Маршрутизация OpenVPN
-
ИМХО, ставить в каждый офис по астру это моветон.
Соедините всё в одну сетку, и цепляйте всех на 1 сервер. -
@derwin said in Маршрутизация OpenVPN:
ИМХО, ставить в каждый офис по астру это моветон.
Соедините всё в одну сетку, и цепляйте всех на 1 сервер.И, если я правильно понимаю, в случая обрыва связи офис без своего Астерикса останется без телефонии?
-
я думаю, что у него в астере нет плат FX0(иначе он бы не создавал таких топиков), а значит - он цепляется по SIP-у. Что в своём случае в любом варианте при падении интернета - будет приводить "останется без телефонии".
PS: а PRI поток на PC посадить это вообще космос, никто на "офис" такое не будет делать. (цена, сложность) -
@derwin said in Маршрутизация OpenVPN:
Лечим отключения OpenVPN:
М-м, а в каком месте было указано, что канал пропадает?
@derwin said in Маршрутизация OpenVPN:
значит - он цепляется по SIP-у.
Не по SIP, а по IAX2 - в данном варианте советую гнать через мир, накладные расходы в канале VPN сожрут всю выгоду (если конечно есть 2 белых IP и/или соединены не офисы ФСБ
)А вообще, я бы смотрел на Asterisk - есть у него такая хреновая привычка дохнуть на ровном месте. Я решил это - автоперезапуск по расписанию каждый день. Или ручками, когда происходит падение интернета и/или пинг вырастает сверх разумного.
-
рекомендую и Вам нанять грамотного телефониста.
Или купить готовую железку уровня Grandstream
Я голос через пол страны по офисам гоняю, и никаких накладных расходов для голоса не замечаю. Кто не вкурсе, до 120мс задержки астером определяются и обрабатываются в штатном режиме, а это больше пути пакета по периметру планеты(считается через скорость света и периметр). IAX применяется совсем для других целей в астере. И ваш руководитель вас неодобрит, если узнает что голос открытый по интернету ходит, так что сомнительное преимущество. -
@derwin
off=[я вот могу много написать на Вашу эскападу, и по поводу "офисного планктона" корпорайтов вообще. Поверьте, за 10 лет работы насмотрелся. Особливо меня радуют личности, считающие что я полный даун раз сижу тут, а они там. Ведь "там" всё виднее, и не важно, что "тут" мне приходиться расхлёбывать их косяки кое-как, ведь я не вижу всей картины целиком - мне же "тут" этого не положено видеть!]Теперь по теме:
- не равняйте канал MPLS в SDH с OpenVPN туннелем сидящем на EDGE - попробуйте "погонять" на какую-нить АЗС посреди ничего
- уже при 98мс канал начинает "булькать" - обработчику не хвататет пакетов и мощи, чтобы "вытянуть" голос, но внутри офисов этого никто и не замечает, если это не CALL-center
- ВОЛС не тянется по прямой - до Европы 70-80 норма, Южная Америка 250-300мс
- для чего ещё можно использовать битовый транспортный протокол в Asterisk?
- вообще-то он и у Вас ходит или хотите сказать, что в "мир" бухгалтерия звонит по цветному утюгу? - у Вас-то провайдер телефонии как подключён? Кроме этого, на форуме уже был холивар, что VPN ломануть MITM не такая смертельная задача; пересадить всех на сотовую связь то же бесполезно, так же перехватывается и расшифровывается.
Подводя итог можно сказать, что канал OpenVPN только позволяет туннелить сети, и если есть возможность обойти его то и незачем грузить процессор лишним трафиком. В противном случае - гоните туннель внутри туннеля. Если Вы не в курсе, криптомаршрутизаторы этим и занимаются. Использование же PFSense в таких целях я себе не представляю. И я более чем уверен, что у desroze на данном этапе 2-ве независимые проблемы, одна из которых в самом Asterisk-е.
-
а кто говорит, что openVPN это недешифруемо и адски надёжно? дьявол кроется в деталях - вся информационная безопасность это менеджмент рисков. Согласитесь, есть разница - ключа нет и пароль открытый, ключ брутфорсится по словарю за 1 год, и за 10(в степени)215445 лет при текущих вычислительных мощностях.
Можем тут ещё похоливарить ИБ в целом, а то я дипломированный криптограф по второму высшему и после универа так и не представилось возможности поумничать ))))
Итак, начну. MITM актуален для RSA-подобных алгоритмов(ключи диффи-хелмана), для систем с закрытым ключем никакой MITM невозможен впринципе. Наука, бессердечная ты штука..... (с)
AES в классической вариации (как и DES, и 3DES) является алгоритмом с закрытым ключем.PS: попробуйте дешифровать простой архив. Там нет цепочки между замком и ключем. Только брутфорс.
-
для чего ещё можно использовать битовый транспортный протокол в Asterisk?у астера к нему есть фича. По IAX2 астеры передают друг другу свою адресацию, информируют друг друга о экстеншенах, который являются локальными. И второй астер воспринимает первый как часть себя.
-
@ptz-m said in Маршрутизация OpenVPN:
В противном случае - гоните туннель внутри туннеля.
Сразу видно, что вы не в теме(без обид пожалуйста). Сложность дешифрования заключается в качестве алгоритма, а не в количестве его проходов. Достойный пример тому (отчасти) -- PPTP, где 2 "туннеля" а его ломают на раз и два.
В РФ так и не смогли ни создать свой алгоритм шифрования, ни понять как работает чужой(AES - основа алгоритма математическая теория полей). В итоге наши приняли стандарт GOST, который является продолжением 3DES, но с бОльшим размером блока за прогон, и бОльшим количеством прогонов. У нас в стране криптографы в ограниченном круге работают в гос органах на контроле ваших мемасиков, а на разработку никому нет дела.... -
@ptz-m
А есть манул для клиент-сервер ?
Перепрыгнул с untangle на pf-sense, настроил ovpn ,быстро.
Только в untangle оно работало сразу, а тут нихуа.
Есть пинг от сети к клиенту ovpn, а вот клиент пингует узлы избирательно. Например: DC 10.0.0.90 пингуется, а пк 10.0.0.125 в той же сети, нет.
Несколько дней е@бусь, а гусь и ныне там. Поможите. -
@shar
Решено. Вобсчем касперский, скотино блокировал доступ к пк. всем спасибо. Pf-sense крут. -
P PTZ-M referenced this topic on
-
P PTZ-M referenced this topic on
-
P PTZ-M referenced this topic on