Sziasztok!
Először is bocs a ködös fogalmazásért.
Egy érdekes probléma kapcsán szeretnék kérni tőletek tippeket, ötleteket.
Maga a probléma:
Adva van egy hardened Gentoo terjesztést futtató kiszolgáló, 100 megabites hozzáférésen.
(1.5Ghz P4, 768 mega RAM)
A következő feladata lenne: egy másik hálózatban nat mögötti kliensek kapcsolódnának rá OpenVPN-en keresztül, kapnának egy belső IP címet, és egy nat után tudnának online játszani, torrentelni, játékot hosztolni port forward-al, stb.
A megvalósítás már kész van: össze van bridgelve a tap interfész egy virtuális interfésszel(dummy), majd a belső hálózati tartomány natolva van.
Látszólag minden szépen működik, letöltések is, kivéve egy dolgot: az online játékok "lag"-olnak, 300 msec is lehet a késleltetés a játék szerint(counter strike), de folyamatosan ingadozik. Viszont ekkor a tunnelből pingeléskor csupán 10 msec-es késleltetést látni, max 13 msec, pont annyit mint egyéb esetben is, vagy a tunnelen kívülről.
Titkosítás, replay, és iv nélkül működik, titkosítás nem fontos, átvitel lenne a lényeg. Jelenleg tcp protokollon használják mert udp esetén még siralmasabb a helyzet.
Próbáltam a 2.0.9 és 2.1_rc4-el, ugyan az a helyzet.
Tanácstalan vagyok. Valakinek valami tippje-ötlete, hogy merrefelé keresgessek, vagy induljak el?
A válaszokat nagyon szépen köszönöm előre is!
Üdv: lzoli
- 1168 megtekintés
Hozzászólások
Azt kifelejtettem, hogy a kliensek winxp-k OpenVPN klienssel.
- A hozzászóláshoz be kell jelentkezni
config és verb 6?
esetleg broadcast?
- A hozzászóláshoz be kell jelentkezni
Szerver oldali konfig:
dev tap0
port 500
proto tcp-server
tls-server
ca /path.to/ca.crt
cert /path.to/server.crt
key /path.to/server.key
dh /path.to/dh1024.pem
mode server
server-bridge 192.168.10.1 255.255.255.0 192.168.10.2 192.168.10.100
ifconfig-pool-persist /path.to/ip_pool
keepalive 10 120
client-to-client
max-clients 100
verb 3
no-replay
no-iv
cipher none
push "redirect-gateway"
persist-key
persist-tun
log-append /var/log/openvpn.log
status /tmp/vpn-network.status
user openvpn
group openvpn
Kliens oldali konfig ennek a párja, de ha kell bemásolom azt is.
verb6 kimenetet később tudok adni, mert holnap ZH, és arra készülök most.
- A hozzászóláshoz be kell jelentkezni
Elkészítettem a logokat.
A szerver log fájl megtalálható itt: http://152.66.229.139/vpn/server.log
A kliensen készült log: http://152.66.229.139/vpn/client.log
- A hozzászóláshoz be kell jelentkezni
Tomorites ki van kapcsolva (
comp-lzoopcio)?
- A hozzászóláshoz be kell jelentkezni
Igen, ki van.
- A hozzászóláshoz be kell jelentkezni
--cipher nonees akkor mar titkositas sincs, ha erre gyanakszol. bar szerintem tuti h magasabb retegben van gond.
- A hozzászóláshoz be kell jelentkezni
Ha megnézed ez az opció már benne van a konfigban. :)
Van valami ötleted, hogy hogyan kezdjek hozzá a "debugoláshoz"? Mi lenne az első amit megnéznél?
- A hozzászóláshoz be kell jelentkezni
Semmi ötlet?
- A hozzászóláshoz be kell jelentkezni
Szerintem valami MTU gond lesz, mert a VPN fejléc miatt lecsökken a használható MTU, emiatt az 1500 byte-os csomagokat fragmentálni majd összerakni kell. A fragmenteket időszakosan tárolni kell az összerakáshoz, ez időkésleltetést okoz. Másrészt a CPU-nak is munkát ad, interrupt: újabb késleltetés. Ez csak egy ötlet, lehet az is, hogy egész más az oka.
- A hozzászóláshoz be kell jelentkezni
Wireshark-al sniffeltem a tap interfészt, és néha random időközönként el-el veszik 5-10 csomag. (már UDP-t használok)
MTU gond lehet?
- A hozzászóláshoz be kell jelentkezni
Minden lehetséges MTU értékkel kipróbáltam, de nem lett jobb a helyzet. Senkinek sincsen valami újabb ötlete esetleg?
- A hozzászóláshoz be kell jelentkezni