LINUX.ORG.RU
ФорумGeneral

OpenVPN замедляет работу по сети LAN

 ,


0

1

Есть сервер pfSense с OpenVPN. Вот схема сети https://ibb.co/yh8yDTN. Почему то трафик, который идёт между клиентами по локальной сети от 192.168.0.112 на 192.168.0.111, попадает в VPN канал. Например, при передаче файлов с одного компьютера на второй, если зайти через проводник по IP 192.168.0.111, всё идёт в VPN и от этого скорость падает. Если выключить VPN на одном из клиентов, скорость стабильная 100Мбит. Как это исправить?

Конфиг на обоих клиентах:

dev tun
persist-tun
persist-key
data-ciphers AES-128-GCM:AES-256-CBC
data-ciphers-fallback AES-256-CBC
auth SHA1
tls-client
client
resolv-retry infinite
remote XXX.XXX.XXX.XXX 5360 udp4
nobind
verify-x509-name "OVPN-SRV-cert" name
remote-cert-tls server
explicit-exit-notify

Маршрутизация на втором клиенте 192.168.0.112

IPv4 таблица маршрута
===========================================================================
Активные маршруты:
Сетевой адрес           Маска сети      Адрес шлюза       Интерфейс  Метрика
          0.0.0.0          0.0.0.0      192.168.0.1    192.168.0.112    281
        10.10.0.0    255.255.255.0       10.100.0.1      10.100.99.2    257
       10.100.0.0      255.255.0.0         On-link       10.100.99.2    257
      10.100.99.2  255.255.255.255         On-link       10.100.99.2    257
   10.100.255.255  255.255.255.255         On-link       10.100.99.2    257
  XXX.XXX.XXX.XXX  255.255.255.255      192.168.0.1    192.168.0.112    281
        127.0.0.0        255.0.0.0         On-link         127.0.0.1    331
        127.0.0.1  255.255.255.255         On-link         127.0.0.1    331
  127.255.255.255  255.255.255.255         On-link         127.0.0.1    331
      192.168.0.0    255.255.255.0         On-link     192.168.0.112    281
    192.168.0.112  255.255.255.255         On-link     192.168.0.112    281
    192.168.0.255  255.255.255.255         On-link     192.168.0.112    281
        224.0.0.0        240.0.0.0         On-link         127.0.0.1    331
        224.0.0.0        240.0.0.0         On-link       10.100.99.2    257
        224.0.0.0        240.0.0.0         On-link     192.168.0.112    281
  255.255.255.255  255.255.255.255         On-link         127.0.0.1    331
  255.255.255.255  255.255.255.255         On-link       10.100.99.2    257
  255.255.255.255  255.255.255.255         On-link     192.168.0.112    281
===========================================================================
Постоянные маршруты:
  Сетевой адрес            Маска    Адрес шлюза      Метрика
          0.0.0.0          0.0.0.0      192.168.0.1  По умолчанию
===========================================================================

Ответ на: комментарий от rumgot

Тесты.

Там, правда, на клиентах Windows, но алгоритмы от этого не меняются.

half-life / Quake 3 играли как-то через сеть OpenVPN

Такой себе тест. Для HL/Q3 нужен быстрый пинг, а не скорость.

Aceler ★★★★★
()
Ответ на: комментарий от Aceler

А, я не увидел вопрос. У тебя вопрос в том, как роутинг настроить, чтобы в VPN не попадал, а не как VPN ускорить.

Роутинг выглядит нормально. ICMP тоже через VPN ходит? traceroute 192.168.0.111 как выглядит?

Aceler ★★★★★
()
Ответ на: комментарий от Aceler

Это удалённый розничный магазин, на котором стоит две кассы. Они подключаются к OpenVPN и заходят по RDP на сервер. Обоим кассам это нужно, чтобы на роутере не настраивать подключение и не менять оборудование. Скорость по туннелю меня устаивает, для RDP хватает, но приколы начинаются при передачи файлов между этими кассами. Почему всё уходит в туннель, а не напрямую.

Вот traceroute, как бы всё логично выглядит.

C:\Users\Mag099>tracert 192.168.0.111

Трассировка маршрута к Kassa1 [192.168.0.111]
с максимальным числом прыжков 30:

  1    <1 мс    <1 мс    <1 мс  Kassa1 [192.168.0.111]

Трассировка завершена.
Dominik23
() автор топика
Ответ на: комментарий от Dominik23

Это, в общем-то, чудеса, потому что ICMP инкапсулируется в тот же самый протокол IP, что и TCP, и если ICMP ходит напрямую, то и TCP должен ходить напрямую.

C:\Users\Mag099

Спроси на профильном форуме тогда, со стороны Linux всё настроено корректно.

Aceler ★★★★★
()
Ответ на: комментарий от Aceler

Тесты https://community.openvpn.net/openvpn/wiki/PerformanceTestingOpenVPN

The test run we did following this guide gave us these results:

Direct TCP connection without VPN: close to 7Gbit/sec

OpenVPN 3 Windows reference client, using wintun: 904 Mbit/sec

OpenVPN 2 Windows client, using wintun: 737 Mbit/sec

OpenVPN 3 Windows reference client, using tap-windows6: 652 Mbit/sec

OpenVPN 2 Windows client, using tap-windows6: 414 Mbit/sec

Фигасе, как порезало. Я на таких скоростях не тестил, но выглядит как-то фантастически.

rumgot ★★★★★
()
Последнее исправление: rumgot (всего исправлений: 1)

Нашёл проблемы:

  1. OpenVPN
  2. data-ciphers AES-128-GCM:AES-256-CBC

И если первое нужно заменить года так с 2019 обязательно на Wireguard, то второе можно переключить, например, на сломанные шифры. Или патчем xorить

ac130kz ★★
()
Ответ на: комментарий от Dominik23

А как вы определили, что трафик идёт в тунель? Вобще не понятно, как у вас пакет на 192.168.0.111 может пройти через OpenVPN. Вы же на нём, скорее всего, iroute не прописывали? Сервер не знает где 192.168.0.111.

mky ★★★★★
()
Ответ на: комментарий от mky

В том то и дело, что в туннеле нет такой адресации, там только 10.10.0.0/24 и 10.100.0.0/16 Определил так:

  1. Когда начинаешь передавать файлы, скорость падает до 1 Мбита.
  2. В счётчике пакетов сетевого подключения VPN идёт передача.
  3. Поставил OpenVPN Connect GUI v3 для Windows и там на красивом графике видно, что идёт передача данных.
  4. На самом pfSense нахожу клиента в списке подключённых и его трафик увеличивается.

Стоит отключить одного из этих клиентов kassa1 или kassa2 от OVPN и всё приходит в норму, что логично, больше пакетам некуда идти. Такая проблема у меня на двух разных магазинах, находящихся в двух разных городах и ведут они себя одинаково, проблема одна и та же.

Вчера попытался повторить эксперимент и собрал у себя в офисе тестовый стенд из таких же двух касс, с тем же образом Windows и теми же самыми конфигурационными файлами OVPN с проблемного магазина, но у меня этой проблемы почему то нет.

Сейчас думаю, что последнее отличие между моим тестовым стендом и магазином было в роутерах. На магазине стоят TP-Link 841, а у меня на тестовом стенде был Huawei b315, а у него по умолчанию адресация сети LAN 192.168.8.0, а не 192.168.0.0.

Dominik23
() автор топика
Ответ на: комментарий от Khnazile

Домен вообще есть, но магазины и кассы к нему не подключены. Когда собирал стенд, специально взял роутер Huawei c 4G, чтобы с офисной сетью никаким образом не пересекалось. А теперь и думаю, что именно поэтому тестирование вышло не идеальным и не все условия удалось повторить.

Dominik23
() автор топика
General