endgeräte Ihrer Anwender erfolgreich an Ihrer IPTAM® PBX registriert haben, können Sie den Menüpunkt Diagnose►SIP-Registry aufrufen. Sie sehen die IP-Adresse sowie die Client-Kennung der erfolgreich registrierten Telefone. Bei der IP-Adresse werden bei diesen Endgeräten jedoch keine Links zur Web-Oberfläche der Telefone angeboten, weil die Telefone hinter einem NAT-Gateway dafür nicht erreichbar sind. Auch die Prüfung auf Erreichbarkeit ist bei diesen Endgeräten nicht möglich, daher sehen Sie den Text „n/a“ in der Spalte „Erreichbarkeit“.

Die Diagnose der verschlüsselter Telefonie durch die Protokoll-Trace Funktion ist aufgrund der Verschlüsselung auf Netzebene nicht möglich. Damit beim Einsatz von Remote-Clients eine Fehlersuche möglich ist, werden die SIP-Nachrichten innerhalb der IPTAM® PBX optional im entschlüsselten Zustand gespeichert. Aus Performancegründen sollten Sie die Funktion nur während einer Fehlersuche aktivieren.