Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    Маршрутизация OpenVPN

    Scheduled Pinned Locked Moved Russian
    97 Posts 7 Posters 28.8k Views
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • D
      derwin
      last edited by

      у Вас каноническая задача из любого мана по настройке OpenVPN ?? чего тут обсуждать???
      Для ленивых:

      Лечим пинг:

      1. снифаем интерфейсы, смотрим куда приходит траф, и где застревает
      2. смотрим фаерволы на серверах, или ищем человека кто бы их настроил.
      3. отключаем SELinux и бьём по рукам человеку, который его включил.
      4. не забываем проверить поднялся ли роутинг.
      5. проверяем, что по рулесам разрешён трафик.

      Лечим отключения OpenVPN:

      1. смотрим логи OpenVPN
      2. читаем и действуем по обстоятельствам

      Лечим SIP:

      1. для начала изучаем как работает регистрация, устанавливается она по вызову или действует постоянно.
      2. проверяем рулес на интерфейсе с SIP, чтобы там не был указан Gateway по умолчанию
      3. смотрим логи файрвола на предмет дропов.

      Как то так вобщем

      1 Reply Last reply Reply Quote 0
      • D
        derwin
        last edited by

        ИМХО, ставить в каждый офис по астру это моветон.
        Соедините всё в одну сетку, и цепляйте всех на 1 сервер.

        P 1 Reply Last reply Reply Quote 0
        • P
          pigbrother @derwin
          last edited by

          @derwin said in Маршрутизация OpenVPN:

          ИМХО, ставить в каждый офис по астру это моветон.
          Соедините всё в одну сетку, и цепляйте всех на 1 сервер.

          И, если я правильно понимаю, в случая обрыва связи офис без своего Астерикса останется без телефонии?

          1 Reply Last reply Reply Quote 0
          • D
            derwin
            last edited by derwin

            я думаю, что у него в астере нет плат FX0(иначе он бы не создавал таких топиков), а значит - он цепляется по SIP-у. Что в своём случае в любом варианте при падении интернета - будет приводить "останется без телефонии".
            PS: а PRI поток на PC посадить это вообще космос, никто на "офис" такое не будет делать. (цена, сложность)

            PTZ-MP 1 Reply Last reply Reply Quote 0
            • PTZ-MP
              PTZ-M @derwin
              last edited by PTZ-M

              @derwin said in Маршрутизация OpenVPN:

              Лечим отключения OpenVPN:

              М-м, а в каком месте было указано, что канал пропадает?

              @derwin said in Маршрутизация OpenVPN:

              значит - он цепляется по SIP-у.

              Не по SIP, а по IAX2 - в данном варианте советую гнать через мир, накладные расходы в канале VPN сожрут всю выгоду (если конечно есть 2 белых IP и/или соединены не офисы ФСБ ☺)

              А вообще, я бы смотрел на Asterisk - есть у него такая хреновая привычка дохнуть на ровном месте. Я решил это - автоперезапуск по расписанию каждый день. Или ручками, когда происходит падение интернета и/или пинг вырастает сверх разумного.

              1 Reply Last reply Reply Quote 0
              • D
                derwin
                last edited by derwin

                рекомендую и Вам нанять грамотного телефониста.
                Или купить готовую железку уровня Grandstream
                Я голос через пол страны по офисам гоняю, и никаких накладных расходов для голоса не замечаю. Кто не вкурсе, до 120мс задержки астером определяются и обрабатываются в штатном режиме, а это больше пути пакета по периметру планеты(считается через скорость света и периметр). IAX применяется совсем для других целей в астере. И ваш руководитель вас неодобрит, если узнает что голос открытый по интернету ходит, так что сомнительное преимущество.

                PTZ-MP 1 Reply Last reply Reply Quote 0
                • PTZ-MP
                  PTZ-M @derwin
                  last edited by

                  @derwin
                  off=[я вот могу много написать на Вашу эскападу, и по поводу "офисного планктона" корпорайтов вообще. Поверьте, за 10 лет работы насмотрелся. Особливо меня радуют личности, считающие что я полный даун раз сижу тут, а они там. Ведь "там" всё виднее, и не важно, что "тут" мне приходиться расхлёбывать их косяки кое-как, ведь я не вижу всей картины целиком - мне же "тут" этого не положено видеть!]

                  Теперь по теме:

                  1. не равняйте канал MPLS в SDH с OpenVPN туннелем сидящем на EDGE - попробуйте "погонять" на какую-нить АЗС посреди ничего
                  2. уже при 98мс канал начинает "булькать" - обработчику не хвататет пакетов и мощи, чтобы "вытянуть" голос, но внутри офисов этого никто и не замечает, если это не CALL-center
                  3. ВОЛС не тянется по прямой - до Европы 70-80 норма, Южная Америка 250-300мс
                  4. для чего ещё можно использовать битовый транспортный протокол в Asterisk?
                  5. вообще-то он и у Вас ходит или хотите сказать, что в "мир" бухгалтерия звонит по цветному утюгу? - у Вас-то провайдер телефонии как подключён? Кроме этого, на форуме уже был холивар, что VPN ломануть MITM не такая смертельная задача; пересадить всех на сотовую связь то же бесполезно, так же перехватывается и расшифровывается.

                  Подводя итог можно сказать, что канал OpenVPN только позволяет туннелить сети, и если есть возможность обойти его то и незачем грузить процессор лишним трафиком. В противном случае - гоните туннель внутри туннеля. Если Вы не в курсе, криптомаршрутизаторы этим и занимаются. Использование же PFSense в таких целях я себе не представляю. И я более чем уверен, что у desroze на данном этапе 2-ве независимые проблемы, одна из которых в самом Asterisk-е.

                  D 1 Reply Last reply Reply Quote 1
                  • D
                    derwin
                    last edited by derwin

                    а кто говорит, что openVPN это недешифруемо и адски надёжно? дьявол кроется в деталях - вся информационная безопасность это менеджмент рисков. Согласитесь, есть разница - ключа нет и пароль открытый, ключ брутфорсится по словарю за 1 год, и за 10(в степени)215445 лет при текущих вычислительных мощностях.

                    Можем тут ещё похоливарить ИБ в целом, а то я дипломированный криптограф по второму высшему и после универа так и не представилось возможности поумничать ))))

                    Итак, начну. MITM актуален для RSA-подобных алгоритмов(ключи диффи-хелмана), для систем с закрытым ключем никакой MITM невозможен впринципе. Наука, бессердечная ты штука..... (с)
                    AES в классической вариации (как и DES, и 3DES) является алгоритмом с закрытым ключем.

                    PS: попробуйте дешифровать простой архив. Там нет цепочки между замком и ключем. Только брутфорс.

                    1 Reply Last reply Reply Quote 0
                    • D
                      derwin @PTZ-M
                      last edited by derwin

                      @ptz-m

                      для чего ещё можно использовать битовый транспортный протокол в Asterisk?

                      у астера к нему есть фича. По IAX2 астеры передают друг другу свою адресацию, информируют друг друга о экстеншенах, который являются локальными. И второй астер воспринимает первый как часть себя.

                      1 Reply Last reply Reply Quote 0
                      • D
                        derwin
                        last edited by

                        @ptz-m said in Маршрутизация OpenVPN:

                        В противном случае - гоните туннель внутри туннеля.

                        Сразу видно, что вы не в теме(без обид пожалуйста). Сложность дешифрования заключается в качестве алгоритма, а не в количестве его проходов. Достойный пример тому (отчасти) -- PPTP, где 2 "туннеля" а его ломают на раз и два.
                        В РФ так и не смогли ни создать свой алгоритм шифрования, ни понять как работает чужой(AES - основа алгоритма математическая теория полей). В итоге наши приняли стандарт GOST, который является продолжением 3DES, но с бОльшим размером блока за прогон, и бОльшим количеством прогонов. У нас в стране криптографы в ограниченном круге работают в гос органах на контроле ваших мемасиков, а на разработку никому нет дела....

                        1 Reply Last reply Reply Quote 0
                        • S
                          shar @PTZ-M
                          last edited by

                          @ptz-m
                          А есть манул для клиент-сервер ?
                          Перепрыгнул с untangle на pf-sense, настроил ovpn ,быстро.
                          Только в untangle оно работало сразу, а тут нихуа.
                          Есть пинг от сети к клиенту ovpn, а вот клиент пингует узлы избирательно. Например: DC 10.0.0.90 пингуется, а пк 10.0.0.125 в той же сети, нет.
                          Несколько дней е@бусь, а гусь и ныне там. Поможите.

                          S 1 Reply Last reply Reply Quote 0
                          • S
                            shar @shar
                            last edited by

                            @shar
                            Решено. Вобсчем касперский, скотино блокировал доступ к пк. всем спасибо. Pf-sense крут.

                            1 Reply Last reply Reply Quote 0
                            • PTZ-MP PTZ-M referenced this topic on
                            • PTZ-MP PTZ-M referenced this topic on
                            • PTZ-MP PTZ-M referenced this topic on
                            • First post
                              Last post
                            Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.