vpn tra zeroshell e mikrotik rb 750

[matly006]

buona sera a tutti, sto tentando di configurare una vpn tra zeroshell e mikrotik rb750 atttraverso openvpn. zeroshell farà da server mentre la 750 da client. la vpn viene instaurata, anche perchè nel menù VPN-show client vedo il client collegato con il relativo ip assegnato da zeroshell. il problema è il seguente: lanciando un ping da ZS (192.168.250.254) verso la rb750 (192.168.250.1), non c'è nessun passaggio di pacchetti e non riesco a capire il perchè. nei log di vpn di ZS c'è il seguente testo:

5.99.128.XX:34321 [fabro@MATLY] Trying Kerberos 5 (Local KDC) authentication
17:51:44 5.99.128.XX:34321 [fabro@MATLY] Successfully authenticated
17:51:44 5.99.128.XX:34321 WARNING: 'link-mtu' is used inconsistently, local='link-mtu 1576', remote='link-mtu 1575'
17:51:44 5.99.128.XX:34321 WARNING: 'comp-lzo' is present in local config but missing in remote config, local='comp-lzo'
17:51:44 5.99.128.XX:34321 [fabro] Peer Connection Initiated with 5.99.128.XX:34321
17:51:44 5.99.128.XX:34321 [fabro] Virtual IP automatically assigned: 192.168.250.1
17:51:44 fabro/5.99.128.XX:34321 Bad LZO decompression header byte: 255
17:51:44 fabro/5.99.128.XX:34321 Bad LZO decompression header byte: 1
17:51:45 fabro/5.99.128.XX:34321 Bad LZO decompression header byte: 255
17:51:45 fabro/5.99.128.XX:34321 NOTE: --mute triggered....

può causare questo malfunzionamento?

grazie a tutti

[matly006]

ho letto solamente ora nelle wiki questo:

Note: RouterOS supports only TCP mode. LZO compression is not supported and username/password authentication is required

quindi credo che non si puo fare?.......

[piciccia]

Ma è proprio necessario usare Zeroshell come server ? Usa Mikrotik !

C.

[matly006]

no non è necessario che utilizzo ZS, ma per il momento è l'unico sistema che ho e che funziona come serve a me. ti spiego:
ho un server asterisk con ip 192.168.3.193

3 sedi remote collegate con 1 omnitik e le 5hnd, con ip rispettivamente:
sede 1: 192.168.10.0/24
sede 2: 192.168.20.0/24
sede 3: 192.168.30.0/24

ho provato in questo modo nella rb750:
porta 1: internet 192.168.1.20 gw: 192.168.1.254
porta 2: collegamento con omnitik 192.168.2.100 verso le 5hnd
porta 3: lan locale 192.168.3.1
ho attivato il masquerate per far si che i pc provenienti dalle cpe remote possano navigare

ora, tutti i telefoni remoti provenienti dalle 5hnd, in asterisk si vedono registrati con ip 192.168.3.1 (quindi la ether3) e non con il loro indirizzo locale, es. 192.168.10.200.

immagino che esista una soluzione, non so quale, anche perchè lo stesso problema lo trovo con i telefoni dietro vpn che si presentano anche loro con ip differente da quello reale

grazie

massimiliano

[debiano]

Scusa se mi permetto il piccolo sfogo ma non so come facciate ad usare un software che dopo anni e anni ancora è fermo ad una Release Candidate e non hai MAI visto una versione Stable. Sono rimasti in beta per secoli e ora sono fermi da secoli alla RC. Comunque tornando al post, puoi fare tutto tranquillamente con MK e viste le esigenze (non so se zeroshell lo fai girare su pc o su una qualche board) puoi evitare tranquillamente un'architettura x86 e risparmi pure di corrente. Mi pare di aver capito che le sedi comunque passano da una sede centrale quindi sono già connesse a L2 e volendo potresti anche evitare proprio la VPN. Spero di aver capito bene l'architettura.

Ciauz

[piciccia]

Fai tutto con RouterOS ed una RB951 o RB2011.
Spendi meno, consumi meno elettricità, è più stabile, è più facile da utilizzare ecc
Ho già installato dei telelavoratori di un call-center che usano un PBX in VPN in una datacenter.
Alcuni telefoni hanno il VPN client integrato.

Saluti
C.

[frank]

Concordo con piciccia usat tutto mikrotik e vivi felice e fai molte piu cose di una zeroshell,pfsense ipcop ecc.. in piu se usi telefoni voip come snom o yealink alcuni modelli hanno il client openvpn integrato.
cmq se hai problemi scrivi pure sono esperto di asterisk ed ho già fatto config simili alla tua :-)

[cicciom]

matly006 hai un pm per favore mi rispondi?

buona sera a tutti, sto tentando di configurare una vpn tra zeroshell e mikrotik rb750 atttraverso openvpn. zeroshell farà da server mentre la 750 da client. la vpn viene instaurata, anche perchè nel menù VPN-show client vedo il client collegato con il relativo ip assegnato da zeroshell. il problema è il seguente: lanciando un ping da ZS (192.168.250.254) verso la rb750 (192.168.250.1), non c'è nessun passaggio di pacchetti e non riesco a capire il perchè. nei log di vpn di ZS c'è il seguente testo:

5.99.128.XX:34321 [fabro@MATLY] Trying Kerberos 5 (Local KDC) authentication
17:51:44 5.99.128.XX:34321 [fabro@MATLY] Successfully authenticated
17:51:44 5.99.128.XX:34321 WARNING: 'link-mtu' is used inconsistently, local='link-mtu 1576', remote='link-mtu 1575'
17:51:44 5.99.128.XX:34321 WARNING: 'comp-lzo' is present in local config but missing in remote config, local='comp-lzo'
17:51:44 5.99.128.XX:34321 [fabro] Peer Connection Initiated with 5.99.128.XX:34321
17:51:44 5.99.128.XX:34321 [fabro] Virtual IP automatically assigned: 192.168.250.1
17:51:44 fabro/5.99.128.XX:34321 Bad LZO decompression header byte: 255
17:51:44 fabro/5.99.128.XX:34321 Bad LZO decompression header byte: 1
17:51:45 fabro/5.99.128.XX:34321 Bad LZO decompression header byte: 255
17:51:45 fabro/5.99.128.XX:34321 NOTE: --mute triggered....

può causare questo malfunzionamento?

grazie a tutti

[matly006]

ho seguito la scelta da voi indicata, anche perchè in ZS non riesco a disabilitare il componente LZO. riesco a far funzionare la vpn e i telefoni remoti tranne come scritto nel post precedente :

--ora, tutti i telefoni remoti provenienti dalle 5hnd, in asterisk si vedono registrati con ip 192.168.3.1 (quindi la ether3) e non con il loro indirizzo locale, es. 192.168.10.200.

non crea problemi rilevanti, ma con nagios tengo sotto controllo il ping e la registrazione e, ricevendo risposte dall'ip della rb750, nagios non la interpreta...

[frank]

Il comportamento dell'ip è normale vuol dire che hai configurato una regola di nat per cui l'utente vpn si presenta con l'ip dell'interfaccia che attraversa ma volendo questa cosa si può risolvere, se la mikrotik è il gateway del tuo asterisk non c'è bisogno del nat e quindi i tuoi client si presenteranno con il proprio ip.