LINUX.ORG.RU

Openvpn теряются пинги при сёрфинге

 , , ,


0

1

Добрый день Уважаемые! Есть openvpn server 2.4.7 на centos 6.1 и клиент на Win 2012 r2 от openvpn.net На сервере настроен nat для RDP к виндовой машине и маскарад для инета через vpn. К виндовой машине подключаюсь по RDP через vpn IP, всё замечательно работает до тех пор пока не открою какую нибудь страничку в браузере, появляются задержки и потери пингов:

Ответ от 8.8.8.8: число байт=32 время=18мс TTL=44
Ответ от 8.8.8.8: число байт=32 время=17мс TTL=44
Ответ от 8.8.8.8: число байт=32 время=45мс TTL=44
Ответ от 8.8.8.8: число байт=32 время=18мс TTL=44
Ответ от 8.8.8.8: число байт=32 время=18мс TTL=44
Ответ от 8.8.8.8: число байт=32 время=3392мс TTL=44
Ответ от 8.8.8.8: число байт=32 время=2022мс TTL=44
Ответ от 8.8.8.8: число байт=32 время=17мс TTL=44
Ответ от 8.8.8.8: число байт=32 время=1090мс TTL=44
Превышен интервал ожидания для запроса.
Превышен интервал ожидания для запроса.
Превышен интервал ожидания для запроса.
Ответ от 8.8.8.8: число байт=32 время=3540мс TTL=44
Ответ от 8.8.8.8: число байт=32 время=1982мс TTL=44
Ответ от 8.8.8.8: число байт=32 время=2000мс TTL=44
Ответ от 8.8.8.8: число байт=32 время=17мс TTL=44
Ответ от 8.8.8.8: число байт=32 время=1040мс TTL=44
Ответ от 8.8.8.8: число байт=32 время=70мс TTL=44
Ответ от 8.8.8.8: число байт=32 время=2980мс TTL=44
Ответ от 8.8.8.8: число байт=32 время=1972мс TTL=44
Превышен интервал ожидания для запроса.
Ответ от 8.8.8.8: число байт=32 время=3072мс TTL=44
Превышен интервал ожидания для запроса.
Превышен интервал ожидания для запроса.
Превышен интервал ожидания для запроса.
Превышен интервал ожидания для запроса.
Ответ от 8.8.8.8: число байт=32 время=1302мс TTL=44
Ответ от 8.8.8.8: число байт=32 время=26мс TTL=44
Ответ от 8.8.8.8: число байт=32 время=1025мс TTL=44
Ответ от 8.8.8.8: число байт=32 время=26мс TTL=44
Превышен интервал ожидания для запроса.
Превышен интервал ожидания для запроса.
Превышен интервал ожидания для запроса.
Превышен интервал ожидания для запроса.
Превышен интервал ожидания для запроса.
Ответ от 8.8.8.8: число байт=32 время=3498мс TTL=44
Ответ от 8.8.8.8: число байт=32 время=2996мс TTL=44
Ответ от 8.8.8.8: число байт=32 время=20мс TTL=44
Ответ от 8.8.8.8: число байт=32 время=19мс TTL=44
Ответ от 8.8.8.8: число байт=32 время=17мс TTL=44
Ответ от 8.8.8.8: число байт=32 время=994мс TTL=44
Ответ от 8.8.8.8: число байт=32 время=18мс TTL=44
Ответ от 8.8.8.8: число байт=32 время=17мс TTL=44

Без vpn всё работает без проблем

Конфиг сервера:

port 13555
proto udp
dev tun

ca /etc/openvpn/ca.crt
cert /etc/openvpn/server.crt
key /etc/openvpn/server.key
dh /etc/openvpn/dh.pem

server 192.168.50.0 255.255.255.0
push "redirect-gateway def1 bypass-dhcp"
push "dhcp-option DNS 8.8.8.8"
push "dhcp-option DNS 8.8.4.4"

ifconfig-pool-persist ipp.txt

keepalive 10 120
#comp-lzo
persist-key
persist-tun
status /var/log/openvpn/openvpn-status.log
log /var/log/openvpn/openvpn.log
verb 3

Конфиг клиента:

dev tun
proto udp
remote *IP сервера* 13555
client
resolv-retry infinite
ns-cert-type server 

ca      ca.crt
cert    client.crt
key     client.key

#route   172.17.212.0 255.255.255.0

persist-key
persist-tun
#comp-lzo
verb 3

Лог сервера:

Fri Jun  7 05:56:45 2019 OpenVPN 2.4.7 x86_64-redhat-linux-gnu [Fedora EPEL patched] [SSL (OpenSSL)] [LZO] [LZ4] [EPOLL] [PKCS11] [MH/PKTINFO] [AEAD] built on Feb 20 2019
Fri Jun  7 05:56:45 2019 library versions: OpenSSL 1.0.1e-fips 11 Feb 2013, LZO 2.03
Fri Jun  7 05:56:45 2019 Diffie-Hellman initialized with 2048 bit key
Fri Jun  7 05:56:45 2019 Failed to extract curve from certificate (UNDEF), using secp384r1 instead.
Fri Jun  7 05:56:45 2019 ECDH curve secp384r1 added
Fri Jun  7 05:56:45 2019 ROUTE_GATEWAY 194.58.122.1/255.255.255.0 IFACE=eth0 HWADDR=00:16:3e:d1:1c:42
Fri Jun  7 05:56:45 2019 TUN/TAP device tun0 opened
Fri Jun  7 05:56:45 2019 TUN/TAP TX queue length set to 100
Fri Jun  7 05:56:45 2019 /sbin/ip link set dev tun0 up mtu 1500
Fri Jun  7 05:56:45 2019 /sbin/ip addr add dev tun0 local 192.168.50.1 peer 192.168.50.2
Fri Jun  7 05:56:45 2019 /sbin/ip route add 192.168.50.0/24 via 192.168.50.2
Fri Jun  7 05:56:45 2019 Could not determine IPv4/IPv6 protocol. Using AF_INET
Fri Jun  7 05:56:45 2019 Socket Buffers: R=[124928->124928] S=[124928->124928]
Fri Jun  7 05:56:45 2019 UDPv4 link local (bound): [AF_INET][undef]:13555
Fri Jun  7 05:56:45 2019 UDPv4 link remote: [AF_UNSPEC]
Fri Jun  7 05:56:45 2019 MULTI: multi_init called, r=256 v=256
Fri Jun  7 05:56:45 2019 IFCONFIG POOL: base=192.168.50.4 size=62, ipv6=0
Fri Jun  7 05:56:45 2019 ifconfig_pool_read(), in='halo,192.168.50.4', TODO: IPv6
Fri Jun  7 05:56:45 2019 succeeded -> ifconfig_pool_set()
Fri Jun  7 05:56:45 2019 IFCONFIG POOL LIST
Fri Jun  7 05:56:45 2019 halo,192.168.50.4
Fri Jun  7 05:56:45 2019 Initialization Sequence Completed
Fri Jun  7 05:56:52 2019 *тут был IP сервера*:1194 TLS: Initial packet from [AF_INET]*тут был IP сервера*:1194, sid=0b891624 fb6026f1
Fri Jun  7 05:56:52 2019 *тут был IP сервера*:1194 VERIFY OK: depth=1, CN=server
Fri Jun  7 05:56:52 2019 *тут был IP сервера*:1194 VERIFY OK: depth=0, CN=halo
Fri Jun  7 05:56:52 2019 *тут был IP сервера*:1194 peer info: IV_VER=2.4.6
Fri Jun  7 05:56:52 2019 *тут был IP сервера*:1194 peer info: IV_PLAT=win
Fri Jun  7 05:56:52 2019 *тут был IP сервера*:1194 peer info: IV_PROTO=2
Fri Jun  7 05:56:52 2019 *тут был IP сервера*:1194 peer info: IV_NCP=2
Fri Jun  7 05:56:52 2019 *тут был IP сервера*:1194 peer info: IV_LZ4=1
Fri Jun  7 05:56:52 2019 *тут был IP сервера*:1194 peer info: IV_LZ4v2=1
Fri Jun  7 05:56:52 2019 *тут был IP сервера*:1194 peer info: IV_LZO=1
Fri Jun  7 05:56:52 2019 *тут был IP сервера*:1194 peer info: IV_COMP_STUB=1
Fri Jun  7 05:56:52 2019 *тут был IP сервера*:1194 peer info: IV_COMP_STUBv2=1
Fri Jun  7 05:56:52 2019 *тут был IP сервера*:1194 peer info: IV_TCPNL=1
Fri Jun  7 05:56:52 2019 *тут был IP сервера*:1194 peer info: IV_GUI_VER=OpenVPN_GUI_11
Fri Jun  7 05:56:52 2019 *тут был IP сервера*:1194 Control Channel: TLSv1.2, cipher TLSv1/SSLv3 ECDHE-RSA-AES256-GCM-SHA384, 2048 bit RSA
Fri Jun  7 05:56:52 2019 *тут был IP сервера*:1194 [halo] Peer Connection Initiated with [AF_INET]*тут был IP сервера*:1194
Fri Jun  7 05:56:52 2019 halo/*тут был IP сервера*:1194 MULTI_sva: pool returned IPv4=192.168.50.6, IPv6=(Not enabled)
Fri Jun  7 05:56:52 2019 halo/*тут был IP сервера*:1194 MULTI: Learn: 192.168.50.6 -> halo/*тут был IP сервера*:1194
Fri Jun  7 05:56:52 2019 halo/*тут был IP сервера*:1194 MULTI: primary virtual IP for halo/*тут был IP сервера*:1194: 192.168.50.6
Fri Jun  7 05:56:53 2019 halo/*тут был IP сервера*:1194 PUSH: Received control message: 'PUSH_REQUEST'
Fri Jun  7 05:56:53 2019 halo/*тут был IP сервера*:1194 SENT CONTROL [halo]: 'PUSH_REPLY,redirect-gateway def1 bypass-dhcp,dhcp-option DNS 8.8.8.8,dhcp-option DNS 8.8.4.4,route 192.168.50.1,topology net30,ping 10,ping-restart 120,ifconfig 192.168.50.6 192.168.50.5,peer-id 0,cipher AES-256-GCM' (status=1)
Fri Jun  7 05:56:53 2019 halo/*тут был IP сервера*:1194 Data Channel: using negotiated cipher 'AES-256-GCM'
Fri Jun  7 05:56:53 2019 halo/*тут был IP сервера*:1194 Outgoing Data Channel: Cipher 'AES-256-GCM' initialized with 256 bit key
Fri Jun  7 05:56:53 2019 halo/*тут был IP сервера*:1194 Incoming Data Channel: Cipher 'AES-256-GCM' initialized with 256 bit key

Лог клиента:

Fri Jun 07 12:56:31 2019 OpenVPN 2.4.6 x86_64-w64-mingw32 [SSL (OpenSSL)] [LZO] [LZ4] [PKCS11] [AEAD] built on Apr 26 2018
Fri Jun 07 12:56:31 2019 Windows version 6.2 (Windows 8 or greater) 64bit
Fri Jun 07 12:56:31 2019 library versions: OpenSSL 1.1.0h  27 Mar 2018, LZO 2.10
Enter Management Password:
Fri Jun 07 12:56:31 2019 MANAGEMENT: TCP Socket listening on [AF_INET]127.0.0.1:25340
Fri Jun 07 12:56:31 2019 Need hold release from management interface, waiting...
Fri Jun 07 12:56:32 2019 MANAGEMENT: Client connected from [AF_INET]127.0.0.1:25340
Fri Jun 07 12:56:32 2019 MANAGEMENT: CMD 'state on'
Fri Jun 07 12:56:32 2019 MANAGEMENT: CMD 'log all on'
Fri Jun 07 12:56:32 2019 MANAGEMENT: CMD 'echo all on'
Fri Jun 07 12:56:32 2019 MANAGEMENT: CMD 'bytecount 5'
Fri Jun 07 12:56:32 2019 MANAGEMENT: CMD 'hold off'
Fri Jun 07 12:56:32 2019 MANAGEMENT: CMD 'hold release'
Fri Jun 07 12:56:32 2019 WARNING: --ns-cert-type is DEPRECATED.  Use --remote-cert-tls instead.
Fri Jun 07 12:56:32 2019 TCP/UDP: Preserving recently used remote address: [AF_INET]*тут был мой IP*:13555
Fri Jun 07 12:56:32 2019 Socket Buffers: R=[65536->65536] S=[65536->65536]
Fri Jun 07 12:56:32 2019 UDP link local (bound): [AF_INET][undef]:1194
Fri Jun 07 12:56:32 2019 UDP link remote: [AF_INET]*тут был мой IP*:13555
Fri Jun 07 12:56:32 2019 MANAGEMENT: >STATE:1559901392,WAIT,,,,,,
Fri Jun 07 12:56:33 2019 MANAGEMENT: >STATE:1559901393,AUTH,,,,,,
Fri Jun 07 12:56:33 2019 TLS: Initial packet from [AF_INET]*тут был мой IP*:13555, sid=f24387fe 48542d4f
Fri Jun 07 12:56:33 2019 VERIFY OK: depth=1, CN=server
Fri Jun 07 12:56:33 2019 VERIFY OK: nsCertType=SERVER
Fri Jun 07 12:56:33 2019 VERIFY OK: depth=0, CN=server
Fri Jun 07 12:56:33 2019 Control Channel: TLSv1.2, cipher TLSv1.2 ECDHE-RSA-AES256-GCM-SHA384, 2048 bit RSA
Fri Jun 07 12:56:33 2019 [server] Peer Connection Initiated with [AF_INET]*тут был мой IP*:13555
Fri Jun 07 12:56:34 2019 MANAGEMENT: >STATE:1559901394,GET_CONFIG,,,,,,
Fri Jun 07 12:56:34 2019 SENT CONTROL [server]: 'PUSH_REQUEST' (status=1)
Fri Jun 07 12:56:34 2019 PUSH: Received control message: 'PUSH_REPLY,redirect-gateway def1 bypass-dhcp,dhcp-option DNS 8.8.8.8,dhcp-option DNS 8.8.4.4,route 192.168.50.1,topology net30,ping 10,ping-restart 120,ifconfig 192.168.50.6 192.168.50.5,peer-id 0,cipher AES-256-GCM'
Fri Jun 07 12:56:34 2019 OPTIONS IMPORT: timers and/or timeouts modified
Fri Jun 07 12:56:34 2019 OPTIONS IMPORT: --ifconfig/up options modified
Fri Jun 07 12:56:34 2019 OPTIONS IMPORT: route options modified
Fri Jun 07 12:56:34 2019 OPTIONS IMPORT: --ip-win32 and/or --dhcp-option options modified
Fri Jun 07 12:56:34 2019 OPTIONS IMPORT: peer-id set
Fri Jun 07 12:56:34 2019 OPTIONS IMPORT: adjusting link_mtu to 1624
Fri Jun 07 12:56:34 2019 OPTIONS IMPORT: data channel crypto options modified
Fri Jun 07 12:56:34 2019 Data Channel: using negotiated cipher 'AES-256-GCM'
Fri Jun 07 12:56:34 2019 Outgoing Data Channel: Cipher 'AES-256-GCM' initialized with 256 bit key
Fri Jun 07 12:56:34 2019 Incoming Data Channel: Cipher 'AES-256-GCM' initialized with 256 bit key
Fri Jun 07 12:56:34 2019 interactive service msg_channel=0
Fri Jun 07 12:56:34 2019 ROUTE_GATEWAY 194.58.122.1/255.255.255.0 I=12 HWADDR=22:20:9b:8d:2c:b6
Fri Jun 07 12:56:35 2019 open_tun
Fri Jun 07 12:56:35 2019 TAP-WIN32 device [Ethernet 2] opened: \\.\Global\{F8242E5B-C31D-4856-A785-7B47F48DE8C1}.tap
Fri Jun 07 12:56:35 2019 TAP-Windows Driver Version 9.21 
Fri Jun 07 12:56:35 2019 Notified TAP-Windows driver to set a DHCP IP/netmask of 192.168.50.6/255.255.255.252 on interface {F8242E5B-C31D-4856-A785-7B47F48DE8C1} [DHCP-serv: 192.168.50.5, lease-time: 31536000]
Fri Jun 07 12:56:35 2019 Successful ARP Flush on interface [25] {F8242E5B-C31D-4856-A785-7B47F48DE8C1}
Fri Jun 07 12:56:35 2019 do_ifconfig, tt->did_ifconfig_ipv6_setup=0
Fri Jun 07 12:56:35 2019 MANAGEMENT: >STATE:1559901395,ASSIGN_IP,,192.168.50.6,,,,
Fri Jun 07 12:56:40 2019 TEST ROUTES: 2/2 succeeded len=1 ret=1 a=0 u/d=up
Fri Jun 07 12:56:40 2019 C:\Windows\system32\route.exe ADD *тут был мой IP* MASK 255.255.255.255 194.58.122.1 IF 12
Fri Jun 07 12:56:40 2019 ROUTE: CreateIpForwardEntry succeeded with dwForwardMetric1=100 and dwForwardType=4
Fri Jun 07 12:56:40 2019 Route addition via IPAPI succeeded [adaptive]
Fri Jun 07 12:56:40 2019 C:\Windows\system32\route.exe ADD 0.0.0.0 MASK 128.0.0.0 192.168.50.5
Fri Jun 07 12:56:40 2019 Route addition via IPAPI succeeded [adaptive]
Fri Jun 07 12:56:40 2019 C:\Windows\system32\route.exe ADD 128.0.0.0 MASK 128.0.0.0 192.168.50.5
Fri Jun 07 12:56:40 2019 Route addition via IPAPI succeeded [adaptive]
Fri Jun 07 12:56:40 2019 MANAGEMENT: >STATE:1559901400,ADD_ROUTES,,,,,,
Fri Jun 07 12:56:40 2019 C:\Windows\system32\route.exe ADD 192.168.50.1 MASK 255.255.255.255 192.168.50.5
Fri Jun 07 12:56:40 2019 Route addition via IPAPI succeeded [adaptive]
Fri Jun 07 12:56:40 2019 WARNING: this configuration may cache passwords in memory -- use the auth-nocache option to prevent this
Fri Jun 07 12:56:40 2019 Initialization Sequence Completed
Fri Jun 07 12:56:40 2019 MANAGEMENT: >STATE:1559901400,CONNECTED,SUCCESS,192.168.50.6,*тут был мой IP*,13555,,

С линуксами я не дружу, помогите разобраться

Ответ на: комментарий от anonymous

Настройка MTU ничего не изменила

Проблема, судя по всему, именно в клиенте т.к. другая машинка (Win8.1) подключается и работает без проблем, при этом настройки клиентов идеентичны и маршрутизация тоже. Единственная разница в том что Win2012 не имеет локалки и смотрит сразу в инетернет а Win8.1 сидит в локалке за маршрутизатором

Sigurdovich ()