<div dir="ltr"><div class="gmail_extra"><div class="gmail_quote">On Thu, Oct 13, 2016 at 12:06 PM,  <span dir="ltr"><<a href="mailto:kevin.larsen@pioneerballoon.com" target="_blank">kevin.larsen@pioneerballoon.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><tt><font size="2">> I have Asterisk running well inside our network.
I did some <br>
> experiments exposing it to internet but had some issues:<br>
> 1. NAT issues (voice one way, etc). From what I understand double-<br>
> NAT users will always have something like this<br>
> 2. Immediately I see people trying to hack into. I did configure <br>
> Fail2Ban and it works somewhat, but not 100%. Erroneous logs, etc<br>
> <br>
> So.. I ended up closing network. Currently most users inside <br>
> network. My home router have GRE tunnel to office so phone works just
fine.<br>
> Another user uses VPN and soft phone and it works good too.<br>
> <br>
> Now I need to setup some users with actual phone devices and none
of<br>
> those solutions will work. So, I did some research and found <br>
> that some phones have VPN capability built in. <br>
> <br>
> Right now I use Cisco SPA504G phones. We have auto-provisioning for
<br>
> them, works well. But I don’t think they have VPN capability.<br>
> <br>
> <br>
> What I found it that Cisco 525g2 has AnyConnect functionality (SSL
<br>
> VPN) but not sure if this is what I need.<br>
> <br>
> We have Mikrotik router. Can I setup VPN on router and have this <br>
> Cisco phone auto-dial VPN and then connect to Asterisk? I’m asking
<br>
> to see if this will work before I go in and buy that phone.<br>
> Or maybe there is other devices/solutions you suggest? I’d like to
<br>
> stay with Cisco because I’m somewhat familiar with provisioning those..<br>
</font></tt>
<br><tt><font size="2">I haven't done this myself, but I think what you need
to look at is phones that can do IPSEC vpn setups.</font></tt>
<br>
<br><tt><font size="2">For the Mikrotik router, this may be helpful to start
investigating:<br>
</font></tt><a href="http://wiki.mikrotik.com/wiki/L2TP_%2B_IPSEC_between_Mikrotik_router_and_a_PC" target="_blank"><tt><font size="2" color="blue">http://wiki.mikrotik.com/wiki/<wbr>L2TP_%2B_IPSEC_between_<wbr>Mikrotik_router_and_a_PC</font></tt></a> <br clear="both"></blockquote><div><br></div><div>I have Asterisk installs behind Vyatta (linux iptables) and pfSense (freebsd pf) NAT routers and majority of the time there are no issues with phones outside the network. My go to phones are Polycom VVX series or X-Lite / Bria softphones. The key is to make sure you have configured Asterisk sip.conf with the externip= and nat=yes settings. Additionally on the NAT routers that the outside phones are behind SIP ALG should be disabled.</div><div><br></div><div>Ryan</div></div></div></div>