LINUX.ORG.RU
ФорумAdmin

SSH сессия внутри openvpn c dco

 ,


0

1

Приветствую! Есть наносервер с openvpn, всё отлично работало.

Решил его слегка ускорить, поставил dco. Скорость действительно возросла, но отвалилась возможность подключаться к vpn серверу по ssh - команда ssh просто зависает, ни ошибок, ничего. Если в конфиг добавить –disable-dco, всё работает.

Кто себе ставил OVpn\dco, сталкивались с таким?

[malorik@localhost:~]$ ssh root@10.8.0.1
^C
09:02:23 j0
[malorik@localhost:~]$
Помогите разобраться с маршрутизацией в KVM.
Замена Grafana OnCall
Ответ на: комментарий от vel

Когда-то была точно такая же проблема, дело действительно было в MTU

Сейчас манипуляции с MTU не помогают (tun-mtu, link-mtu, mssfix), только отключение dco заставляет ssh работать о_0

malorik
() автор топика
Ответ на: комментарий от malorik

ssh -vvv + tcpdump в помощь, ну или ping + tcpdump

Посмотри на версии openvpn и ovpn-dco. Возможно они не соответствуют друг другу. Обновив ovpn-dco я получил сообщение в openvpn, что нет у меня dco. Пришлось обновлять и openvpn.

vel ★★★★★
()
Ответ на: комментарий от malorik

В DCO на Linux не реализована подстройка TCP MSS (--mssfix), необходимо делать её средствами iptables/nftables.

https://github.com/OpenVPN/ovpn-dco/issues/61

Но вообще эта ситуация означает, что у вас проблемы с ICMP-пакетами: они либо заблокированы, либо некорректно пробрасываются до клиента. Даже без подстройки MSS всё должно работать. И если для TCP это решается подстройкой MSS, то для протоколов, основанных на UDP, необходимо чинить ICMP, иначе будут проблемы банально со звонками/видеоконференциями.

ValdikSS ★★★★★
()
Последнее исправление: ValdikSS (всего исправлений: 1)
Помогите разобраться с маршрутизацией в KVM.
Admin
Замена Grafana OnCall