LINUX.ORG.RU
ФорумAdmin

Низкая скорость по каналу OpenVPN


0

2

я вроде бы как не одинок так как сталкивался с вопросами на эту тему, все из найденного перепробовал но скорость не увеличилась.

И так.

Есть три узла между которыми подняты openVPN простенький конфиг со статическим ключем. Проблема с одним из узлов. Если я мерию скорость между ним и любым другим без vpn то получаю около 3 мбит/сек что вроде как соответствует скорости заявленной провайдером а через vpn? скорость 0.6-0.7 Мбит/сек Скорость замеряю iperf, wget, ftp.

конфиг сервера:

dev tun0
port 6004
remote xxx.yyy.zzz.nnn
daemon
proto udp
fast-io
tun-mtu 1496
ifconfig 10.1.15.1 10.1.15.2
secret /etc/openvpn/key.txt

Конфиг клиента:

dev tun3
port 6004
dev tun3
ifconfig 10.1.15.2 10.1.15.1
secret /etc/openvpn/key.txt
daemon
verb 3

Пробовал и tcp и udp толку нет никакого,пробовал и fast-io и tun-mtu нет толку. Думал что комп у меня не тянет, старый зубр 12 летний, поменял на новый резервный, но картина не улучшилась. провайдер поднимал временно скорость до 10 мбит, через VPN скорость соответсвенно увеличилась но так же он скорости интернет соединения далека.

Посоветуйте коллеги в какую сторону копать

Ответ на: комментарий от BOOBLIK

А что не нравится?

Строчку можно убрать? Скорость повысится? ;)

А без этого не работает!

alex_sim ★★★ ()
Последнее исправление: alex_sim (всего исправлений: 1)
Ответ на: комментарий от blind_oracle

Про нагрузку на узлы я и думал ( а зря)

TOP казал нормальную нагрузку. Сейчас поставил одинаковые компы везде и самая большая нагрузка на проц до 2%

alex_sim ★★★ ()



iperf не показывает потерь или значительного переупорядочивания udp пакетов в какую-либо сторону?

Если переключиться на tcp, скорость не возрастает до более адекватной?

selivan ★★★ ()
Ответ на: комментарий от blind_oracle

Добвил все это в конфиг и сервера и клиента

не понимая для чего это, скорость та же!

alex_sim ★★★ ()
Ответ на: комментарий от selivan

после того как добавил строки которые посоветовали выше

в логах появилось:

Thu Feb 27 13:38:10 2014 FRAG_IN error flags=0x45000030: spurrious FRAG_WHOLE flags
Thu Feb 27 13:38:10 2014 FRAG_IN error flags=0x45000034: spurrious FRAG_WHOLE flags
Thu Feb 27 13:38:12 2014 FRAG_IN error flags=0x45000038: spurrious FRAG_WHOLE flags
Thu Feb 27 13:38:12 2014 FRAG_IN error flags=0x45000038: spurrious FRAG_WHOLE flags
Thu Feb 27 13:38:12 2014 FRAG_IN error flags=0x45000038: spurrious FRAG_WHOLE flags
Thu Feb 27 13:38:13 2014 FRAG_IN error flags=0x45000034: spurrious FRAG_WHOLE flags
Thu Feb 27 13:38:14 2014 FRAG_IN error flags=0x4500006b: FRAG_TEST not implemented
Thu Feb 27 13:38:14 2014 FRAG_IN error flags=0x4500006b: FRAG_TEST not implemented
Thu Feb 27 13:38:14 2014 FRAG_IN error flags=0x45000038: spurrious FRAG_WHOLE flags
Thu Feb 27 13:38:16 2014 FRAG_IN error flags=0x45000030: spurrious FRAG_WHOLE flags
Thu Feb 27 13:38:17 2014 FRAG_IN error flags=0x45000038: spurrious FRAG_WHOLE flags
Thu Feb 27 13:38:17 2014 FRAG_IN error flags=0x45000038: spurrious FRAG_WHOLE flags
Thu Feb 27 13:38:17 2014 FRAG_IN error flags=0x45000038: spurrious FRAG_WHOLE flags
Thu Feb 27 13:38:19 2014 FRAG_IN error flags=0x45000038: spurrious FRAG_WHOLE flags

А до этого ничего особенного, vpn работает уже годами, случано как то обнаружил что скорость так разнится и стал себе расчесывть.

alex_sim ★★★ ()
Ответ на: комментарий от selivan

Это от железа зависит :) А так же от загрузки процессора и приоритета. Если задушить опенвпн другим процессом, то может и упереться. А так у меня роутер Linksys WRT54G легендарный шифровал 700кбайт\сек как раз :)

blind_oracle ★★★★★ ()
Ответ на: менять tcp на udp пробовал от alex_sim

А если качать по HTTPS на нестандартном порту - какая скорость? В обе стороны померить. Потому что тоже SSL+нагрузка. Если нормальная - проблема в настройке OpenVPN

selivan ★★★ ()
Ответ на: комментарий от selivan

А если качать по HTTPS на нестандартном порту - какая скорость?

Простите это я так понимаю тянуть wget ом не по 443 порту а какой нибуть 4443 тестовый файл?

А что не так настроено в OpenVPN?

alex_sim ★★★ ()
Ответ на: комментарий от blind_oracle

Загрузка процессора смешная

а подробнее про приоритет? И какой например процесс может задушить OpenVPN?

alex_sim ★★★ ()

Как минимум привести обе стороны коннекта к единому виду, например вот у меня:

Сервер:

dev tap0
proto udp
port 1195
topology subnet

mlock
nice -19
fast-io

ifconfig 192.168.254.25 255.255.255.252

mtu-disc maybe
tun-mtu 1500
fragment 1300
mssfix 1300

keepalive 10 120

secret openvpn.key

auth SHA1
cipher AES-128-CBC

user root
group root

persist-key
persist-tun

status /var/log/openvpn-status.log
verb 3

А клиент отличается только другим ifconfig и port xxx заменен на remote xxx port

Ну и попробовать на tap поменять как у меня выше - может поможет.

blind_oracle ★★★★★ ()
Ответ на: Низка скорость как у VPN от alex_sim

Меряй в обе и с нестандартными портами - лучше с теми же, что используешь для VPN.

Если воспроизведётся - 95% процентов вероятности, что провайдер как-то режет/ограничивает SSL.

Проводи тестирование, результаты - провайдеру, максимум информации, чтробы быстрее пробиться через первый уровень поддержки.

Иногда проще купить у них L2 VPN и внутри него пробросить свой.

selivan ★★★ ()
Ответ на: комментарий от blind_oracle

Так ничем вроде бы у меня конфиг клиента от сервера и не отличается

кроме dev и ifconfig. Убей не вижу разницы. И еще, у меня еще две точки с такими же настройками и там все нормально... одна правда точка за ADSL и в одну сторону я ей прощаю 1мбит за асинхронность ADSL но 5 Мбит кажет в другую сторону честно.

Особо крутить VPN не могу, народ его активно юзает.

Но навели меня на мысль поднять какой нибуть левый исключительно для своих экспериментов.... спасибо.

Однако тема не закрыта. Продолжаю принимать советы.

alex_sim ★★★ ()
Ответ на: комментарий от ValdikSS

Возникла такая мысля! И я ручками на tun интерфейсах ifconfig ом

выставил txqueuelen 1000 - скорость осталась на том же уровне...

alex_sim ★★★ ()

Ну тут что-то уже из мира магии, я бы грешил на провайдера, возможно он шейпит нестандартные порты. Я бы попробовал еще ipsec+gre вместо openvpn как более стандартное решение, но там нужно чтобы все узлы имели белые адреса, статические.

blind_oracle ★★★★★ ()
Ответ на: Белые и статические адреса есть у нас. от alex_sim

Порты в районе 6000 это обычно торренты или IRC чаты через которые тоже варез качают, видать пров не любит их.

По ipsec всё просто, ставишь StrongSWAN, там:

# cat /etc/ipsec.conf
conn %default
    keyingtries=%forever
    authby=secret
    mobike=no
    keyexchange=ikev2
    compress=yes
    type=transport

    closeaction=clear
    dpdaction=restart
    dpddelay=60s

    auto=start

conn xxx
    left=1.1.1.1
    right=2.2.2.2

# cat /etc/ipsec.secrets
2.2.2.2 : PSK "megasuperpassword"

Ну и туннели потом, как айписек заработает:

ip tunnel add gre0 remote 2.2.2.2 local 1.1.1.1 ttl 64
ip address add dev gre0 192.168.0.1 peer 192.168.0.2
ip link set dev gre0 mtu 1400 up

На обоих хостах конфигуришь просто симметрично.

blind_oracle ★★★★★ ()
Ответ на: комментарий от blind_oracle

Видимо так

попробую поднять на 1195 порту, если не получится буду рыть в сторону ipsec и gre. Но вроде как скорость на 1195 нормальная! но почему то только на UDP, попробовал tcp скорость низкая.

Спасибо коллеги!

alex_sim ★★★ ()
Ответ на: комментарий от blind_oracle

Такое ощущение что кто то режет специально.

поднял тестовый VPN на 1195 вижу скорость 3 мбит, начинаю крутить по всякому (tcp -udp) и в какой то момент опять 0.7 возврашаюсь с первоначальному конфигу на котором видел 3 мбит... и там уже 0.7

видимо кто то с провайдеров....Зачем? заставить у меня купить услугу?

сейчас пошукаю рядом порты и буду мерить скорость на одном конфиге, до тех пор пока она не зарежется.

alex_sim ★★★ ()
Ответ на: комментарий от blind_oracle

Соединение естеблишед а интерфейса GRE нет ни с одной стороны

мож для него еще что то требуется?

alex_sim ★★★ ()
Ответ на: комментарий от blind_oracle

Блин точно поднимается gre, я лоханулся видимо не все сделал

на первую команду что то вывела я и стопорнул. Сорри лоханулся.

Но вот почему то с одной стороны у меня после запуска strongswan почему то перестает работать внешняя сетевушка и работающие openvpn, вроде пока поднимаю толтко gre с обоих сторон и никаких маршрутов на сетки, но перестает рабботать внешняя сетевушка... нет мыслей что я мог еще накосячить? с одно строны запуск strongswan с другой строны....пока не отключу

alex_sim ★★★ ()

Strongswan делает ipsec-соединение между двумя хостами, если не запустить с обоих сторон его то траффик может между этими двумя IP и не ходить.

Запусти с обоих концов и покажи ipsec statusall с двух серверов.

blind_oracle ★★★★★ ()
Ответ на: комментарий от blind_oracle

А внешние IP тоже могут не отвечать при запущенном Strongswan?

Фига себе! а как мне работать и отлаживать? у меня народ пользует активно openVPN, но как только поднимаю ipsec так перестает работать все пока не залезу с третьего ipшника и не остановлю strongswan на удаленном.

Вот это засада! а если у меня не было третьего внешнего плацдарма.... запустил ipsec и все? кури бамбук? А что ему надо в iptables, у меня все запрешено и надо что то открывать. Я так понимаю 500 порт и протокол Gre те 47?

alex_sim ★★★ ()

Strongswan ничего сам по себе не блокирует. У меня нет никаких проблем с этим. Еще раз говорю - покажи конфиги Strongswan, вывод ipsec statusall, правила файрволла с обоих концов.

blind_oracle ★★★★★ ()
Ответ на: комментарий от blind_oracle

А у меня почему то блокируется внешний IP удаленной стороны и

существующие openVPN. По этой причине не могу пока ничего показать... люди, работают и я не могу им палки в колеса вставлять, вечером только если. Хотя говорю стремновато как то.... могу потерять удаленный шлюз, ладно если он в моем городе а есть и в другом.

А насчет фаервола.... а что ему нужно то? 500 порт и gre протокол или что то иное/еще?

Конфиги сейчас выложу

alex_sim ★★★ ()
Последнее исправление: alex_sim (всего исправлений: 1)
Ответ на: комментарий от blind_oracle

конфиги

На одной стороне

conn %default
    keyingtries=%forever
    authby=secret
    mobike=no
    keyexchange=ikev2
    compress=yes
    type=transport
    closeaction=clear
    dpdaction=restart
    dpddelay=60s
    auto=start
conn zavod
    left=xxx.yyy.3.118
    right=zzz.kkk.12.32

На другой

conn %default
    keyingtries=%forever
    authby=secret
    mobike=no
    keyexchange=ikev2
    compress=yes
    type=transport
    closeaction=clear
    dpdaction=restart
    dpddelay=60s
    auto=start
conn zavod
    left=zzz.kkk.12.32
    right=xxx.yyy.3.118
alex_sim ★★★ ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.