Маршрутизация OpenVPN

pigbrother

ИМХО, ставить в каждый офис по астру это моветон.
Соедините всё в одну сетку, и цепляйте всех на 1 сервер.

И, если я правильно понимаю, в случая обрыва связи офис без своего Астерикса останется без телефонии?

derwin

я думаю, что у него в астере нет плат FX0(иначе он бы не создавал таких топиков), а значит - он цепляется по SIP-у. Что в своём случае в любом варианте при падении интернета - будет приводить "останется без телефонии".
PS: а PRI поток на PC посадить это вообще космос, никто на "офис" такое не будет делать. (цена, сложность)

PTZ-M

@derwin said in Маршрутизация OpenVPN:

Лечим отключения OpenVPN:

М-м, а в каком месте было указано, что канал пропадает?

@derwin said in Маршрутизация OpenVPN:

значит - он цепляется по SIP-у.

Не по SIP, а по IAX2 - в данном варианте советую гнать через мир, накладные расходы в канале VPN сожрут всю выгоду (если конечно есть 2 белых IP и/или соединены не офисы ФСБ )

А вообще, я бы смотрел на Asterisk - есть у него такая хреновая привычка дохнуть на ровном месте. Я решил это - автоперезапуск по расписанию каждый день. Или ручками, когда происходит падение интернета и/или пинг вырастает сверх разумного.

derwin

рекомендую и Вам нанять грамотного телефониста.
Или купить готовую железку уровня Grandstream
Я голос через пол страны по офисам гоняю, и никаких накладных расходов для голоса не замечаю. Кто не вкурсе, до 120мс задержки астером определяются и обрабатываются в штатном режиме, а это больше пути пакета по периметру планеты(считается через скорость света и периметр). IAX применяется совсем для других целей в астере. И ваш руководитель вас неодобрит, если узнает что голос открытый по интернету ходит, так что сомнительное преимущество.

PTZ-M

@derwin
off=[я вот могу много написать на Вашу эскападу, и по поводу "офисного планктона" корпорайтов вообще. Поверьте, за 10 лет работы насмотрелся. Особливо меня радуют личности, считающие что я полный даун раз сижу тут, а они там. Ведь "там" всё виднее, и не важно, что "тут" мне приходиться расхлёбывать их косяки кое-как, ведь я не вижу всей картины целиком - мне же "тут" этого не положено видеть!]

Теперь по теме:

не равняйте канал MPLS в SDH с OpenVPN туннелем сидящем на EDGE - попробуйте "погонять" на какую-нить АЗС посреди ничего
уже при 98мс канал начинает "булькать" - обработчику не хвататет пакетов и мощи, чтобы "вытянуть" голос, но внутри офисов этого никто и не замечает, если это не CALL-center
ВОЛС не тянется по прямой - до Европы 70-80 норма, Южная Америка 250-300мс
для чего ещё можно использовать битовый транспортный протокол в Asterisk?
вообще-то он и у Вас ходит или хотите сказать, что в "мир" бухгалтерия звонит по цветному утюгу? - у Вас-то провайдер телефонии как подключён? Кроме этого, на форуме уже был холивар, что VPN ломануть MITM не такая смертельная задача; пересадить всех на сотовую связь то же бесполезно, так же перехватывается и расшифровывается.

Подводя итог можно сказать, что канал OpenVPN только позволяет туннелить сети, и если есть возможность обойти его то и незачем грузить процессор лишним трафиком. В противном случае - гоните туннель внутри туннеля. Если Вы не в курсе, криптомаршрутизаторы этим и занимаются. Использование же PFSense в таких целях я себе не представляю. И я более чем уверен, что у desroze на данном этапе 2-ве независимые проблемы, одна из которых в самом Asterisk-е.

derwin

а кто говорит, что openVPN это недешифруемо и адски надёжно? дьявол кроется в деталях - вся информационная безопасность это менеджмент рисков. Согласитесь, есть разница - ключа нет и пароль открытый, ключ брутфорсится по словарю за 1 год, и за 10(в степени)215445 лет при текущих вычислительных мощностях.

Можем тут ещё похоливарить ИБ в целом, а то я дипломированный криптограф по второму высшему и после универа так и не представилось возможности поумничать ))))

Итак, начну. MITM актуален для RSA-подобных алгоритмов(ключи диффи-хелмана), для систем с закрытым ключем никакой MITM невозможен впринципе. Наука, бессердечная ты штука..... (с)
AES в классической вариации (как и DES, и 3DES) является алгоритмом с закрытым ключем.

PS: попробуйте дешифровать простой архив. Там нет цепочки между замком и ключем. Только брутфорс.

derwin

@ptz-m

для чего ещё можно использовать битовый транспортный протокол в Asterisk?

у астера к нему есть фича. По IAX2 астеры передают друг другу свою адресацию, информируют друг друга о экстеншенах, который являются локальными. И второй астер воспринимает первый как часть себя.

derwin

@ptz-m said in Маршрутизация OpenVPN:

В противном случае - гоните туннель внутри туннеля.

Сразу видно, что вы не в теме(без обид пожалуйста). Сложность дешифрования заключается в качестве алгоритма, а не в количестве его проходов. Достойный пример тому (отчасти) -- PPTP, где 2 "туннеля" а его ломают на раз и два.
В РФ так и не смогли ни создать свой алгоритм шифрования, ни понять как работает чужой(AES - основа алгоритма математическая теория полей). В итоге наши приняли стандарт GOST, который является продолжением 3DES, но с бОльшим размером блока за прогон, и бОльшим количеством прогонов. У нас в стране криптографы в ограниченном круге работают в гос органах на контроле ваших мемасиков, а на разработку никому нет дела....

shar

@ptz-m
А есть манул для клиент-сервер ?
Перепрыгнул с untangle на pf-sense, настроил ovpn ,быстро.
Только в untangle оно работало сразу, а тут нихуа.
Есть пинг от сети к клиенту ovpn, а вот клиент пингует узлы избирательно. Например: DC 10.0.0.90 пингуется, а пк 10.0.0.125 в той же сети, нет.
Несколько дней е@бусь, а гусь и ныне там. Поможите.

shar

@shar
Решено. Вобсчем касперский, скотино блокировал доступ к пк. всем спасибо. Pf-sense крут.