ВидеоКонф(ВКС)  ::   FAQ  ::   Поиск  ::   Регистрация  ::   Вход

OpenVPN+CISCO

Новичком считается только что прочитавший «Астериск - будущее телефонии»
http://asterisk.ru/knowledgebase/books
и пытающийся сделать большее

Модераторы: april22, Zavr2008

Re: OpenVPN+CISCO

Сообщение skynetyar » 09 ноя 2017, 12:49

Вот не серчайте, а я все таки бьюсь об лед все еще...
Может кто то сможет натолкнуть на мысль.
В данном случае OVPN настроен tun,все маршруты прописаны,все пингуется.
CentOS FreePBX OVPN Server 10.0.0.0\24 <------>Mikrotik 192.168.0.0\24 OVPN Client CISCO 7970
CISCO 7970 на нем указан сервер АТС 10.0.0.1 , по адресу 10.0.0.1 из сети 192.168.0.0\24 нормально открывается FreePBX и.т.д.
Софт фон нормально регистрируется,слышимость в обе стороны, NAT на пире нет.

Были сняты дампы
tcpdump -i tun0 -n -s 0 host 192.168.0.1 -vvv -w /tmp/voip9.cap 0 пакетов - это шлюз для 192.168.0.0\24 микротик
tcpdump -i tun0 -n -s 0 host 192.168.0.202 -vvv -w /tmp/voip9.cap 0 пакетов - IP телефона в меню телефона
tcpdump -i tun0 -n -s 0 host 10.0.0.1 -vvv -w /tmp/voip9.cap 32 пакета - Шлюз со стороны CentOS он же VPN сервер.
http://joxi.ru/D2PKNNzUpNwnnm

Может кто то сможет подсказать?
Не ругайтесь, изучаю,читаю,пробую, но пока ничего не выходит.... :(
Всё знают и всё понимают только дураки да шарлатаны.(с)А.П Чехов.
skynetyar
 
Сообщений: 432
Зарегистрирован: 18 авг 2016, 14:25

Re: OpenVPN+CISCO

Сообщение skynetyar » 09 ноя 2017, 15:26

Подключился по ssh к телефону, по логу сообщает
Код: выделить все
648: ERR 14:22:52.902971 JVM: %Сбой аутентификации REG: истекло время ожидания подтверждения


Правильно ли я понимаю как и писал до этого что ответ на регистрацию asterisk посылает адресу 10.0.0.1 а телефон имеет ip 192.168.0.202 и соответственно не получает пакет ?
Всё знают и всё понимают только дураки да шарлатаны.(с)А.П Чехов.
skynetyar
 
Сообщений: 432
Зарегистрирован: 18 авг 2016, 14:25

Re: OpenVPN+CISCO

Сообщение ded » 09 ноя 2017, 16:50

Изучайте самостоятельно свои дампы
tcpdump host 192.168.0.202
tcpdump host 10.0.0.1
на предмет прохождения не только UDP пакетов, но и содержимого SPI пакетов: From: To:

ответ на регистрацию asterisk не должен посылать адресу 10.0.0.1, а должен посылать телефону - ip 192.168.0.202, и, соответственно, поэтому не получает пакет.
Видимо у Вас всё-таки НАТ на 10.0.0.1, раз ему ответ идёт.

traceroute -U -s 10.0.0.1 192.168.0.202 - покажет наглядно. Пинг - не показатель.
ded
 
Сообщений: 15803
Зарегистрирован: 26 авг 2010, 19:00

Re: OpenVPN+CISCO

Сообщение awsswa » 09 ноя 2017, 21:26

Классический маршрут не по умолчанию
Прозрачно
Не нужно прописывать адреса туннелей когда с обеих сторон маршруты клиентов смотрят на роутеры где подняты VPN маршруты
192.168.1.0/24 - VPN туннель 10.0.0.1 > 10.0.0.2 VPN туннель - 192.168.2.0/24

Не прозрачно
сеть 192.168.1.0/24
маршрут у все на 192.168.1.1
VPN туннель поднят не на 192.168.1.1 а на пример на 192.168.1.2
Тогда на все компьютерах которым доступ до сети 192.168.2.0/24
надо прописывать марштур
сеть 192.168.2.0/24 находится за 192.168.1.2
и это еще не все, та же надо писать маршрут до прозрачной VPN сети 10.0.0.0/24
сеть 10.0.0.0/24 находится за 192.168.1.2

PS вывод - не поднимайте VPN туннели не на роутерах по умолчанию
И это еще не все
Если со второй стороны 192.168.2.0/24 VPN клиент поднят тоже не на маршруте по умолчанию
головная боль распространяется и на вторую сторону.
платный суппорт по мере возможностей
awsswa
 
Сообщений: 2390
Зарегистрирован: 09 июн 2012, 10:52
Откуда: Россия, Пермь skype: yarick_perm

Re: OpenVPN+CISCO

Сообщение skynetyar » 10 ноя 2017, 12:16

Спасибо за ответы!

Код: выделить все
traceroute -U -s 10.0.0.1 192.168.0.202
traceroute to 192.168.0.202 (192.168.0.202), 30 hops max, 60 byte packets
1  10.0.0.2 (10.0.0.2)  4.101 ms  5.449 ms  5.450 ms
2  10.0.0.2 (10.0.0.2)  2999.324 ms !H  3040.365 ms !H  3040.373 ms !H


from\to у меня такой
1f4526990b.jpg
1f4526990b.jpg (117.57 KIB) Просмотров: 7053


http://joxi.ru/KAxn00BsM9q1om

Почему то транспорт UDP , а Mikrotik не умеет использовать udp совместно с openvpn , включил tcp в openvpn и на freepbx Enable TCP=yes
Всё знают и всё понимают только дураки да шарлатаны.(с)А.П Чехов.
skynetyar
 
Сообщений: 432
Зарегистрирован: 18 авг 2016, 14:25

Re: OpenVPN+CISCO

Сообщение ded » 10 ноя 2017, 12:50

Не операбельно, в морг.
ded
 
Сообщений: 15803
Зарегистрирован: 26 авг 2010, 19:00

Re: OpenVPN+CISCO

Сообщение skynetyar » 10 ноя 2017, 12:52

ded писал(а):Не операбельно, в морг.


Да что не так о5 ? ну тупенький, что сразу в морг то?
Объясните лучше делом что не так?
Всё знают и всё понимают только дураки да шарлатаны.(с)А.П Чехов.
skynetyar
 
Сообщений: 432
Зарегистрирован: 18 авг 2016, 14:25

Re: OpenVPN+CISCO

Сообщение ded » 10 ноя 2017, 13:05

Всё не так. Всё. Каждую цифру объяснять нет возможности. awsswa пытался (выше) Вы как будто не читали даже.
https://habrahabr.ru/post/233971/
https://habrahabr.ru/post/170895/
ded
 
Сообщений: 15803
Зарегистрирован: 26 авг 2010, 19:00

Re: OpenVPN+CISCO

Сообщение skynetyar » 14 ноя 2017, 17:17

Да вот именно, все не так, и не туда...

Все мои настройки OVPN и сети были верны, я надеюсь на это...
Проблема была во второй линии прописанной на вторую кнопку на телефоне CISCO 7970, ну и спасибо ded-у за намек про USECALLMANAGER, вычитал на забугорном сайте конфиг в котором и была такая рекомендация которую я и попробовал без других линий.
Код: выделить все
<proxy>USECALLMANAGER</proxy>

Что интересно что если оставить вторую линию и USECALLMANAGER то телефон уходит в циклический ребут.

На данный момент регистрация есть но проблема теперь другая..
Код: выделить все
sip show peers
Name/username             Host                                    Dyn Forcerport Comedia    ACL Port     Status      Description
706/706                   192.168.0.202                            D  No         No          A  20417    UNREACHABLE

и
Код: выделить все
ERROR[14577]: tcptls.c:1095 ast_tcptls_client_start: Unable to connect SIP socket to 192.168.0.202:20417: Connection refused


Звонки проходят в одну сторону, слышимость есть.

Подскажите если знакомы, в чем проблема?
Всё знают и всё понимают только дураки да шарлатаны.(с)А.П Чехов.
skynetyar
 
Сообщений: 432
Зарегистрирован: 18 авг 2016, 14:25

Re: OpenVPN+CISCO

Сообщение ded » 14 ноя 2017, 17:58

ast_tcptls_client_start - вы его подключили по ТСР, а надо по UDP.
Options (которые посылает сервер - transport=udp) не обрабатываются на цыскофоне, поэтому нет ответов, и Астериск ставит статус UNREACHABLE
ded
 
Сообщений: 15803
Зарегистрирован: 26 авг 2010, 19:00

Пред.След.

Вернуться в Вопросы новичков

Кто сейчас на форуме

Сейчас этот форум просматривают: Google [Bot] и гости: 20

© 2008 — 2024 Asterisk.ru
Digium, Asterisk and AsteriskNOW are registered trademarks of Digium, Inc.
Design and development by PostMet-Netzwerk GmbH