1.6 тыс. просмотров
от (330 баллов) в категории Тонкая настройка
Добрый день. В последних обновлениях включили OpenVPN, и я хотел бы уточнить, кто нибудь внедрял себе VPN, на сколько он стабилен? Есть ли какие нибудь инструкции, или там все стандартные команды? и Еasy-rsa какой версии используется?
от (1.4 тыс. баллов)
Добрый день!

Есть такой опыт, всё достаточно просто - скопировать конфиг через кастомизацию файлов - openvpn.ovpn - выбрать режим заменять полностью (хотя можно и дописывать в конец файла) и перезапустить атс. После перезагрузки применится настройка и openvpn клиент запустится.

Встроен только сам клиент, сервера нет.
от (700 баллов)
Обнаружил нюанс при написании конфига для openvpn - параметры user  и group нужно указать root, т.к. обычных пользователей nobody и nogroup нет в системе.
от (160 баллов)
пожалуйста покажите рабочий конфиг, уже третий день не могу настроить подключение.
от (100 баллов)
client
dev tun
proto tcp
remote 111.1111.1111 88888
tls-client
tls-cipher "DEFAULT:@SECLEVEL=0"
cipher AES-256-CBC
auth MD5
comp-lzo
tun-mtu 1500
mssfix 1450
verb 3
<ca>
-----BEGIN CERTIFICATE-----

-----END CERTIFICATE-----
</ca>
<cert>
-----BEGIN CERTIFICATE-----

-----END CERTIFICATE-----
</cert>
<key>
-----BEGIN PRIVATE KEY-----

-----END PRIVATE KEY-----
</key>
<tls-auth>
-----BEGIN OpenVPN Static key V1-----
-----END OpenVPN Static key V1-----
</tls-auth>
key-direction 1

1 Ответ

от (122 тыс. баллов)

Как ответил " " настройка сводится к настройке на АТС  файла "openvpn.ovpn".

Это возможно сделать через меню "Кастомизация системных файлов". Работает нормально, нареканий не обнаружил. 

Используется клиент openvpn версии 2.4.0. 

"Еasy-rsa какой версии используется"

Это где посмотреть можно? 

от (330 баллов)
это можно посмотреть только на сервере OpenVPN, мне нужен был сервер, но я понял что пока сервера нету...
от (122 тыс. баллов)
пока нет планов в сборке пакета с сервером OpenVPN.
от (700 баллов)

Добрый день, в какой то момент времени (каюсь - прозевал) АТС перестала подключаться через OpenVPN к соседней Астериск. При ручном запуске в консоли видно, что соединение устанавливается, а устройство (сетевая карта не создается).

~# openvpn /etc/openvpn.ovpn

2021-09-28 12:07:09 WARNING: Compression for receiving enabled. Compression has been used in the past to break encryption. Sent packets are not compressed unless "allow-compression yes" is also set.

2021-09-28 12:07:09 DEPRECATED OPTION: --cipher set to 'AES-128-CBC' but missing in --data-ciphers (AES-256-GCM:AES-128-GCM). Future OpenVPN version will ignore --cipher for cipher negotiations. Add 'AES-128-CBC' to --data-ciphers or change --cipher 'AES-128-CBC' to --data-ciphers-fallback 'AES-128-CBC' to silence this warning.

2021-09-28 12:07:09 OpenVPN 2.5.0 x86_64-t2-linux-gnu [SSL (OpenSSL)] [LZO] [LZ4] [EPOLL] [MH/PKTINFO] [AEAD] built on Sep 16 2021

2021-09-28 12:07:09 library versions: OpenSSL 1.1.1i  8 Dec 2020, LZO 2.10

2021-09-28 12:07:09 Outgoing Control Channel Authentication: Using 256 bit message hash 'SHA256' for HMAC authentication

2021-09-28 12:07:09 Incoming Control Channel Authentication: Using 256 bit message hash 'SHA256' for HMAC authentication

2021-09-28 12:07:09 TCP/UDP: Preserving recently used remote address: [AF_INET]192.168.0.219:1194

2021-09-28 12:07:09 Socket Buffers: R=[212992->212992] S=[212992->212992]

2021-09-28 12:07:09 UDP link local: (not bound)

2021-09-28 12:07:09 UDP link remote: [AF_INET]192.168.0.219:1194

2021-09-28 12:07:09 NOTE: UID/GID downgrade will be delayed because of --client, --pull, or --up-delay

2021-09-28 12:07:09 TLS: Initial packet from [AF_INET]192.168.0.219:1194, sid=264b97c8 16bfecdc

2021-09-28 12:07:09 VERIFY OK: depth=1, C=RU, ST=52, L=NN, O=KS, OU=IT, CN=asterisk, name=asterisk, emailAddress=**********

2021-09-28 12:07:09 VERIFY KU OK

2021-09-28 12:07:09 Validating certificate extended key usage

2021-09-28 12:07:09 ++ Certificate has EKU (str) TLS Web Server Authentication, expects TLS Web Server Authentication

2021-09-28 12:07:09 VERIFY EKU OK

2021-09-28 12:07:09 VERIFY OK: depth=0, C=RU, ST=52, L=NN, O=KS, OU=IT, CN=asterisk, name=asterisk, emailAddress=********

2021-09-28 12:07:09 Control Channel: TLSv1.2, cipher TLSv1.2 DHE-RSA-AES256-GCM-SHA384, 2048 bit RSA

2021-09-28 12:07:09 [asterisk] Peer Connection Initiated with [AF_INET]192.168.0.219:1194

2021-09-28 12:07:10 SENT CONTROL [asterisk]: 'PUSH_REQUEST' (status=1)

2021-09-28 12:07:10 PUSH: Received control message: 'PUSH_REPLY,route 10.8.0.1,topology net30,ping 10,ping-restart 120,ifconfig 10.8.0.6 10.8.0.5'

2021-09-28 12:07:10 OPTIONS IMPORT: timers and/or timeouts modified

2021-09-28 12:07:10 OPTIONS IMPORT: --ifconfig/up options modified

2021-09-28 12:07:10 OPTIONS IMPORT: route options modified

2021-09-28 12:07:10 Using peer cipher 'AES-128-CBC'

2021-09-28 12:07:10 Outgoing Data Channel: Cipher 'AES-128-CBC' initialized with 128 bit key

2021-09-28 12:07:10 Outgoing Data Channel: Using 256 bit message hash 'SHA256' for HMAC authentication

2021-09-28 12:07:10 Incoming Data Channel: Cipher 'AES-128-CBC' initialized with 128 bit key

2021-09-28 12:07:10 Incoming Data Channel: Using 256 bit message hash 'SHA256' for HMAC authentication

2021-09-28 12:07:10 net_route_v4_best_gw query: dst 0.0.0.0

2021-09-28 12:07:10 net_route_v4_best_gw result: via 192.168.250.1 dev eth0

2021-09-28 12:07:10 ERROR: Cannot open TUN/TAP dev /dev/net/tun: No such file or directory (errno=2)

2021-09-28 12:07:10 Exiting due to fatal error

На ответной стороне (на стороне Астериск) в логах тоже видно, контакт есть (т.е. в сетевой части проблем нет).

OpenVPN CLIENT LIST

Updated,Tue Sep 28 12:12:17 2021

Common Name,Real Address,Bytes Received,Bytes Sent,Connected Since

mikopbx,192.168.6.1:60405,4575,5135,Tue Sep 28 12:12:06 2021

ROUTING TABLE

Virtual Address,Common Name,Real Address,Last Ref

10.8.0.6,mikopbx,192.168.6.1:60405,Tue Sep 28 12:12:15 2021

GLOBAL STATS

Max bcast/mcast queue length,0

END

Обновление до версии  2021.3.86 не помогло.

от (122 тыс. баллов)

В актуальной версии, ядре не включена поддержка "Universal tun/tap device driver support". 

Поправим. 

На этом сайте можно бесплатно задать вопрос разработчикам MikoPBX и другим членам сообщества. Время ответа не регламентированно, но мы стараемся несколько раз в день заглядывать сюда. Для срочного решения проблем обращайтесь на платную линию поддержки

Популярные теги

askozia входящие-вызовы настройка исходящие маршрутизация провайдер запись-разговоров входящие ivr исходящие-звонки обновление ошибка очередь провайдеры битрикс24 очередь-вызовов переадресация запись установка маршрут история-звонков mikopbx транк панель-телефонии-1с перевод-вызова перевод askozia7 askozia6 битрикс callerid интеграция голосовая-почта логи перехват-вызова ростелеком нерабочее-время факс модуль nat docker запись-разговора веб-интерфейс bitrix24 goip настройка-провайдер история диалплан почта журнал-звонков релиз gsm вызовы звонок внешние-номера web-интерфейс zabbix маршруты cdr sip панель pjsip переадресация-мобильный voicemail ascozia телефонная-книга аон мобильный звонков лицензирование вызовов редактор номер asterisk лицензия ami регистрация оповещения провайдеров время голосовая fax trunk разговоров группы-пользователей #mikopbx пропущенные-звонки донабор beeline monitoring тишина smtp cisco мобильные мультифон мегафон шлюз не-работает электронная-почта не-слышно-звук

2.8 тыс. вопросов

2.4 тыс. ответов

6.7 тыс. комментариев

465 тыс. пользователей

...