обновление до 2.4.5 сломало VPN
-
конфиг:
-
С таким конфигом, до обновления играли используя служебный впн из дома в Quake 3 xDDD сейчас только первый подключившийся работает.
У каждого юзера своё имя пользователя, у каждого свой сертификат. Каждый по очереди подключается, всё работает. Вместе - тишина.
-
Попробуйте галку на Duplicate connections поставить.
И смотрите логи ВПН на сервере и клиенте при подключении. В них точно будет написано почему так происходит.
Детализации логов регулируется директивой verb N, где N - уровень детализации. -
откатились на 2.4.4_3 и всё работает. It's a magic.... Хорошо конфиг перед обновлением слили и не вносили изменений после обновы
-
@MythOfTheLight Баг не постили?
-
@logdog нет, слишком геморройно описывать, прикручивать логи, и так слишком много работы свалилось после расширения организации до 1200 сотрудников в 18 зданиях.
Как оказалось, помимо сломанного VPN в 2.4.5 ещё и поменялось что то в маршрутизации, и сервер цифровой телефонии перестал принимать трафик от VPN клиентов, при этом если телефоны ставить за NAT (pfSense 2.4.5 с поднятым на нём VPN Peer-toPeer-PKI -> DGS-1210-52 -> dir620 -> телефоны) то работало. Отрубал файрволл на сервере телефонии - тишина, пакеты резало на pfSense удалённых офисов. Откат до 2.4.4_3 решил и эту проблему сразу. -
pfSense 2.4.5 с поднятым на нём VPN Peer-toPeer-PKI -> DGS-1210-52 -> dir620 -> телефоны
Д-линк 620 в схеме зачем? В каком он режиме работает?
-
@werter без понятия почему, но если телефоны подрубить к хабу (или на LAN порт pfsense) на прямую, при использовании 2.4.5 трафик с них не доходит до АТС, а если ставим за dir-620 - доходит. 4 филиала разом отвалилось (подключенные по VPN) после обновления до 2.4.5. Откат на 2.4.4 сразу решил все проблемы.
Проблема с телефонами подключенными только на филиалах, работающих через VPN. Телефоны в здании, где расположена АСТ работают на 2.4.5.
Явные проблемы с OpenVPN в версии 2.4.5 на лицо.
-
@MythOfTheLight
Здр
Проблемы с rtp трафиком ip-телефонии - это неверно настроенный NAT на клиенте/сервере . Судя по всему , у dir-620 включена опция SIP ALG (она автоматом модифицирует SIP пакеты , как надо) , поэтому все работает. Вряд ли тут виноват PF , надо сравнивать настройки и анализировать SIP трафик клиента в момент установления соединения ( это к вопросу почему с 2.4.4 работает , а 2.4.5 нет)
Я так подозреваю , что соединение есть , а звука нет. Или как ? -
@Konstanti said in обновление до 2.4.5 сломало VPN:
Я так подозреваю , что соединение есть , а звука нет. Или как ?
У\для pfSense есть пакет siproxd:
Proxy for handling NAT of multiple SIP devices to a single public IP.В свое время воде как даже помог решить проблемы с SIP.
-
@pigbrother Сложно сказать , как все настроено у ТС , и что конкретно не работает после обновления.Слишком мало информации. Поэтому что-либо советовать трудно . По поводу каких либо пакетов , установленных дополнительно на файрволе, мое мнение такое - в данном случае нет смысла грузить систему анализом и модификацией SIP пакетов , когда проще сразу настроить все правильно на сервере и клиенте .
Но это мое личное мнение . -
@MythOfTheLight
https://docs.netgate.com/pfsense/en/latest/nat/configuring-nat-for-voip-phones.htmlПроблема с телефонами подключенными только на филиалах, работающих через VPN.
...
Явные проблемы с OpenVPN в версии 2.4.5 на лицо.Полтора десятка филиалов. Соединены по ovpn. В 12 из них есть ip телефоны (SIP и SCCP). Пользую freepbx в Головном офисе. Обновился - проблем нет. Давайте скрины настроек впн, правил fw на всех интерфейсах.
-
This post is deleted! -
@Konstanti said in обновление до 2.4.5 сломало VPN:
соединение
при попытке позвонить - до АТС вообще не приходит ничего. Авторизация и входящие работают. Проблема только в исходящих, в момент набора вывод с "asterisk -vvvvr" вообще пустой.
Конфиги порой дико различаются, куда копать бывает не найти концов. Проблема затронула только телефоны Grandstream GXP-1610/1615, с Grandstream DP-750 всё окей и с Yealink всех моделей. Решили пока оставить как есть, откатившись до 2.4.4. Дальше посмотрим, буду периодически тестировать. С 2.3 версии уже использую, проблема такого плана вылезла впервые только на 2.4.5
-
@MythOfTheLight
Мысль обновить ПО на хотя бы одном проблемном телефоне и проверить приходила? -
@werter said in обновление до 2.4.5 сломало VPN:
@MythOfTheLight
Мысль обновить ПО на хотя бы одном проблемном телефоне и проверить приходила?все телефоны на автообновлении, в ручную проверил - асё ПО актуально. Как итог - просто откатив pfSense с 2.4.5 до 2.4.4 решились все всплывшие проблемы в инфраструктуре. Жду обнов пфсенса
-
@MythOfTheLight
Пишите в баг-трекер. Тем самым сэкономите другим время. И нервы. -
покурив Patchnote оказалось что это не "Баг" а "Фича"
Вопрос решён путём перевода организацию на сертифицированные ФСТЭК продукты от Infotecs (VipNet Coordinator HW1000 и HW100c) - пока государство платит, использование опенсорса (за экономию не сказали даже "спасибо"). Теперь отбашляют овер 3 млн. рублей =))
-
@MythOfTheLight said in обновление до 2.4.5 сломало VPN:
покурив Patchnote оказалось что это не "Баг" а "Фича"
Если можно - ссылку на эту Patchnote.
-
В общем, обновил 2 машины ... туннель между ними и доступ сотрудников по openvpn к другой машине работает.
