Yealink SSL VPN

  • Hallo Zusammen,


    Ich versuche mit einem Yealink T42g ein SSL VPN auf eine Sophos (Astaro) UTM zu machen.
    Hat jemand Erfahrung, wie und ob das geht?


    Danke fürs Feedback.


    Gruss
    CH

  • Der Vertriebler hat sich aus eigenem Interesse dann gleich noch selber dran gemacht und ich kann nun berichten, dass es funktioniert.
    Und damit Du/Ihr das Rad nicht neu erfinden müsst hab ich das mal alles zusammen geschrieben und in eine PDF gepackt :D


    Laut Yealink Forum funktioniert es nur mit T2x, T4x und W52P Geräten und einer Firmware höher V71:
    http://forum.yealink.com/forum…d.php?tid=332&mode=linear


    Den alten Versionen scheint das Parameter auth-user-pass zu fehlen, womit die Verbindung zu einer UTM scheitert, da diese Zertifikat + Authentifizierung fordert.


    Ich hab das mal auf die schnelle zusammen getippt, darum würde ich Dich und auch alle anderen die es interessiert und eine Sophos einsetzen darum bitten, die Anleitung anzuschauen und zu testen ob das für Euch auch funktioniert.


    Wenn das alles top ist, kann man die Anleitung ja nochmal schön machen (die 10000 Rechtschreibfehler entfernen) und ggf. ins Wiki übernehmen.


    Viel Spaß beim VPN'n ;)


    Grüße aus Augsburg
    Dome


    anleitung.pdf

  • Du bis mein Persönlicher Held - Danke für die Arbeit.


    Leider funktioniert es bei mir noch nicht. Hast du eine Idee, wenn du das Log anschaust:

  • Also ganz wichtiger Punkt:
    Die CA und das Zertifikat auf der Firewall darf keine Sonderzeichen und Umlaute enthalten!


    Christoph und ich haben beim Testen festgestellt dass der OpenVPN Client im Yealink im TLS Handshake absolut keine Sonderzeichen mag. Leerzeichen können wie oben beschrieben mit einem _ ersetzt werden. Sonderzeichen und Umlaute werden dort nicht unterstützt und fühlen zu einem fehlerhaften TLS Handshake!

  • Vielen Dank für die gute Anleitung Dominik!


    Zufällig habe ich gerade meine erste Sophos UTM eingerichtet und möchte ein Telefon per SSL VPN verbinden.
    Ich werde es morgen sofort testen :)


    Was ich schon gesehen habe, bei meiner UTM ist Benutzer und Lokales netz auszuwählen (was ja auch kein Problem darstellt...)
    Liegt das an der benutzten Version ??


    Viele Grüße aus Köln


    Hotte

  • Zitat

    Was ich schon gesehen habe, bei meiner UTM ist Benutzer und Lokales netz auszuwählen (was ja auch kein Problem darstellt...)
    Liegt das an der benutzten Version ??


    Unterschied ist Remote Access oder Siede to Sied VPN

  • Unterschied ist Remote Access oder Siede to Sied VPN


    DANKE!, ich habe natürlich an einen Remote Access für den Telefonbenutzer gedacht :D


    Leider habe ich noch Probleme mit Sophos S2S VPN sowohl zur Fritz!Box 7390 als auch zum Yealink T42G.
    Ich berichte, wenn ich mal wieder einen Samstag damit verbringe :)

  • Hallo zusammen,


    hat das aktuell jemand am laufen?
    Ich breche mir gerade einen ab ein Yealink t46S mit einer Sophos UTM zu verheiraten!
    Leider scheint sich seit diesem Beitrag einiges an den Parametern geändert zu haben, so
    das ich es nicht hinbekomme! Vielleicht kann ja jemand mal bescheid geben, wie es aktuell zu
    konfigurieren wäre.


    viele Grüße und vielen Dank im voraus


    Doktore

  • Hallo in die Runde!


    Auch ich wäre interessiert, ob das noch jemand am laufen hat, da mein Yealinkn scheinbar nichtmal probiert eine openvpn Verbindung aufzubauen...
    Er akzeptiert scheinbar zwar das tar.File (vpn.cnf steht nach dem Upload in dem Feld), jedoch sehe ich im sys.log des Yealinks Einträge zu openvpn...


    Beste Grüße


    ## Ergänzung: ##
    Ich habe es jetzt zum laufen bekommen.
    Das Problem ist, dass scheinbar bei den T46S keine openvpn Einträge mehr in die Logs des Yealinks geschrieben werden.
    Ich habe einmal die gleiche VPN.tar in ein T46G geladen und entsprechend die problematischen Log-Einträge gesehen, config ausgebessert und dann das im T46G funktionierende tar-Archiv ins T46S eingespielt und es hat funktioniert!

    Einmal editiert, zuletzt von Olli ()

  • Hallo... es wäre natürlich super hilfreich, wenn Du Olli noch schreibst, was Du geändert hast. Wir haben hier jetzt 10 Telefone, die sich nicht mehr einwählen können über OpenVPN. Ich verstehe nicht, wie man so ein Firmware-Update freigeben kann, unglaublich. Mir steigen die Nutzer hier alle aufs Dach...


    Also wir haben das letzte Starface Update heute vorgenommen, bei welchem die Telefone auf die FW 84 angehoben wurden. Seitdem sind die Telefone tot und verbinden sich nicht mehr. Sind aktuell an der Diagnose dran.


    Vielleicht zum generellen Setup: Wir nutzen eine Sophos XG 135 mit vorgeschaltetem Mikrotik Router. VPN geht jetzt seit dem FW Update nicht mehr, kann ich also nur von abraten.


    Yealink hat wohl Probleme mit der V83 und OpenVPN gehabt, welche mit der 84er behoben sein sollten. Können wir so aktuell nicht nachvollziehen...


    BIO read tls_read_plaintext error
    TLS object -> incoming plaintext read error
    TLS handshake failed

    3 Mal editiert, zuletzt von Sanafan ()

  • Hallo,


    bei mir war lediglich ein Tippfehler in der Zeile
    "tls-remote"


    ich würde an Deiner Stelle, sofern Du noch eines zur Hand hast, ein T46G nehmen und die tar Datei hier hochladen und testen...
    Eventuell kommen die Log-Einträge ja mit der neuen Firmware in der 6.6.0.20 wieder...
    "Highlights zum Service Release Version 6.6.0.20
    [...]
    • Yealink-Telefone wurden auf Firmware-Version 83/84 aktualisiert
    [...]
    "
    Wünschenswert ist es!


    LG

  • Hallo zusammen,


    muss ich zwingend eine Site-to-site Verbindung erstellen oder geht auch normal ssl-vpn? Also eine Verbindung bekomme ich hin, allerdings läuft es nicht sauber. Ich hab es auch mit einer S-t-S versucht ohne Erfolg. Selbst wenn es sich provisioniert, fliegt es nach einigen Minuten Inaktivität wieder raus. Kann man hier noch irgendwo einen Timeout setzen? Ich nutze ein T42s und eine Sophos SG. Hat vielleicht jemand einen Tipp für mich?


    Vielen Dank

Jetzt mitmachen!

Sie haben noch kein Benutzerkonto auf unserer Seite? Registrieren Sie sich kostenlos und nehmen Sie an unserer Community teil!