обновление до 2.4.5 сломало VPN
-
Собственно - реализован VPN Remote Access, до обновления работало идеально, видело все здания (соединённые через site-to-site), в общем мечта help-desk'а.
После обновления с 2.4.4 до 2.4.5 работоспособность сервера осталась, только вот незадача. ТОЛЬКО 1 КЛИЕНТ! Первый подключившийся без проблем пингует все адреса, трафик ходит, всё работает. Второй подключается - тишина, в Status-> OpenVPN он отображается, но пинги не идут вообще никуда в локальную сеть, не работает даже просто попытки открыть сайты (стоит "Force all client-generated IPv4 traffic through the tunnel." в настройках)Concurrent connections - пусто, ставил 10, 20, 200 - нет эффекта. Проблема разом проявилась в двух разных зданиях, все обновлял вчера. Никто не сталкивался с таким?
-
Поищите здесь https://redmine.pfsense.org/projects/pfsense/issues
Если у кого-то похожая ситуация, то это Bug.
Попробуйте пересоздать впн-подключение. -
пересоздал, всё по инструкции, пробовал и минимальный конфиг, и полностью который был - первый подключившийся работает полностью, остальные клиенты подключатся, но трафик никуда вообще не ходит, у них пропадает возможность даже по сайтам лазить (ни пинги не идут, ни днс сервера не отвечают) при этом если по AnyDesk подключиться к ним, соединение не рвёт, новые не позволяет только установить
-
@MythOfTheLight
Скрины настроек впн, правил fw на ВПН и ЛАН. -
конфиг:
-
С таким конфигом, до обновления играли используя служебный впн из дома в Quake 3 xDDD сейчас только первый подключившийся работает.
У каждого юзера своё имя пользователя, у каждого свой сертификат. Каждый по очереди подключается, всё работает. Вместе - тишина.
-
Попробуйте галку на Duplicate connections поставить.
И смотрите логи ВПН на сервере и клиенте при подключении. В них точно будет написано почему так происходит.
Детализации логов регулируется директивой verb N, где N - уровень детализации. -
откатились на 2.4.4_3 и всё работает. It's a magic.... Хорошо конфиг перед обновлением слили и не вносили изменений после обновы
-
@MythOfTheLight Баг не постили?
-
@logdog нет, слишком геморройно описывать, прикручивать логи, и так слишком много работы свалилось после расширения организации до 1200 сотрудников в 18 зданиях.
Как оказалось, помимо сломанного VPN в 2.4.5 ещё и поменялось что то в маршрутизации, и сервер цифровой телефонии перестал принимать трафик от VPN клиентов, при этом если телефоны ставить за NAT (pfSense 2.4.5 с поднятым на нём VPN Peer-toPeer-PKI -> DGS-1210-52 -> dir620 -> телефоны) то работало. Отрубал файрволл на сервере телефонии - тишина, пакеты резало на pfSense удалённых офисов. Откат до 2.4.4_3 решил и эту проблему сразу. -
pfSense 2.4.5 с поднятым на нём VPN Peer-toPeer-PKI -> DGS-1210-52 -> dir620 -> телефоны
Д-линк 620 в схеме зачем? В каком он режиме работает?
-
@werter без понятия почему, но если телефоны подрубить к хабу (или на LAN порт pfsense) на прямую, при использовании 2.4.5 трафик с них не доходит до АТС, а если ставим за dir-620 - доходит. 4 филиала разом отвалилось (подключенные по VPN) после обновления до 2.4.5. Откат на 2.4.4 сразу решил все проблемы.
Проблема с телефонами подключенными только на филиалах, работающих через VPN. Телефоны в здании, где расположена АСТ работают на 2.4.5.
Явные проблемы с OpenVPN в версии 2.4.5 на лицо.
-
@MythOfTheLight
Здр
Проблемы с rtp трафиком ip-телефонии - это неверно настроенный NAT на клиенте/сервере . Судя по всему , у dir-620 включена опция SIP ALG (она автоматом модифицирует SIP пакеты , как надо) , поэтому все работает. Вряд ли тут виноват PF , надо сравнивать настройки и анализировать SIP трафик клиента в момент установления соединения ( это к вопросу почему с 2.4.4 работает , а 2.4.5 нет)
Я так подозреваю , что соединение есть , а звука нет. Или как ? -
@Konstanti said in обновление до 2.4.5 сломало VPN:
Я так подозреваю , что соединение есть , а звука нет. Или как ?
У\для pfSense есть пакет siproxd:
Proxy for handling NAT of multiple SIP devices to a single public IP.В свое время воде как даже помог решить проблемы с SIP.
-
@pigbrother Сложно сказать , как все настроено у ТС , и что конкретно не работает после обновления.Слишком мало информации. Поэтому что-либо советовать трудно . По поводу каких либо пакетов , установленных дополнительно на файрволе, мое мнение такое - в данном случае нет смысла грузить систему анализом и модификацией SIP пакетов , когда проще сразу настроить все правильно на сервере и клиенте .
Но это мое личное мнение . -
@MythOfTheLight
https://docs.netgate.com/pfsense/en/latest/nat/configuring-nat-for-voip-phones.htmlПроблема с телефонами подключенными только на филиалах, работающих через VPN.
...
Явные проблемы с OpenVPN в версии 2.4.5 на лицо.Полтора десятка филиалов. Соединены по ovpn. В 12 из них есть ip телефоны (SIP и SCCP). Пользую freepbx в Головном офисе. Обновился - проблем нет. Давайте скрины настроек впн, правил fw на всех интерфейсах.
-
This post is deleted! -
@Konstanti said in обновление до 2.4.5 сломало VPN:
соединение
при попытке позвонить - до АТС вообще не приходит ничего. Авторизация и входящие работают. Проблема только в исходящих, в момент набора вывод с "asterisk -vvvvr" вообще пустой.
Конфиги порой дико различаются, куда копать бывает не найти концов. Проблема затронула только телефоны Grandstream GXP-1610/1615, с Grandstream DP-750 всё окей и с Yealink всех моделей. Решили пока оставить как есть, откатившись до 2.4.4. Дальше посмотрим, буду периодически тестировать. С 2.3 версии уже использую, проблема такого плана вылезла впервые только на 2.4.5
-
@MythOfTheLight
Мысль обновить ПО на хотя бы одном проблемном телефоне и проверить приходила? -
@werter said in обновление до 2.4.5 сломало VPN:
@MythOfTheLight
Мысль обновить ПО на хотя бы одном проблемном телефоне и проверить приходила?все телефоны на автообновлении, в ручную проверил - асё ПО актуально. Как итог - просто откатив pfSense с 2.4.5 до 2.4.4 решились все всплывшие проблемы в инфраструктуре. Жду обнов пфсенса
