Printable View
Zdar,
Vytvořil jsem si na W2003 serveru OpenVPN server který bridgeuje vpn klienty s lokální sítí. Problém je ten že ping klient-server je přez vpn neúnosný (jen po netu je to naprosto ok). Zjistil sem že pokud vytvořím routovaný tunel je to ok. Nemáte někdo nějaký nápad co by s tím šlo dělat?
Dík za každý nakopnutí správným směrem.
C:\Documents and Settings\Administrator>ping 10.8.0.2
Pinging 10.8.0.2 with 32 bytes of data:
Reply from 10.8.0.2: bytes=32 time=52ms TTL=128
Reply from 10.8.0.2: bytes=32 time=38ms TTL=128
Reply from 10.8.0.2: bytes=32 time=45ms TTL=128
Reply from 10.8.0.2: bytes=32 time=68ms TTL=128
Ping statistics for 10.8.0.2:
Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),
Approximate round trip times in milli-seconds:
Minimum = 38ms, Maximum = 68ms, Average = 50ms
toto je z klienta na klient po internete cez nic moc connection ... mas to rozbite :) (toto je len ukazka, ze to neni bezna vlastnost)
Co mas za pripojeni? Ja byl pripojen pres openvpn na siti, kde se ztracely pakety. Bez openvpn vse behalo rychle. Pri pripojeni openvpn to bylo silene pomale. Z jinych mist opet vse ok. Zkus zmeti protokol na UDP. Treba se to zrychli. Nemel by byt tak narocny na chybovost. Predpokladam, ze ten spoj mas
openvpn-client->internet->openvpn-server.
S OpenVPN mam jen ty nejlepsi zkusenosti a uz to nejaky patek pouzivam.
Pravdou je, ze nemam nastaven bridge, ale obycejne routuju mezi subnety, ale bude-li zajem, tak bych si tom zkusit rozesrat a s tim bridgem si pohrat - nevidim duvod proc by bridge mel cokoli menit, to uz neni vec OpenVPN.
Ja s tim take zadny problem nemam. Jen kdyz jsem se pripojil na siti, kde se ztracely pakety cca 10%, tak internet byl nepouzitelny. Bez openVPN vse ok. Zkousel jsem se pripojit i na skolni VPN, ktere beha na CISCO servrech a prihlaseni probiha pres windows (presne nevim co to je uz jsem to cca rok nepouzil) a odezva byla stejne pomala a internet nepouzitelny. Jinak openVPN pouzivam doma pres wifi na router, kvuli bezpecnosti a zadny problem. Nekdy kdyz jsem ve skole s notasem tak take pouziji openvpn, a ani nepoznam rozdil.
On to rozdil je...pouziva se tap interface namisto tun...nastavuje se to v konfiguraku...zkousel sem to po dvou linkach 2mb a asi 20mb (oboje z me 3mb linky) a je to vsude stejneCitace:
Původně odeslal monsoon
Ke kvalitě spojení....je naprosto bez PL a asi tak 3Mbit takže uplně v pohodě
Prestoze nebridguju, tak pouzivam vsude tap interface, uz si bohuzel nepamatuju z jakych duvodu, jake to ma vyhody, ale urcite neco bude.Citace:
Původně odeslal Gregy
EDIT: Uz asi vim, tap se chova jako uplne virtualni interface, takze neni limitovan tcp/ip protokolem, treba ipx na hry :)
Proste emuluje se druha vrstva misto treti.
Připojuji se taky s dobrými zkušenostmi s OpenVPN. Používám tun interface a routování mezi sítěmi, protokol UDP. Pokud linka nemá brutální ztrátovost, tak chodí naprosto spolehlivě a pro dobře komprimovatelná data je samo i rychlejší než klasika (lzo komprese je zapínaná automaticky).
Tunelů mám v provozu tak ke 40 a běhá na tom od brouzdání po webu až IP telefonii. Dokonce jsou některé routery na úrovni Pentium MMX 200MHz a ping nechodí nad 70ms (ADSL, bezdrát 5,1GHz, kabelovka), průměr je kolem 35ms. Když je to za dvěma tunely - kabelovka x optika páteř x bezdrát tak je to max 90 a průměr 50. Oproti pingům mimo tunel je to ~ +20ms.
No, tak to vypadá že problém byl někde na mém pc. Připojil sem se na ten tunel z linuxu a jede to v pohodě. Stejně to na tom pc nepotřebuju...může jet přez server. Díky moc za podporu
Tak za prvne bridgeovana ma ohodne horsi vykon nez routovana OpenVPN. Rekneme, ze na O2 siti pres celou republiku jedu s pingama do 15ms bez jedineho vypadku a bridgemse dostavam na 40-50 (nemusi byt pravidlem)
Za druhe OpenVPN je spickove reseni a absolutne spolehlive, nicmene, bych OpenVPN server v zivote nedal na Windows .... Je to sice dobre podporovany, ale primarne je to linux zalezitost.
Pouzivam to v jedne firme, kde se jede VoIP + vsichni zamestnanci jedou pres terminalove servery (Citrix, RDP) propojene pomoci OpenVPN. Kdysi jsme vyhodili cisca a nahradili to linux routerama + OpenVPN protoze na nem to dava vyssi vykon a variabilitu nez cisco + IPSec ...
Jo, jasný ale já potřebuju přístupnost na muj pc (ten klient) ze site u serveru a routy tam nikam davat nemuzu (ciste routovani tedy nejde) a NAT je taky takove řešení nanic (mapovani portu atd). K těm winum....to mas pravdu ale prostě k jinému serveru se nedostanu :)
Proc si nemuzes osefovat veskere routovani pomoci OpenVPN ? Co ti v tom brani ?Citace:
Původně odeslal Gregy
Pravdepodobne to, ze OpenVPN neovlivni routy pocitacu na te siti, kam se pripojuje, jelikoz ty o nejakejm OpenVPN nemaj poneti.Citace:
Původně odeslal svaca
No a ?
Server OpenVPN ma na hlavnim serveru ten se dostane vsude, tak si nastavi dynamicke routy primo na serveru vpn (Win2kserveru) a dostane se vsude, kam ten server. je to stale mensi zlo nez ten bridge.
To je prave vec, kterou nevis. Pokud OpenVPN server bezi na vychozi brane, tak neni problem a vse pojede samo. Pokud ne, tak je potreba na vychozi branu pridat jednu routu smerujici na OpenVPN server, ktery muze bezet na uplne jinem stroji - tak to mam doma treba ja.Citace:
Původně odeslal svaca
Asi nema smysl tady diskutovat o tom, jak to ma autor zapojene a pockal bych nan, at se k tomu vyjadri.
Ano samozrejme. Ale s tim jsem pocital, ze je to jako i router. Ale koukam, na prvni post, ze to tak vubec neni jasne.....
Kdyz to je pak naprd implementovat nekam neco, kdyz nemam plna prava a moznosti ...
Ten server není na bráně a zařizovat routy je v podstatě nemožné. Ten bridge mi ale zatim ve všem vyhovuje tak není důvod nastavovat nic jiného.
pouzivas TCP nebo UDP (pro prenos OpenVPN)?
Na tap je rozhodne vhodnejsi UDP. Ja mel s TCP problem v kombinaci s Vistama a WiFi (ale pouzivam tun). Taky neunosny pingy. Prechod na UDP vse vyresil.
Puzivam TCP a to z toho důvodu že jedu přez záložní linku kde je router který prostě neumí namapovat UDP port :(
mno, to je mrzute ... nemas nejakou moznost, jak to aspon vyzkouset ? trosku by to nastinilo, kde hledat problem ...Citace:
Původně odeslal Gregy
Ono už je to vlastně vyřešené. Ten problém vězel v klientském PC s WinXP. Přes server s linuxem to jede v pohodě a i pingy jsou slušnýCitace:
Původně odeslal Gregy