Форум русскоязычного сообщества Ubuntu


Следите за новостями русскоязычного сообщества Ubuntu в Twitter-ленте @ubuntu_ru_loco

Автор Тема: В раздумьях насчет работы OpenVPN через UDP. Не работает, зараза...  (Прочитано 6778 раз)

0 Пользователей и 1 Гость просматривают эту тему.

Оффлайн AlexDem

  • Автор темы
  • Активист
  • *
  • Сообщений: 708
    • Просмотр профиля
Есть OpenVPN сервер, конфиг ниже.
VPS во Франции, Ubuntu Xenial (16.04 LTS), UFW, F2B, Samba, и вотэтовсевотэтовот...

Работает как часы, к нему коннектятся периодически около 20 клиентов и ни разу не было никакой проблемы. Просто поставил и забыл. У всех есть интренет, файлики туда-сюда через самбу, ip-hole, красота.
Но все это работает на TCP, т.к. во 1-х во главу угла ставилась надежность, а во 2-х первое правило админа: "если работает - то не лезь". Но наши руки не для скуки, и зудело давно попробовать все это наладить через UDP, ибо ходит легенда, что так быстрее.
Но смена настроек на proto udp приводит лишь к тому, что все клиенты (с разными провайдерами) отказываются соединяться, даже если им указать в настройках на то, чтобы соединяться по UDP. Возврат на proto tcp мгновенно восстанавливает связь.
Думал файрволл шалит - отключение на время UFW не дает эффект.

(Нажмите, чтобы показать/скрыть)

Вот думаю, что бы такого поковырять, чтобы оно взлетело? Вроде бы особо не надо, но на всякий запасной случай, вдруг внезапно понадобится. Да и может быть и правда быстрее заработает, т.к. сеть у сервера на даунлинк 200 мегабит, а клиенты порой показывают скорость закачки всего 10-15.


Оффлайн AnrDaemon

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 28469
    • Просмотр профиля
Недостаточно просто отключить UFW. Надо либо снести его найух, либо нормально настроить.
Хотите получить помощь? Потрудитесь представить запрошенную информацию в полном объёме.

Прежде чем [Отправить], нажми [Просмотр] и прочти собственное сообщение. Сам-то понял, что написал?…

Dzhoser

  • Гость
Я знаю анекдот про TCP, ecли он Вам не понравится я расскажу Вам ещё раз.
А про UDP? А про UDP я Вам расскажу 1 раз, но боюсь он до Вас не дойдет.
P.S. Быстрее не будет, а проблему с потерей пакетов вы отгебете, точнее уже отгребли.

Оффлайн The Green Side

  • Старожил
  • *
  • Сообщений: 1178
    • Просмотр профиля
Возможно у провайдера VPS свой фаервол ещё стоит?
Debian 11, Debian 11 Server

Оффлайн AlexDem

  • Автор темы
  • Активист
  • *
  • Сообщений: 708
    • Просмотр профиля
Возможно у провайдера VPS свой фаервол ещё стоит?
Есть такой шанс, хотя в консоли настройки я поставил все порты и протоколы разрешить. т.е. единственный файрволл по сути на сервере.

Dzhoser

  • Гость
sudo traceroute <сервер во Франции>

Оффлайн AnrDaemon

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 28469
    • Просмотр профиля
Dzhoser, смысл именно в том, что при потере пакетов UDP срабатывает механизм восстановления внутри тоннеля, а на TCP приходится ждать, пока сам поток прочихается.
Хотите получить помощь? Потрудитесь представить запрошенную информацию в полном объёме.

Прежде чем [Отправить], нажми [Просмотр] и прочти собственное сообщение. Сам-то понял, что написал?…

Dzhoser

  • Гость
« Последнее редактирование: 25 Декабря 2020, 16:35:09 от Dzhoser »

Оффлайн AnrDaemon

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 28469
    • Просмотр профиля
Обычная VPN технология. Для трафика внутри тоннеля потеря UDP пакета равнозначна потере Ethernet (например) пакета.
Он просто перешлёт его. Сам.

P.S.
На будущее воздержитесь от использования педивикии в качестве аргумента в споре.

Пользователь добавил сообщение 25 Декабря 2020, 19:09:44:
P.P.S.
https://openvpn.ru/faq/ru/?id=16
« Последнее редактирование: 25 Декабря 2020, 19:09:44 от AnrDaemon »
Хотите получить помощь? Потрудитесь представить запрошенную информацию в полном объёме.

Прежде чем [Отправить], нажми [Просмотр] и прочти собственное сообщение. Сам-то понял, что написал?…

Dzhoser

  • Гость
AnrDaemon, можно ссылку на авторизованный источник документации, что VPN туннель перешлёт сам потерянный пакет. Так как это действие противоречит стандарту RFC 768

Оффлайн AlexDem

  • Автор темы
  • Активист
  • *
  • Сообщений: 708
    • Просмотр профиля
Да, забыл добавить

sudo ufw status numbered
Status: active

     To                         Action      From
     --                         ------      ----
[ 1] OpenSSH                    ALLOW IN    Anywhere                 
[ 2] 1194/udp                   ALLOW IN    Anywhere                 
[ 3] 1194/tcp                   ALLOW IN    Anywhere                 
[ 4] 53                         ALLOW IN    Anywhere                 
[ 5] 80                         ALLOW IN    Anywhere                 
[ 6] 443                        ALLOW IN    Anywhere                 
[ 7] 10.100.0.1 53/udp          ALLOW IN    10.100.0.0/24             
[ 8] 10.100.0.1 53/tcp          ALLOW IN    10.100.0.0/24             
[ 9] 10.100.0.1 80/tcp          ALLOW IN    10.100.0.0/24             
[10] Samba                      ALLOW IN    Anywhere                 
[11] 21                         ALLOW IN    10.100.0.0/16             
[12] 20                         ALLOW IN    10.100.0.0/16             
[13] OpenSSH (v6)               ALLOW IN    Anywhere (v6)             
[14] 1194/udp (v6)              ALLOW IN    Anywhere (v6)             
[15] 1194/tcp (v6)              ALLOW IN    Anywhere (v6)             
[16] 53 (v6)                    ALLOW IN    Anywhere (v6)             
[17] 80 (v6)                    ALLOW IN    Anywhere (v6)             
[18] 443 (v6)                   ALLOW IN    Anywhere (v6)             
[19] Samba (v6)                 ALLOW IN    Anywhere (v6) 

Dzhoser

  • Гость
А исходящие где?

Оффлайн AlexDem

  • Автор темы
  • Активист
  • *
  • Сообщений: 708
    • Просмотр профиля

Оффлайн AlexDem

  • Автор темы
  • Активист
  • *
  • Сообщений: 708
    • Просмотр профиля
ВНЕЗАПНО оно стало работать как надо. После очередной как то по счету перезагрузки. Но скорость не прибавилась. Интересно, а будет ли  StrongSwan + ipsec ikev2 на клиентах для  Windows, Android, и Ubuntu работать побыстрее чем OpenVPN? Как то у меня не удалось в свое время наладить нормальной работы с Android, все глючило, тормозило и обрывалось, но было это давно, может сейчас все ок?

Пользователь добавил сообщение 28 Декабря 2020, 15:55:07:
В общем поднял я на сервере StrongSwan IKEv2/IPSec параллельно OpenVPN, подключил к нему одну из машин на Ubuntu 20.04 c хорошим процессором и сетью, чтобы исключить фактор железа, и сравнил скорости. Верхняя это  OpenVPN, нижняя это IKEv2/IPSec.


(Нажмите, чтобы показать/скрыть)

А вот та же картина для Windows 10. Загадка, почему одна и та же конфигурация на Ubuntu тормозит, а на Windows напротив?

(Нажмите, чтобы показать/скрыть)
« Последнее редактирование: 28 Декабря 2020, 16:05:16 от AlexDem »

Оффлайн AnrDaemon

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 28469
    • Просмотр профиля
Dzhoser, не путай уровни ответственности.
UDP для VPN это Layer3. При передаче данных внутри тоннеля срабатывают механизмы самого тоннеля.
Хотите получить помощь? Потрудитесь представить запрошенную информацию в полном объёме.

Прежде чем [Отправить], нажми [Просмотр] и прочти собственное сообщение. Сам-то понял, что написал?…

 

Страница сгенерирована за 0.05 секунд. Запросов: 25.