Маршрутизация OpenVPN

werter

Добрый.

@PTZ-M
Покажите, пож-та, где идет речь о GW GROUP (группа шлюзов). Видимо, у нас разные понятия об этом термине.

И самое главное, зачем оно в вашем случае нужно?

Desroze

И снова здравствуйте.
Вопрос появился новый, но с теми же вводными данными:
Филиал_1 PFSense 2.3.5 в качестве сервера OpenVPN
Сеть 192.168.72.0/24
Сеть OpenVPN 10.0.1.0/24
IP полученный при установлении туннеля 10.0.1.1

Филиал_2 PFSense 2.1.5 в качестве клиента
Сеть 192.168.166.0/24
Сеть OpenVPN 10.0.1.0/24
IP полученый при установлении туннеля 10.0.1.2

Надо: чтоб подсети 192.168.72.0 и 192.168.166.0 могли подружиться между собой и видеть компьютеры друг-друга.

В чем проблема:
в каждом филиале стоит по Asterisk'у, который обеспечивает внутреннюю связь. На момент создания мной данной темы не было связи между ними, но потом после настройки OpenVPN-туннеля она таки появилась, и казалось бы все хорошо.
Однако, тогда я не обратил внимания на то что пинги между астерисками, не смотря на туннель, который должен маршрутизировать все это дело, не проходят, обратил на это внимание недели через две, после того как была жалоба на отсутствие внутренней связи (казалось бы как такое возможно?).
В итоге имеем:
В целом связь между этими двумя астерисками есть, но раз-два в неделю по непонятным причинам она отваливается. При этом те же пресловутые пигни как не ходили так и не ходят. Таким же образом как отвалилась она может внезапно подняться обратно, и проработать так день-два или неделю-две. И так же без объяснения причин рухнуть.
Сегодня ситуация повторилась, в итоге дело решилось перезагрузкой PFSense который выступает в качестве сервера. Однако восстановился только SIP-канал (IAX2), если же пускать хотя бы ту же трассировку - по ней видно что она уходит до 192.168.166.1 а дальше тишина. Тем не менее если пинговать с самих PF'ов то все необходимые адреса я вижу, как со стороны OpenVPN-сервера вижу клиентский ип, так и со стороны клиента вижу астериск за сервером
Подскажите пожалуйста, в какую сторону копать?

derwin

я считаю, что впору открывать платную линию техподдержки.
Касательно Вашего случая - всё очень просто, и совсем не понятно - почему столько проблем.

Desroze

@desroze said in Маршрутизация OpenVPN:

И снова здравствуйте.
Вопрос появился новый, но с теми же вводными данными:
Филиал_1 PFSense 2.3.5 в качестве сервера OpenVPN
Сеть 192.168.72.0/24
Сеть OpenVPN 10.0.1.0/24
IP полученный при установлении туннеля 10.0.1.1

Филиал_2 PFSense 2.1.5 в качестве клиента
Сеть 192.168.166.0/24
Сеть OpenVPN 10.0.1.0/24
IP полученый при установлении туннеля 10.0.1.2

Надо: чтоб подсети 192.168.72.0 и 192.168.166.0 могли подружиться между собой и видеть компьютеры друг-друга.

В чем проблема:
в каждом филиале стоит по Asterisk'у, который обеспечивает внутреннюю связь. На момент создания мной данной темы не было связи между ними, но потом после настройки OpenVPN-туннеля она таки появилась, и казалось бы все хорошо.
Однако, тогда я не обратил внимания на то что пинги между астерисками, не смотря на туннель, который должен маршрутизировать все это дело, не проходят, обратил на это внимание недели через две, после того как была жалоба на отсутствие внутренней связи (казалось бы как такое возможно?).
В итоге имеем:
В целом связь между этими двумя астерисками есть, но раз-два в неделю по непонятным причинам она отваливается. При этом те же пресловутые пигни как не ходили так и не ходят. Таким же образом как отвалилась она может внезапно подняться обратно, и проработать так день-два или неделю-две. И так же без объяснения причин рухнуть.
Сегодня ситуация повторилась, в итоге дело решилось перезагрузкой PFSense который выступает в качестве сервера. Однако восстановился только SIP-канал (IAX2), если же пускать хотя бы ту же трассировку - по ней видно что она уходит до 192.168.166.1 а дальше тишина. Тем не менее если пинговать с самих PF'ов то все необходимые адреса я вижу, как со стороны OpenVPN-сервера вижу клиентский ип, так и со стороны клиента вижу астериск за сервером
Подскажите пожалуйста, в какую сторону копать?

Ну так может намекнете хотя бы, если не хотите просто посоветовать? Ато от вас на протяжении топика только подколки в сторону вопрошающих и ни одного совета. И этот ваш пост про 8 инсталляций смотрятся просто как понт

derwin

у Вас каноническая задача из любого мана по настройке OpenVPN ?? чего тут обсуждать???
Для ленивых:

Лечим пинг:

1. снифаем интерфейсы, смотрим куда приходит траф, и где застревает
2. смотрим фаерволы на серверах, или ищем человека кто бы их настроил.
3. отключаем SELinux и бьём по рукам человеку, который его включил.
4. не забываем проверить поднялся ли роутинг.
5. проверяем, что по рулесам разрешён трафик.

Лечим отключения OpenVPN:

1. смотрим логи OpenVPN
2. читаем и действуем по обстоятельствам

Лечим SIP:

1. для начала изучаем как работает регистрация, устанавливается она по вызову или действует постоянно.
2. проверяем рулес на интерфейсе с SIP, чтобы там не был указан Gateway по умолчанию
3. смотрим логи файрвола на предмет дропов.

Как то так вобщем

derwin

ИМХО, ставить в каждый офис по астру это моветон.
Соедините всё в одну сетку, и цепляйте всех на 1 сервер.

pigbrother

@derwin said in Маршрутизация OpenVPN:

ИМХО, ставить в каждый офис по астру это моветон.
Соедините всё в одну сетку, и цепляйте всех на 1 сервер.

И, если я правильно понимаю, в случая обрыва связи офис без своего Астерикса останется без телефонии?

derwin

я думаю, что у него в астере нет плат FX0(иначе он бы не создавал таких топиков), а значит - он цепляется по SIP-у. Что в своём случае в любом варианте при падении интернета - будет приводить "останется без телефонии".
PS: а PRI поток на PC посадить это вообще космос, никто на "офис" такое не будет делать. (цена, сложность)

PTZ-M

@derwin said in Маршрутизация OpenVPN:

Лечим отключения OpenVPN:

М-м, а в каком месте было указано, что канал пропадает?

@derwin said in Маршрутизация OpenVPN:

значит - он цепляется по SIP-у.

Не по SIP, а по IAX2 - в данном варианте советую гнать через мир, накладные расходы в канале VPN сожрут всю выгоду (если конечно есть 2 белых IP и/или соединены не офисы ФСБ )

А вообще, я бы смотрел на Asterisk - есть у него такая хреновая привычка дохнуть на ровном месте. Я решил это - автоперезапуск по расписанию каждый день. Или ручками, когда происходит падение интернета и/или пинг вырастает сверх разумного.

derwin

рекомендую и Вам нанять грамотного телефониста.
Или купить готовую железку уровня Grandstream
Я голос через пол страны по офисам гоняю, и никаких накладных расходов для голоса не замечаю. Кто не вкурсе, до 120мс задержки астером определяются и обрабатываются в штатном режиме, а это больше пути пакета по периметру планеты(считается через скорость света и периметр). IAX применяется совсем для других целей в астере. И ваш руководитель вас неодобрит, если узнает что голос открытый по интернету ходит, так что сомнительное преимущество.

PTZ-M

@derwin
off=[я вот могу много написать на Вашу эскападу, и по поводу "офисного планктона" корпорайтов вообще. Поверьте, за 10 лет работы насмотрелся. Особливо меня радуют личности, считающие что я полный даун раз сижу тут, а они там. Ведь "там" всё виднее, и не важно, что "тут" мне приходиться расхлёбывать их косяки кое-как, ведь я не вижу всей картины целиком - мне же "тут" этого не положено видеть!]

Теперь по теме:

1. не равняйте канал MPLS в SDH с OpenVPN туннелем сидящем на EDGE - попробуйте "погонять" на какую-нить АЗС посреди ничего
2. уже при 98мс канал начинает "булькать" - обработчику не хвататет пакетов и мощи, чтобы "вытянуть" голос, но внутри офисов этого никто и не замечает, если это не CALL-center
3. ВОЛС не тянется по прямой - до Европы 70-80 норма, Южная Америка 250-300мс
4. для чего ещё можно использовать битовый транспортный протокол в Asterisk?
5. вообще-то он и у Вас ходит или хотите сказать, что в "мир" бухгалтерия звонит по цветному утюгу? - у Вас-то провайдер телефонии как подключён? Кроме этого, на форуме уже был холивар, что VPN ломануть MITM не такая смертельная задача; пересадить всех на сотовую связь то же бесполезно, так же перехватывается и расшифровывается.

Подводя итог можно сказать, что канал OpenVPN только позволяет туннелить сети, и если есть возможность обойти его то и незачем грузить процессор лишним трафиком. В противном случае - гоните туннель внутри туннеля. Если Вы не в курсе, криптомаршрутизаторы этим и занимаются. Использование же PFSense в таких целях я себе не представляю. И я более чем уверен, что у desroze на данном этапе 2-ве независимые проблемы, одна из которых в самом Asterisk-е.

derwin

а кто говорит, что openVPN это недешифруемо и адски надёжно? дьявол кроется в деталях - вся информационная безопасность это менеджмент рисков. Согласитесь, есть разница - ключа нет и пароль открытый, ключ брутфорсится по словарю за 1 год, и за 10(в степени)215445 лет при текущих вычислительных мощностях.

Можем тут ещё похоливарить ИБ в целом, а то я дипломированный криптограф по второму высшему и после универа так и не представилось возможности поумничать ))))

Итак, начну. MITM актуален для RSA-подобных алгоритмов(ключи диффи-хелмана), для систем с закрытым ключем никакой MITM невозможен впринципе. Наука, бессердечная ты штука..... (с)
AES в классической вариации (как и DES, и 3DES) является алгоритмом с закрытым ключем.

PS: попробуйте дешифровать простой архив. Там нет цепочки между замком и ключем. Только брутфорс.

derwin

@ptz-m

для чего ещё можно использовать битовый транспортный протокол в Asterisk?

у астера к нему есть фича. По IAX2 астеры передают друг другу свою адресацию, информируют друг друга о экстеншенах, который являются локальными. И второй астер воспринимает первый как часть себя.

derwin

@ptz-m said in Маршрутизация OpenVPN:

В противном случае - гоните туннель внутри туннеля.

Сразу видно, что вы не в теме(без обид пожалуйста). Сложность дешифрования заключается в качестве алгоритма, а не в количестве его проходов. Достойный пример тому (отчасти) -- PPTP, где 2 "туннеля" а его ломают на раз и два.
В РФ так и не смогли ни создать свой алгоритм шифрования, ни понять как работает чужой(AES - основа алгоритма математическая теория полей). В итоге наши приняли стандарт GOST, который является продолжением 3DES, но с бОльшим размером блока за прогон, и бОльшим количеством прогонов. У нас в стране криптографы в ограниченном круге работают в гос органах на контроле ваших мемасиков, а на разработку никому нет дела....

shar

@ptz-m
А есть манул для клиент-сервер ?
Перепрыгнул с untangle на pf-sense, настроил ovpn ,быстро.
Только в untangle оно работало сразу, а тут нихуа.
Есть пинг от сети к клиенту ovpn, а вот клиент пингует узлы избирательно. Например: DC 10.0.0.90 пингуется, а пк 10.0.0.125 в той же сети, нет.
Несколько дней е@бусь, а гусь и ныне там. Поможите.

shar

@shar
Решено. Вобсчем касперский, скотино блокировал доступ к пк. всем спасибо. Pf-sense крут.