Kandidatenrecycling

(Blogged via locr)

Ist das nicht DIE Pauli? Naja, in Bayern wird sie ja wohl nichts mehr ;)

Kamera: Panasonic DMC-TZ7 (Brennweite 24.1mm (35mm equivalent: 147mm), f/4.5)

blogdoch subversiv, heute: Privacy for run-aways

Ich habe lange Zeit die Linux-basierenden kleinen Alleskönner von AVM, die Fritz!Boxen, ignoriert; zu Unrecht, wie auch ich nun zugeben muß.
Bedingt durch »äußere Umstände« stehe ich vor der Aufgabe, ich erwähnte derlei wohl schon, eine MSN des heimischen ISDNs ein paar Kilometer entfernt bereitzustellen. Rauslösen einer MSN aus einem Vertrag sieht das bundesdeutsche Regulativ nicht vor, also nimmt der Linuxer seine eierlegende VoIP-Milchsau, Asterisk, und googelt mal ein wenig. Ein ISDN<->ISDN-Gateway hatte ich mir ja schon vor Jahren gebaut und damit auch ISDN-Anrufe per SIP oder IAX2 $sonstwohin geleitet; das Problem bislang war nur, daß ich vermeiden wollte, am Zielstandort auch »dickes Serverblech« hinzustellen …
Also flugs die verstaubenden eBay-Schüsse vom Typ 5140 und 7170 rausgekramt, die ich mir vor ein paar Jahren mal zugelegt hatte. »So’ne Fritz!Box kann doch ISDN extern und intern sowie SIP, da muß doch was gehen …«
Und ja, es geht was, so eine 7170 mit der aktuellen Firmware ist schon ein kleines Kommunikationszentralenwunder, bietet sie doch Fax2Mail, bis zu drei Anrufbeantworter, ISDN Amt und ISDN intern plus 2-3 analogen Anschlüsse, z. B. für ein »echtes« Fax. SIP-Accounts kann sie auch noch verwalten, Bandbreite im Zaum halten bei VoIP-Nutzung — und dabei ist sie nebenbei auf Wunsch noch ADSL2+-Router mit 4x Fastethernet und WLAN … Kurz: Eigentlich ideal für das entfernte Office.
Also flugs die 7170 per SIP an Asterisk gekoppelt, Wahlregeln in der 7170 eingerichtet, so daß die fragliche MSN auf dem internen ISDN zu liegen kommt, das angeschlossene ISDN-Telefon konfiguriert und noch Wahlregeln im Asterisk hinterlegt, sodaß ein Auruf, der per HFC-PCI-Karte und zapata auf der fraglichen MSN ankommt, per SIP an die 7170 geschoben wird => fertig ist die Laube, das ISDN-Telefon an der 7170 klingelt, Verbindung steht, alles geil.
Hmm. Was aber, wenn nun ein Anruf statt über die neuen Nummern über die alte ISDN-MSN geführt werden soll? Derlei ist etwas schwieriger zu machen, um nicht zu sagen, von der Fritz!Box-Firmware so nicht vorgesehen. Man kann Zielrufnummern routen, aber scheinbar nicht in Abhängigkeit der abgehenden MSN andere Wahlpläne selektieren. Gut, der Fall steht auch nicht auf der Anforderungsliste, aber ich sorge gerne vor; mal sehen, vielleicht findet sich dafür ja auch noch eine Lösung …
Angestachelt von den Möglichkeiten, habe ich mich mit der Fritz!Box Fon mal weiter auseinandergesetzt; es gibt dort ja schon seit Jahren eine sehr aktive Community, die die Möglichkeiten der FBF (Fritz!Box Fon) durch Add-Ons und Firmwareergänzungen bis hin zu -modifikationen erweitern. Und so, wenig überraschend eigentlich, stieß ich auch auf einen OpenVPN-Server für die FBF; bequem auf USB-Stick oder notfalls per Web-Download installiert, fährt das kleine Schätzchen dan einfach hoch und meldet sich nach kurzer Zeit an einem zentralen OpenVPN-Server an.
Kein großes Ding jetzt eigentlich, das können andere Geräte auch. Richtig »kühl« wird’s aus meiner Sicht durch die Kombination der Dienste: die FBF kann statt über das öffentliche Netz über den OpenVPN-SSL-Tunnel die Verbindung zum Asterisk aufnehmen, was einer – meines Wissens – effektiven Verschlüsselung des VoIP-Traffics gleichkommt. Da kann Wolfgangs Truppe noch so sehr mit der TKÜV rumspielen, diese Kommunikation bleibt Ihnen erst einmal vorborgen. Wenn ich das richtig verstehe – ich habe noch nicht getraced –, kann man Asterisk ferner instruieren, daß die Kommunikation, z. B. wg. NAT, nur über ihn läuft; dadurch sollte die Kommunikation definitig im Tunnel bleiben.
Sicher, dies ist jetzt keine ultra neue Entdeckung; ich finde es aber hinreichend erstaunlich, daß ich mit zwei in der Welt verteilten Fritz!Boxen und einem zentralen Asterisk-Server alleine schon einen sicheren VoIP-Kanal quer durch’s Netz bauen kann. (Sprich: dadurch, daß OpenVPN direkt auf der FBF läuft, braucht’s keine komplexen Aufbauten mit zusätzlichem OpenVPN-Gateway mehr.).
Zudem bietet die aktuelle Firmware für die 7170 (zumindest im AVM-Branding) die Möglichkeit, direkt an der 7170 (und 72×0) SIP-Telefone zu registrieren; als SIP-Telefon kann z. B. auch eine andere Fritz!Box Fon dienen. Auch hier sollte ein Routing durch einen OpenVPN-Tunnel funktionieren (noch nicht getestet im Versuchsaufbau). Ggf. können zwei FBF auch untereinander direkt einen OpenVPN-Link aufbauen, um die Latenz und Fehleranfälligkeit durch einen zentralen Hop zu vermeiden. (Etwas mehr Konfigurationsaufwand, aber technisch simpelst machbar.)
Richtig lustig – ich habe das im Weitverkehrsnetz aber noch nicht getestet – wird es dann, wenn man Asterisk mittels chan_capi und FBRCAPI die »ISDN-Karte« einer FBF über das Internet – via OpenVPN-Tunnel auch verschlüsselt – zugänglich macht: das Internet als ziemlich langer PCI-Bus bzw. USB-Kabel, interessanter Gedanke. Mit der Latenz von 2ms im OpenVPN-Tunnel im LAN klappt das ganz gut, ob es mit 40 bis 80 ms im wirklichen Netz auch noch funktionieren wird, wird man sehen.
Leider, möchte ich fast sagen, sind viele der Möglichkeiten mittlerweile in Deutschland gar nicht mehr nachgefragt, denn in Zeiten, wo nahezu jeder mit DSL-Zugang auch eine Telefonie-Flatrate hat, erübrigt sich das Untertunneln von NATs und Schalten direkter VoIP-Verbindungen aus Kostengründen. Und mangels der Planung terroristischer Anschläge fehlt es mir auch sonst etwas an Einsatzpotential; was bleibt, wäre ein Unterwandern der Vorratsdatenspeicherung – ziviler Ungehorsam dem Wolfgang und seinen Schergen also.