Главная » Форум » Gentoo Linux » Системное администрирование

openvpn и растущие пинги

EasyLow 16 октября, 2012 - 17:57

Добрый день. Помогите пожалуйста решить проблемку с openvpn. есть 2 gentoo машины. первая подключается к второй через openvpn. И с первой я сразу начинаю пинговать ИП адрес (виртуальной сети openvpn) второго компа и пинг очень быстро растет. со временем доходит даже к 130000мс и потом они друг друга перестают видеть. Я попробовал поднять openvpn client на третем компе (Windows 7) и подключился к второму. и на Виндовс машине все нормально. Пинг стабилен.
Вот конфиги

openvpn.server:

     
     mode server
     tls-server
     proto tcp-server
     dev tap
     port 7050
     daemon
     tls-auth /etc/openvpn/vserver/keys/ta.key 0
     ca /etc/openvpn/vserver/keys/ca.crt
     cert /etc/openvpn/vserver/keys/hydra.crt
     key /etc/openvpn/vserver/keys/hydra.key
     dh /etc/openvpn/vserver/keys/dh1024.pem
     ifconfig 192.168.4.1 255.255.255.0
     ifconfig-pool 192.168.4.2 192.168.4.20
     push "route 192.168.3.0 255.255.255.0"
     push "route-gateway 192.168.4.1"
     client-to-client
     duplicate-cn
     verb 3
     cipher DES-EDE3-CBC
     persist-key
     log-append /var/log/openvpn.log
     persist-tun
     keepalive 10 60
     comp-lzo

openvpn.client:

     tls-client
     proto tcp-client
     remote X.X.X.X
     dev tap
     port 7050
     pull
     cd /etc/openvpn/vserver/client
     tls-auth /etc/openvpn/vserver/client/ta.key 1
     dh /etc/openvpn/vserver/client/dh1024.pem
     ca /etc/openvpn/vserver/client/ca.crt
     cert /etc/openvpn/vserver/client/vincentvangog.crt
     key /etc/openvpn/vserver/client/vincentvangog.key
     cipher DES-EDE3-CBC
     comp-lzo
     ping 10
     status /var/log/openvpn-status.log
     log /var/log/openvpn-client.log
     verb 9
     mute 10

ping
localhost ~ # /etc/init.d/openvpn.client restart
* Stopping openvpn.client ... [ ok ]
* Starting openvpn.client ... [ ok ]
* WARNING: openvpn.client has started, but is inactive
localhost ~ # ping 192.168.4.1
PING 192.168.4.1 (192.168.4.1) 56(84) bytes of data.
64 bytes from 192.168.4.1: icmp_req=1 ttl=64 time=6.92 ms
64 bytes from 192.168.4.1: icmp_req=2 ttl=64 time=2.89 ms
64 bytes from 192.168.4.1: icmp_req=3 ttl=64 time=2.86 ms
64 bytes from 192.168.4.1: icmp_req=4 ttl=64 time=3.59 ms
64 bytes from 192.168.4.1: icmp_req=5 ttl=64 time=2.65 ms
64 bytes from 192.168.4.1: icmp_req=6 ttl=64 time=2735 ms
64 bytes from 192.168.4.1: icmp_req=8 ttl=64 time=15230 ms
64 bytes from 192.168.4.1: icmp_req=9 ttl=64 time=17560 ms
64 bytes from 192.168.4.1: icmp_req=10 ttl=64 time=20034 ms
64 bytes from 192.168.4.1: icmp_req=11 ttl=64 time=23995 ms
64 bytes from 192.168.4.1: icmp_req=12 ttl=64 time=27853 ms

‹ SambaPDC Squid ntlm_auth (теория) Отдельные шлюзы на одной машине. ›
»

Для начала стоит убрать из

Автор Lazhu, дата создания 17 октября, 2012 - 16:25.

Для начала стоит убрать из всех конфигов строчку "proto tcp-server".
А затем дать линки на впн-логи сервера и клиента

»

Спасибо за совет когда удалил

Автор EasyLow, дата создания 18 октября, 2012 - 20:44.

Спасибо за совет когда удалил ту строку пинг пошел нормально. На сколько я понимаю я держал сервер только на ТСП а УДП веть для транспорта. поправьте если ошибаюсь. Но все же есть некорорые проблемы. маленькая скорость передачи файлов через VPN. когда я копирую с помощю SCP и белые ІР адреса скорость 5.6мегабайт. а через ІР в VPN скорость 250 килобайт.

»

вот лог сервера

Автор EasyLow, дата создания 19 октября, 2012 - 05:30.

конфиг сервера http://pastebin.com/gdmyHbTp
конфиг клиента http://pastebin.com/Mkw2SVWp
вот лог сервера http://pastebin.com/DAsR36dM
А вот клиента http://pastebin.com/W9hDxxAL
Это во время передачи файла через scp и openvpn
и вот скорость
~ # scp 192.168.4.2://home/samba/incoming/Micro*.rar /home/samba/incoming/
Password:
Microsoft Office.rar 0% 880KB 119.5KB/s 2:01:58 ETA
^CKilled by signal 2.
а вот через интернет
~ # scp 77.47.166.181://home/samba/incoming/Micro*.rar /home/samba/incoming/
Password:
Microsoft Office.rar 1% 12MB 6.0MB/s 02:19 ETA
^CKilled by signal 2.

»

Я бы использовал dev tun

Автор Lazhu, дата создания 19 октября, 2012 - 07:51.

Я бы использовал dev tun вместо tap, если только нет необходимости в доступе к удаленной локалке. TAP соединяет два ethernet-сегмента, соответственно, помимо полезных данных по каналу идет весь broadcast мусор, не говоря уже об ethernet-фреймах. И вообще инкапсулировать layer2-фреймы в layer3-пакеты не лучшая идея.

»

когда я использую tun то

Автор EasyLow, дата создания 20 октября, 2012 - 04:24.

когда я использую tun то компютеры не видят друг друга в виртуальной сети.

»

Это от непонимания работы

Автор slepnoga, дата создания 20 октября, 2012 - 11:34.

Это от непонимания работы сети - винс сервера должны помочь

Compute:
Bosch M2.8.1 -> custom Bosch M2.8.3 clone from Russia.
Speed about 260 km,Ram 2 pers.,HDD - 70 kg,210 FLOPS ;)

»

стандартная ошибка -

Автор slepnoga, дата создания 17 октября, 2012 - 21:50.

стандартная ошибка - инкапсуляция tcp over tcp при работе механизмов перегрузки и квититрования в капсулированном канале

Compute:
Bosch M2.8.1 -> custom Bosch M2.8.3 clone from Russia.
Speed about 260 km,Ram 2 pers.,HDD - 70 kg,210 FLOPS ;)

»

в данном случае icmp, а в

Автор Lazhu, дата создания 17 октября, 2012 - 22:53.

в данном случае icmp, а в общем - ip. но суть от этого не меняется

»

Настройки просмотра комментариев

Выберите нужный метод показа комментариев и нажмите "Сохранить установки".