salut a tous
 
ce que j'aimerais faire, c'est que A et B puissent s'appeler avec un soft open source (genre linphone ou autre) de maniere cryptee
 
- A et B sont en general derriere un routeur (donc pas d'IP publique, meme si au moins pour l'un des deux une redir de ports est envisageable)... A et B sont heterogenes (Linux, Windows)
- j'ai possibilite d'utiliser un serveur C en dedicated hosting (ip publique et tout)
 
ma question est: comment feriez vous?
 
je sais pas si un Asterisk sur C avec support TLS suffirait, sachant que les clients sont derriere NAT... eventuellement avec un proxy?
 
ou alors est il plus simple (et mieux(tm)?) de faire un VPN qui ramene mes clients sur le meme reseau que l'asterisk, qui pourrait alors rester en udp?
 
merci par avance

C'est pas un peu pousser Mémé dans les orties de partir sur de la VoIP chiffrée ?

J'opterais pour un VPN, si tu as du soucis avec des proxy. Après il faut choisir une solution VPN compatible avec les OS ciblés (notamment iOS/iPhone et iPad). De base je serais plus parti sur un VPN PPTP, intégré sur pas mal d'OS, mais niveau sécurité openVPN fait largement mieux.
Il faudra aussi voir la bande passante dispo. Déjà qu'en VoIP il en faut un minimum, avec un VPN par dessus gaffe à ne pas partir trop bas (notamment si tu relies des sites en SDSL 2 ou 4Mb)

Après tu fais ton serveur (le "C" ) dans un réseau accessible que par VPN

En solution autre, voir du côté ZRTP et SRTP qui apparemment ajouteraient une couche de chiffrement à la VoIP classique.

pousser meme dans les orties? tu veux dire?
j'ai besoin de confidentialite, donc s'il y a une solution plus simple, je suis preneur
 
tu veux dire qu'avec un proxy (qui sache relayer le TLS j'imagine) je peux en theorie me passer de VPN, c'est bien ca?

Tu bosses dans quoi, sans indiscrétion ?

Ca veut dire quoi confidentialité ?
confidentialité = une conversation chopée et la boite peut fermer.
confidentialité = une conversation chopée et ????????????

terroriste?
nazi?
pédophile?
 

raisons professionnelles
 
note que s'il y a un moyen alternatif en XMPP crypte, je suis preneur (genre pidgin? mais j'ai vu que la voix marchait pas...)

C'est vague ça... car par exemple pour tout ce qui est militaire, il existe déjà des solutions.
Idem pour les grosses entreprises qui font du VPN avec du matos dédié  
Sans plus de détail sur l'infra, ce n'est pas la peine de te répondre

startup, petite infra
 
l'idee c'est de faire le truc en open source a moindres couts

Quand je parle d'infrastructure, c'est surtout savoir le débit disponible  
De plus tu sembles bien mal parti : ce n'est pas parce que c'est "libre" que le coût d'exploitation sera faible ou nul... si derrière tu as besoin d'un tech avec de bonnes connaissances sur du VPN et de la VoIP libre, ça va se chiffrer.
 
AMHA, poses ta question plutôt en catégorie pro du forum.

j'ai quelques connaissances moi meme, ayant deja setup des openvpn et ipsec (manual key, transport et tunnel)
j'ai deja aussi setup un asterisk
 
donc je pensais pouvoir monter une solution "libre" rapidement
 
maintenant si tu me dis que c'est plus complexe t que je dois m'adresser aux pros, je vais le faire de ce pas

Bon pour faire "simple" faut que tu jail un serveur mumble dans un root qui n'aura accès qu'a une connexion tunnel SSL, tu configure le tunnel et tes clients mumble sur A et B pour n'utiliser que le tunnel SSL et hop, je vois pas ce qu'il y a de compliqué, tu peu configurer A ou B comme serveur, ou encore monter un VPN entre A et B, 'fin des solutions il en existe et sans passer par l'usine a gaz qu'est asterisk, surtout pour faire un chat simple entre 2 PC sans logiciel qui utilise une plateforme externe (skype ...)

Ah mais à monter soi-même, il n'y a pas de soucis. Mais à un certain moment, il faut faire chiffrer le bouzin par des pros.
Après si tu touches à une partie vitale de ta startup... pourrais-tu te permettre de ne plus avoir de téléphone ou de mail alors que tes clients te contactent ainsi ?  
 
Donc :
- bien définir tes besoins : pourquoi une VoIP chiffrée ? Une solution plus simple comme le propose MysterieuseX ne serait-elle pas mieux ?  
- bien définir tes connaissances : Asterisk openVPN  
- bien définir combien tu veux mettre : le minimum, en partant sur du libre  
- bien définir ce que tu as : serveur hébergé en DC ? quel débit au niveau de ta startup ? connecté comment ? devras-tu utiliser cette VoIP chiffrée depuis un smartphone, relié à un point d'accès WiFi, voire du tunneling à travers de la 3G ?  
 
Là tu ne montes pas un truc de test pour kéké chez mémé pour montrer kikalaplugrosse, tu montes une infra pour une entreprise.

 
pourquoi besoin de tunnel si toutes les comms mumble sont encryptees:
 
http://mumble.sourceforge.net/FAQ# [...] crypted.3F
 
?

 
Parce que l'envoie/réception des certificats et clés, ne l'est pas et un MITM peut permettre de les récupérer ? Y'a pas de "serveur tier" avec une configuration mumble, ni même d'autorité de certification, ce qui veux dire qu'il faut que tu signe toi même tes certifs, mais bon, si tu sais configurer des connexions SSL/OpenVPN, tu doit le savoir, non ?
Edit, c'est d'ailleurs précisé plus bas :  

effectivement
 
bon je vais tenter openvpn avec des certifs et mumble alors... merci