LINUX.ORG.RU
ФорумAdmin

Openvpn странно себя ведет

 , ,


0

2

Есть основной офис и филиалы, связь между ними на мерзком керио, которому нужен отдельный комп в роли шлюза, но работает. Решили таки 1 перевести на openvpn и коробки от длинка.
Задолго до этого настроил сервер под дебианом, все было нормально, из дома связь была стабильная со всеми через него.
Вчера таки поставил в 1 филиал DSR-150, там - интернет работает стабильно, как вчера коробка подключилась к впн - так и работает без отвалов, пинги стабильно идут, со всех сторон во все стороны, но вот удаленка через mstsc и radmin - отваливается, раз в пару минут примерно. Радмин - просто закрывается, mstsc - подвисает и либо оживает, либо переподключается.
С чем это может быть связано и как лечить?
А, с дома все работало великолепно, но там обычным openvpn клиентом подключался, а не роутером.

port xxxxx
proto tcp
dev tun
ca ca.crt
cert server.crt
key server.key
dh dh2048.pem
server 10.8.0.0 255.255.255.0
ifconfig-pool-persist ipp.txt
client-config-dir ccd
#куча пушей роутов и просто роутов
client-to-client
keepalive 10 120
tls-auth ta.key 0
#cipher DES-EDE3-CBC  # Triple-DES, коробка не может в него
cipher AES-256-CBC
#comp-lzo
max-clients 100
user nobody
group nogroup
persist-key
persist-tun
status openvpn-status.log
log         /var/log/openvpn.log
verb 3

Стащил конфиг от роутера:
client
remote xxxx
port xxxxx
proto tcp
cipher AES-256-CBC
auth SHA1
ca /var/certs/openvpn/ca.crt
cert /var/certs/openvpn/server.crt
key /var/certs/openvpn/server.key
tls-auth /var/certs/openvpn/ta.key 1
dev tun1
daemon
writepid /var/run/openvpn.pid
log /var/openvpn/openvpn.log
verb 3
persist-tun
persist-key
reneg-sec 0
auth-retry nointeract

В логах у сервера и клиента - вообще никаких ошибок, единственное, что там есть - каждый час обновление тлс.

Ответ на: комментарий от weare

Там всего 3-5 компов на весь офис, не думаю что народ бросился качать.
Таки да, по роутеру видно, что сеть почти свободная, да и проц 80% idle

zlofenix ()
Ответ на: комментарий от zlofenix

Запустил пинги с обоих сторон внутри впн с пакетом на 1500, проходят - нормально, даже меньше 100мс, но при этом удаленка отвалилась пару раз.
Не могу понять в чем проблема никак.

zlofenix ()
Ответ на: комментарий от zlofenix

У меня такое было с вайфаем длинк. Он был бытового класса, и тунель все время валился. Тунель ipsec вязался не к вайфаю, он был только частью физического канала. С обоих сторон стояли Cisco Pix. Как только устройство заменили на более мощное, проблема ушла.

weare ★★ ()
Ответ на: комментарий от zlofenix

Ну валился не тунель а пакеты в нем. RDP и RAdmin гонят большое количество пакетов.

weare ★★ ()
Ответ на: комментарий от zgen

Нагрузил передачей файла на 50мег, около 3х минут передает, скорость 200-250кб, скорей всего лимит по тарифу. Видно что рывками идет, но не прерывается, хотя может винда так показывает просто.
На роутере - все опять же нормально, нагруза почти нет.

zlofenix ()
Ответ на: комментарий от zlofenix

Попробовал запусить впн сервер на своем компе, с виндой и вообще слабый.. Работает без проблем со связью, видать сервер где-то тормозит, перекину на другой, посмотрю что будет.

zlofenix ()
Ответ на: комментарий от zlofenix

Чем отличается tcp от udp? Тунель имеет смысл делать на транспорте, который не требует подтверждения доставки, т.к. внутри тунеля транспорт с подтверждением.

Я не уверен, что именно тебе смена протокола поможет. Приблизительно такие же проблемы при объединении офисов я испытывал лет 7 назад, смена помогла.

Поставь снифер на клиенте, где зависает mstsc.

zooooo ()

Может быть дело в mtu. Вообще здесь полно тем подобных вашей.
Попробуйте mtu-test на клиенте (только ему нужно время на старт несколько минут)

anc ★★★★★ ()
Ответ на: комментарий от anc

По тестам 1500 выходит нормальным.
Новый сервер поставил - проблема осталась, куда еще можно копать?
На винду сервер ставить как-то не хочется.

zlofenix ()
Ответ на: комментарий от zlofenix

Таки дополню: через керио - все работает, керио стоит на отдельном серваке за коробкой, при этом впн тоже включен на коробке, да и инет она же дает.
Через впн - рдп падает, через керио - нет.
Какие вообще варианты могут быть?

zlofenix ()
Ответ на: комментарий от zlofenix

Уточню, по тестам mtu-test?
Еще, посмотрите на параметр mssfix
И еще какой порт используете не 443 случайно? а то вдруг, внезапно(правда с чего бы) где-то по дороге с ним чего нибудь нехорошее делать пытаются?

anc ★★★★★ ()
Ответ на: комментарий от anc

mtu-test, если правильно понял насчет него, любой выдает что 1500 нормально, который и стоит.
Порт - с потолка взят.
Подключился к серверу с винды из дома - все работает, с коробки - как и вчера все плохо и рывками. Новый сервер под впн - ничего не меняет.

zlofenix ()
Ответ на: комментарий от anc

Посмотрел, правда в данный момент через тцп туннель, нутаквышло.
Радмин - не отваливается, вроде, а по копированию файла - пока не ясно, обычно вроде без пауз копирует, а через туннель - часть перекинет и стоит, потом еще часть, итд.

zlofenix ()
Ответ на: комментарий от zlofenix

Я бы поступил от обратного, занизить mtu+mss и посмотреть на результат, если все ок уже дотюнивать.

anc ★★★★★ ()
Ответ на: комментарий от anc

Я бы поступил от обратного, занизить mtu+mss и посмотреть на результат, если все ок уже дотюнивать.

+1

zooooo ()
Последнее исправление: zooooo (всего исправлений: 1)
Ответ на: комментарий от zlofenix

Подключился к серверу с винды из дома - все работает, с коробки - как и вчера все плохо и рывками.

я так понимаю клиент в DSR-150?

я бы поставил крайнюю прошивку для европпы.

PS: давно зарекся с dlink иметь дело, только копеечные свитчи... Есть dsr-1000 (от бедности) до сих пор, задачи выполняет, но ставил прошивку для европпы, а так глючил с VoIP...

zooooo ()
Последнее исправление: zooooo (всего исправлений: 1)
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.