LINUX.ORG.RU
решено ФорумAdmin

Соединение VPN установлено, но трафик идет мимо?

 ,


0

0

Настроил на амазоне VPN pptpd, подключаюсь с домашней Убунты 16.04. В целом работает, cоединение устанавливается, запрещеночка (там слайдшара с линкедином например) открывается, но где-то в 4-3 случаях из 10 соединение устанавливается, но сайты в браузере все равно лочатся. Иногда один открывается, второй в это же время блочится. Переподключаюсь раз, переподключаюсь два, на третий может начать открываться. Или если долго ничего открывать, то соединение не рвется, но сайты перестают открываться и нужно опять переподключаться.

Вот, например, сейчас, начинал писать пост, сайты открывались, сейчас смотрю - соединение на месте:

ifconfig
lo        Link encap:Локальная петля (Loopback)  
          inet addr:127.0.0.1  Mask:255.0.0.0
          inet6 addr: ::1/128 Scope:Host
          UP LOOPBACK RUNNING  MTU:65536  Metric:1
          RX packets:9959693 errors:0 dropped:0 overruns:0 frame:0
          TX packets:9959693 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000 
          RX bytes:1228439041 (1.2 GB)  TX bytes:1228439041 (1.2 GB)

ppp0      Link encap:Протокол PPP (Point-to-Point Protocol)  
          inet addr:192.168.84.100  P-t-P:192.168.84.1  Mask:255.255.255.255
          UP POINTOPOINT RUNNING NOARP MULTICAST  MTU:1400  Metric:1
          RX packets:68237 errors:0 dropped:0 overruns:0 frame:0
          TX packets:41726 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:3 
          RX bytes:92574647 (92.5 MB)  TX bytes:3070087 (3.0 MB)

wlp2s0    Link encap:Ethernet  HWaddr a0:c5:89:86:94:99  
          inet addr:192.168.1.111  Bcast:192.168.1.255  Mask:255.255.255.0
          inet6 addr: fe80::1563:382b:415b:5cc7/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1280  Metric:1
          RX packets:125321834 errors:0 dropped:0 overruns:0 frame:0
          TX packets:102787363 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000 
          RX bytes:127677622971 (127.6 GB)  TX bytes:54052068258 (54.0 GB)

а слайдшара с рутрекером опять в локе.

Короче, очень ненадежно все получается. Такое ощущение, что при каких-то неполадках или там тормозах на канале VPN запрос перебрасывается на обычный канал и получает там сразу радостный фиг.

Собственно, вопросы: - Можно ли это пролечить или хотябы продиагностировать стандартными линуксовыми средствами (например, проверить, какой интерфейс сейчас используется для системного трафика)? - Может дело в pptp? Имеет ли смысл трахаться с openssh в надежде, что с ним все будет надежно? - Другие варианты пролечиться?

★★★★★

С pptp действительно нет смысла разбираться, потому что он не особо безопасен. Поставил бы лучше Wireguard для гладких и шелковистых волос.

В целом работает, cоединение устанавливается, запрещеночка (там слайдшара с линкедином например) открывается, но где-то в 4-3 случаях из 10 соединение устанавливается, но сайты в браузере все равно лочатся.

Может у тебя DNS мимо VPN идет?

ED:

Вообще было бы неплохо, если бы ты погонял какой-нибудь tcpdump/wireshark во время подключения к vpn. Будет виднее.

Deleted
()
Последнее исправление: Deleted (всего исправлений: 1)

Озабочен той же проблемой.

На DigitalOcean PPTP отлично работает. Проверил его же на Google Cloud и Azure (подозреваю что с Amazon будет та же проблема) - не работает.

Подозрения на то, что PPTP как то задействует протокол GREv1, который по умолчанию облачные фаяволы отрезают (но это не точно).

Проверил другой вариант VPN - L2TP - та же беда. Отлично работает на DigitalOcean, но не работает вообще на Google Cloud, уже день вожусь. Вот тут задаю вопрос в деталях: Скрипт L2TP VPN - работает на DigitalOcean, но не работает на Google Cloud

Единственное что работает - это IKEv2, могу дать скрипт. Этот работает везде.

codecity
()
Ответ на: комментарий от Deleted

Может у тебя DNS мимо VPN идет?

Кстати, возможно. Нашел команду ip route, сейчас на поломаном VPN (соединение есть, но сайты не открываются) проверил на ip слайдшары:

ip route get 108.174.11.74
108.174.11.74 dev ppp0  src 192.168.84.100 
    cache

вроде как идет через VPN ppp0.

делаю на него же пинг:

ping 108.174.11.74
PING 108.174.11.74 (108.174.11.74) 56(84) bytes of data.
64 bytes from 108.174.11.74: icmp_seq=1 ttl=39 time=261 ms
64 bytes from 108.174.11.74: icmp_seq=2 ttl=39 time=179 ms
64 bytes from 108.174.11.74: icmp_seq=3 ttl=39 time=209 ms
64 bytes from 108.174.11.74: icmp_seq=4 ttl=39 time=228 ms
64 bytes from 108.174.11.74: icmp_seq=5 ttl=39 time=251 ms
64 bytes from 108.174.11.74: icmp_seq=6 ttl=39 time=274 ms
^C
--- 108.174.11.74 ping statistics ---
6 packets transmitted, 6 received, 0% packet loss, time 5004ms
rtt min/avg/max/mdev = 179.057/233.985/274.011/32.303 ms

все ок (и в браузере отктывается заглушка от линкедина).

делаю пинг по имени 

ping slideshare.net
PING slideshare.net (5.3.3.17) 56(84) bytes of data.
64 bytes from 5x3x3x17.static-business.iz.ertelecom.ru (5.3.3.17): icmp_seq=1 ttl=38 time=299 ms
64 bytes from 5x3x3x17.static-business.iz.ertelecom.ru (5.3.3.17): icmp_seq=2 ttl=38 time=396 ms

сразу попадаю на заглушку ростелекома.

DNS на pppo - 8.8.8.8. DNS на wlan - провайдерский

Получается, что при активном VPN с гугловским DNS он может перескачить на провайдерский DNS?

UPDT1: этот ip пингуется и открывается в браузере и без подключения VPN, похоже, их лочат не по ip, а по имени.

UPDT2: заменил в настройках вайфая DNS c автоматического DHCP (провайдерского) на гугловский. Без подключения VPN пинг slideshare все равно ведет на заглушку ростелекома. Провайдер умеет заменять запросы DNS? (конечно, логично, иначе блокировки бы обходились заменой DNS).

Переподключился в вайфаю с новыми настройками и переподключился к VPN, теперь на обоих DNS 8.8.8.8.

Пинг на слайдшару по имени пока идет как надо, в браузере тоже открывается. Но так было и раньше, надо подождать, не слетит ли опять, буду держать в курсе.

Пока по итогу:
- трафик вроде как идет через ppp0 на VPN
- все глюки, похоже, идут от DNS - почему-то он перестает использовать DNS c ppp0 и начитает обращаться к DNS от основного подключения (где был провайдерский). Это поведение нормально?

bender ★★★★★
() автор топика
Ответ на: комментарий от codecity

похоже, в моем случае дело было с DNS на локальном компе. Сколько уже времени прошло, пока ничего не слетело.

IKEv2

К нему как к IPsec в Андроиде можно подключаться? давай

bender ★★★★★
() автор топика
Ответ на: комментарий от bender

Можно через спец. программу «Клиент strongSwan VPN». И в Windows 10 - тоже есть заморочки, а именно нужно добавить сертификат сервера, внести 1 правку в реестр, перезагрузить и ввести команду в PowerShell - тогда работает.

В общем, скрипт тут: https://www.digitalocean.com/community/tutorials/how-to-set-up-an-ikev2-vpn-s...

Кроме него разве что OpenVPN скорее всего будет работать, но с ним заморочек еще больше.

В DigitalOcean же работает и PPTP и L2TP, но у меня там триал закончился :) .

codecity
()
Ответ на: комментарий от bender

Это поведение нормально?

Вот честно не знаю как у PPTP, а в ovpn DNS-запросы идут через tun0 (если в настройках не указан локальный форвардер). А вообще вот: https://www.dnsleaktest.com/

Deleted
()
Ответ на: комментарий от bender

- все глюки, похоже, идут от DNS -

Ага.

почему-то он перестает использовать DNS c ppp0 и начитает обращаться к DNS от основного подключения (где был провайдерский). Это поведение нормально?

Зависит от того как настроены подключения, но в целом можно сказать да, это поведение «нормальное». C dhcp обновили resolv.conf и привет. Я когда-то костылял вариант с chattr +i что бы не заменялось.

anc ★★★★★
()

короче, прописал гугловский DNS 8.8.8.8 в настройках подключения к вайфаю (теперь он везде - и в VPN и просто так), оставшийся вечер - ни единого разрыва, отмечаю пост решенным, всем спасибо за поддержку

bender ★★★★★
() автор топика
Ответ на: комментарий от bender

гугловский DNS 8.8.8.8

FYI он не «совсем гугловский» и вы очень верно выше заметили что провы его перенаправляют себе. Но для вашей задачи должно прокатить.

anc ★★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.
Admin