Страница 1 из 1

Asterisk и OpenVPN

Добавлено: 24 сен 2022, 21:41
cyjil
Всех приветствую! Буду рад, если поможете разобраться в проблеме.
Есть два офиса. В одном - OpenVPN сервер - 192.168.1.176, в другом OpenVPN клиент (все сделано на ubuntu) - 192.168.1.36.
В обоих офисах одна подсеть - 192.168.1.0/24
В главном офисе (в котором стоит сервер OpenVPN) есть АТС (Астериск), её IP - 192.168.1.100
Во втором офисе стоят телефоны, которые до этого прекрасно работали с этой АТС под внешнему IP (DNAT).
Так как подсети в офисах одинаковые, пришлось делать NETMAP.
Конфигурация iptables NAT OVPN сервера:
-A PREROUTING -d 192.168.2.0/24 -i tun0 -j NETMAP --to 192.168.1.0/24
-A POSTROUTING -s 10.8.0.0/24 -o ens18 -j MASQUERADE
Конфигурация iptables NAT OVPN клиента:
-A POSTROUTING -o tun0 -j MASQUERADE
Соответственно, в локальной сети клиента есть несколько устройств, маршрут до 192.168.2.0/24 им известен
С устройства 192.168.1.120 (со стороны клиента) АТС пингуется, порты tcp 80, udp 5060 доступны, SIP клиент регистрируется.
Теперь к проблеме: при осуществлении звонка на сотовый, звонок приходит, но слышимость нулевая, то есть никто никого.
Я снял tcpdump на АТС и вот что там увидел:
ARP, Request who-has 192.168.1.120 tell 192.168.1.100, length 46
Понятно, что проблема в этом, но не понятно почему АТС посылает ARP запросы для определения MAC адреса 192.168.1.120, ведь и на OVPN клиенте, и на OVPN сервере настроен маскарад.
P.s. iptables filter пустой с обеих сторон (в тестовых целях).
P.s.s. если подключиться, допустим, с винды к OVPN серверу и позвонить через АТС, то все прекрасно, видно что маскарад срабатывает, так как подключение к RTP портам проходит через интерфейс OVPN сервера.

Re: Asterisk и OpenVPN

Добавлено: 29 сен 2022, 09:39
cyjil
Тему можно закрывать, более не актуально.

Re: Asterisk и OpenVPN

Добавлено: 29 сен 2022, 09:42
ded
cyjil писал(а):В обоих офисах одна подсеть - 192.168.1.0/24
Это принципиальная ошибка.
Изучите теоретическую схему соединений VPN site-to-site 192.168.1.0/24 || 100.200.200.100 - - - - 1.2.3.4 || 192.168.2.0/24
Подсети должны быть разные. Тестировать трассу через tracert или mtr из хоста одной в другую,
должно быть два хопа.
cyjil писал(а):Тему можно закрывать, более не актуально.
Эту тему не надо было и открывать.