Андрей
В Вашем примере все хосты остались в рамках 10.0.0.0-10.0.0.255
Андрей
Но VPN пул всё равно где-то в серединке оказался... И LAN_NET его перекрывает...
Sergey
Ну в какую степь копать вы теперь знаете)
Sergey
Вообще когда пул в LAN сети и эта сеть больше чем /24 обязательно будут косяки, в этом случае надо выносить пул в отдельную сеть
Андрей
Это прекрасно... И да, это работает... Но проблема осталась на месте... Пока один ВПН клиент подключён, ему все доступно, все ресурсы и хосты... Стоит подключиться второму клиенту (а подключение проходит нормально), так ресурсов ему не видать пока первый клиент не отключится...
Sergey
Это прекрасно... И да, это работает... Но проблема осталась на месте... Пока один ВПН клиент подключён, ему все доступно, все ресурсы и хосты... Стоит подключиться второму клиенту (а подключение проходит нормально), так ресурсов ему не видать пока первый клиент не отключится...
клиенты подключаются случайно не с одного внешнего IP?
Андрей
В рамках эксперемента, два с одного и один с другого..
Sergey
Вот когда с одного, тут возможны разные чудеса при не кривом NAT
Sergey
В логах что?
Андрей
Сейчас пингуется постоянно клиент из очень-очень далека... И за стенкой стоит второй клиент, который выходит с другого IP провайдера... Тоже пингуется постоянно, но пингов нет... Ковыряю шлюзик, и смотрю как меняется картинка...
Sergey
Странно сценарий отработан, первый раз слышу про такую ситуацию
Андрей
Пингую безответно "172.16.3.2"
В журнале по выборке "назначение - 172.16.3.2"
arp_access_allowed_expect
access_allow
Андрей
И что-то страшшшное...
Андрей
hwsender=e0-69-95-35-58-cf hwdest=00-00-00-00-00-00 arp=request srcenet=e0-69-95-35-58-cf destenet=5c-d9-98-49-c1-13
Sergey
Андрей
5c-d9-98-49-c1-13 - это шлюз
Sergey
Вообще когда пул в LAN сети и эта сеть больше чем /24 обязательно будут косяки, в этом случае надо выносить пул в отдельную сеть
Sergey
это я выше написал
Андрей
Да-да... Видел...
Андрей
Просто чайник греется...
Андрей
Так не охота IP план менять...
Андрей
Опять...
Андрей
Но кстати не факт...
Sergey
При переносе пула, обяхательно выключить ARP прокси в настройках PPPTP
Андрей
Есть такая мулька-програмулька ZeroTier One. До 100 машин бесплатно, так что всё легально... Завёл в ней сеточку, и всё как бы гуд, НО абсолютно таже картина что и с DFL. Находится один клиент с пингом около 10мс, у остальных клиентов пинг меньше 300с не опускается...
Андрей
При переносе пула, обяхательно выключить ARP прокси в настройках PPPTP
В смысле при выносе ВПН пула за рамки LAN_NET?
Sergey
Lf
Sergey
Да
Микола
Еще можно pptp и лан в один бридж засунуть, но тогда может другое вылезти
Андрей
Группы интерфейса?
Sergey
ЭЭЭ чувствую себя печатающим мануалом)
Ravik
Может кто в теме VOIP: DLINK DVG-6004s при звонке сигнал из него попадает в астериск гдето через 7-10 сек. все это время у абонента идут нормальные гудки. Длинк и серв Астериск в одной сети, пинг нормальный. В чем может быть проблема?
Mike
шел 2018 год, люди продолжали плакать, но есть PPTP)
Андрей
Может кто в теме VOIP: DLINK DVG-6004s при звонке сигнал из него попадает в астериск гдето через 7-10 сек. все это время у абонента идут нормальные гудки. Длинк и серв Астериск в одной сети, пинг нормальный. В чем может быть проблема?
В целях саморазвития, это некий VoIP шлюз, настроенный на подключение к астериску? У шлюза есть своя вебморда с настройками? На астериске не прописана никакая группа вызова с указанием переключаться на неё если не берут трубку 10-15 секунд?
Sergey
шел 2018 год, люди продолжали плакать, но есть PPTP)
Как бы у PPTP при всех недостатках есть и достоинства)
Mike
Да, оно называет GRE и используется отдельно для STS)
Sergey
Может кто в теме VOIP: DLINK DVG-6004s при звонке сигнал из него попадает в астериск гдето через 7-10 сек. все это время у абонента идут нормальные гудки. Длинк и серв Астериск в одной сети, пинг нормальный. В чем может быть проблема?
как бы VoIP не моя тема, но первое что я бы проверил.. снял дамп и псмотрел идет ли с телефона RTP поток, если не идет, то к нам в ТП контакты я дам, если не идет.. то капать стерикс..
Mike
и вашей инфраструктуры
Sergey
OpenVPN планируется в новых файриках, но это уже будут другие файрики
Mike
Если для удаленьщиков, почему бы не L2TP?
Ravik
В целях саморазвития, это некий VoIP шлюз, настроенный на подключение к астериску? У шлюза есть своя вебморда с настройками? На астериске не прописана никакая группа вызова с указанием переключаться на неё если не берут трубку 10-15 секунд?
Да, это воип шлюз. С вебмордой, смотрит на Астериск. В Астере вроде все по дефолту. Таких групп нет.
Sergey
А почему не ipsec?
Mike
Если это филиальные сессии, то gre over IPsec
Mike
ну это так, по минимуму)
Андрей
Я жру PPTP потому как на дворе конец 2018, а мы всё на 2008r2 сидим и на DFL-260E... На отдельном сервачке крутился ранее TMG 2010... Но сервачёк я забрал, ибо есть ужо железяка которая ВПН умеет...
Mike
Это все да, но техдолг это техдолг и чем больше тянуть с ним, тем сильнее он накапливается)
Андрей
Про L2TP и IPSec, ситуация такова что штатный ВПН клиент на Виндовсе 7, не заточен под настройки безопасности DFL-260E с русской прошивкой... WW использовать низя... Закон нам запрещает сильно шифроваться...
Sergey
Как бы у PPTP есть и достоинство.. напимер он работает по TCP, что есть хорошо на соединениях где потеря пакетов ситуация естественная, а на TCP у нас есть логический контроль доставки...
Sergey
Но при этом есть и не достаток.. GRE/... есть там такая нехорошая вещь называется seq num
Sergey
и если пакет задержался шейпером или в буфере.. приходит не вовремя, то он считается потерянным..
Sergey
это может быть БОЛЬШИМ гемороем.
Sergey
ббр.. вспоминаю как дебажил такую ситуацию и как пришлось грызть RFC по GRE
Mike
вроде мне помнится что OpenVPN и l2tp можно пустить по TCP порту
Sergey
L2TP работает только UDP, вот с openVPN спросить не буду, не помню
Mike
l2tp\ipsec точнее
Sergey
и эти протоколы к TCP или UDP отношения не имею..
Mike
AH для аутентификации, транспорт ESP
Sergey
не имеют
Mike
хотя можно и аутентификацию силами esp осуществлять
Sergey
AH для аутентификации, транспорт ESP
Вообщето AH можно использовать в траспортном режиме и он не поддерживает инкапсуляцию, но при этом лучше защищает.
Sergey
вот ESP хоть так, хоть эдак
Sergey
и это все "ходит" поверх IP, TCP или UDP там вообще не пахнет. Достаточно снять дамп сразу все видно
Mike
-_-
Mike
действительно, не до конца разобрался я похоже, по TCP\UDP ходит только 1 фаза пока обмен IKE идет, дальше заголовок ipsec сразу за заголовком ip ставится)
Sergey
Sergey
вот дамп, обмен трафиком по IPSec снял только что)
Sergey
используется для передачи ESP
Sergey
Где здесь TCP или UDP
Sergey
если брать протокол IKE то он имеет отношение к IPsec опосредованно, можно в ручном режиме настроить и без него)
Mike
Но таки использовать в 2018 для клиентского доступа PPTP больновато
Sergey
при помощи IKE у нас происходит аутентификация конечных точек и согласование политик безопасности.
Mike
Минус новая техника эпла, плюс гемор с пробросом портов для конечных пользователей
Sergey
самому IPSec для работы IKE не нужен.
Mike
Но без IKE IPsec крайне не админфрендли решение.