OpenVPN - puca konekcija kada dođe do transfera podataka između klijenta i servera

[ jovanmal @ 11.12.2012. 14:30 ] @

Pozdrav ljudi,

U firmi imam instaliran OpenVPN server na koji se klijenti povezuju koristeći Mikrotikove kao klijente. To je virtuelna mašina koju pokreće CentOS 6.2 x64. Na većini lokacija nema nikakvih problema, a na nekim lokacijama konekcija pukne čim dođe do nekog transfera podataka između klijenta i servera (npr. pukne kada startujem remote desktop konekciju, ili kada preko browsera pokusam doci do web servera koji se pokreće na klijentu).

Kada se to desi, lokacija biva odsječena sve dok se Mikrotik sam ne konektuje poslije 120 sekundi.

Mislim da ovo ima veze sa kvalitetom Internet linije... Takođe, činjenica je da sam morao koristiti TCP protokol zato što Mikrotik još ne podržava UDP za OpenVPN. Ovo stvara dodatni saobraćaj zbog provjere paketa koju odrađuje TCP.

Svašta nešto sam pokušavao, ali bez uspijeha... Za početak ću da vam pokažem konfiguraciju OpenVPN servera, da imamo odakle krenuti. Svaka pomoć je dobrodošla.

Code:

port 3994
proto tcp-server
dev tun0
ca keys/vpnserver/ca.crt
cert keys/vpnserver/server.crt
key keys/vpnserver/server.key
dh keys/vpnserver/dh2048.pem
server 10.9.0.0 255.255.0.0
crl-verify keys/vpnserver/crl.pem
ifconfig-pool-persist servers/vpnserver/logs/ipp.txt
cipher BF-CBC
user nobody
group nobody
status servers/vpnserver/logs/openvpn-status.log
log-append servers/vpnserver/logs/openvpn.log
verb 3
mute 20
max-clients 300
management 127.0.0.1 8888
keepalive 10 120
client-config-dir /etc/openvpn/servers/vpnserver/ccd
persist-key
persist-tun
ccd-exclusive
push "route 172.18.1.0 255.255.255.0"
push "route 172.18.2.0 255.255.255.0"
push "route 172.18.4.0 255.255.255.0"
push "route 172.18.3.0 255.255.255.0"

[ agvozden @ 12.12.2012. 10:42 ] @

Da nemas mozda na tim lokacijama proksi servere?

[ jovanmal @ 12.12.2012. 12:57 ] @

Ne. Nemam proxy ni na jednoj lokaciji.

Sva dosadašnja istraživanja su me upućivala na setovanje MTU-a. OpenVPN ima komande mssfix i fragment kojima je moguće podešavati veličinu paketa koji se šalju, ali one rade samo sa UDP-om.

Ja sam zbog mikrotikova morao koristiti TCP zato što, kao što sam ranije naveo, Mikrotik ne podržava OpenVPN konekcije preko UDP-a...

Danas sam vidio zanimljivu komandu OpenVPN-a tcp-nodelay koja isključuje Nagle algoritam kod TCP-a (on skuplja manje pakete i šalje ih kada se nakupi dovoljan broj ovakvih paketa).

Probaću sa ovim pa ću javiti kako je prošlo.

[ bachi @ 12.12.2012. 19:09 ] @

Probaj da staviš i na serveru i na klijentima u konfig fajlu: tun-mtu 1400.

[ jovanmal @ 17.01.2013. 11:34 ] @

Još nisam riješio problem :(

Probao sam sa tcp-nodelay, kao i sa raznim vrijednostima MTU-a na serveru i na klijentu. Isto se ponaša - puca konekcija odmah poslije logovanja preko RDP-a.

U opisu problema nisam rekao možda bitan detalj: Klijenti na lokacijama imaju ADSL-ove i konekciju ostvaruje Telekomov ADSL modem. Mikrotik od njega dobija adresu dinamički na svom WAN interfejsu. Došao sam na ideju da probam sa pravljenjem PPPoE konekcije na Mikrotiku i da ADSL modem stavim u bridž - tako bih mogao da koristim Mikrotikovu opciju Change TCP MSS, na Default profilu za PPP...

Javiću kad ovo probam, a to će biti sredinom sljedeće sedmice. Pozdrav

[ bachi @ 17.01.2013. 11:50 ] @

E to ti i jeste rešenje problema. Pretpostavio sam da ti ADSL modemi i jesu u bridge mode-u, jer su nakačeni na MikroTik.