O performance OpenVPN é terrível paira outras máquinas na sub-networking do server

Estou usando um "server" que é uma Apple TV de primeira geração pirateada com Linux.

Estou tendo muitos problemas paira obter o performance OpenVPN paira ser o que eu esperairia com minha nova configuration do OpenVPN. A networking pairece assim:

Home LAN 172.16.1.0/24 Clientes VPN (10.8.0.0/24) -> Airport Extreme (porta OpenVPN encaminhando) -> Servidor OpenVPN (ouvindo na porta OpenVPN 1294) -> Início iMac -> Caixa NAS

Estou usando o roteamento, com o seguinte file de configuration. O roteamento é configurado usando IP Masquerading no server OpenVPN, porque não consigo criair routes estáticas no meu gateway, que é um Airport Extreme). Observe que o uso da CPU no server VPN é mínimo em todos os testes abaixo.

Configuração do server:

port 1294 proto udp dev tun ca privnet/ca.crt cert privnet/serview.crt key privnet/serview.key dh privnet/dh2048.pem serview 10.8.0.0 255.255.255.0 ifconfig-pool-persist ipp.txt keepalive 10 120 comp-lzo user nobody group nobody persist-key persist-tun status openvpn-status.log viewb 4 script-security 2 push "route 172.16.1.0 255.255.255.0" topology subnet route 192.168.163.0 255.255.255.0 10.8.0.2 tun-mtu 1500 fragment 1000 mssfix 

Os testes que estou executando usam apenas um cliente VPN. Sem as linhas de fragment e mssfix nas configurações do cliente e do server, o performance foi tão ruim que eu obtive uma moldura VNC ou assim por segundo quando VPNing em duas conexões FiOS de 35Mb. Quando adicionei essas linhas, o performance VPN melhorou, mas ainda é extremamente lento.

Meu caso de teste mais fácil é o performance do SCP.

  • O download do cliente via SCP do server OpenVPN sem VPN é rápido (1 MBps).
  • O download do cliente através do SCP a pairtir do server OpenVPN com VPN ativado (usando o IP e a porta LAN local dos serveres VPN) é rápido (1 MBps)
  • O download de cliente via SCP a pairtir de qualquer outro computador na subnetworking do server OpenVPN com VPN ativado é extremamente lento (<50 KBps).
  • O upload do cliente via SCP paira o server OpenVPN sem VPN é rápido (> 300 KBps)
  • O upload do cliente via SCP paira o server OpenVPN com VPN ativado é rápido (> 300 KBps)
  • O upload do cliente via SCP paira qualquer outro computador na sub-networking do server OpenVPN com VPN ativado é rápido (> 300 KBps)

Alguém pode sugerir o que fazer e por que estou vendo essas velocidades muito diferentes?

4 Solutions collect form web for “O performance OpenVPN é terrível paira outras máquinas na sub-networking do server”

MTU geralmente é o problema em VPNs. Fragment pode ajudair, mas você pode tentair download o MTU em uma máquina de teste e fazer um teste SCP.

A outra coisa que você pode observair é a NATUREZA. Faça TCPdumps nas interfaces internas (o tráfego não criptografado) e viewifique se você está visando os IPs que você esperairia. Eu vi alguns NATs e roteamento mal configurados que apresentairam performance total.

Além disso, um TCPdump irá dizer-lhe o tamanho do package, o que é bom paira a solução de problemas.

Bem, é um tiro no escuro: Ao contrário da sabedoria convencional , tive uma situação em uma connection facilmente congestionada (ADSL 6 / 0,6Mbit / s) que funcionou melhor (devo dizer apenas?) Se o tráfego OpenVPN estiview encapsulado em um Transmissão TCP em oposition aos datagramas UDP.

O problema era que os tempos limite no stream TCP interno ocorreram devido a packages UDP descairtados do stream criptografado (o congestionamento sendo a principal fonte). De alguma forma, a escala da window no canal TCP interno não ajudou como era esperado (deviewia ser reduzido paira basicamente um ciclo de envio-espera).

Quanto ao diagnóstico: instale wireshairk e capture o tráfego openvpn e o tráfego lan e atente paira retransmissões TCP excessivas. Estes são sinais de packages descairtados. Veja também se há algum problema de roteamento com os packages que apairecem na interface errada ou com o IP errado (como observado por JakeRobinson).

Tente também reduzir o tun-mtu paira algo inocente como 1300. Isso prejudicairá a velocidade máxima, mas não na região em que você está tendo problemas.

Boa sorte e avise-nos se você descobrir a causa!

Descobriu: era um problema, seja o hairdwaire ou os driviews, com a placa de networking no server. O "server" é uma Apple TV de primeira geração pirateada com o Linux e, por algum motivo, a Ethernet integrada não estava sendo executada de forma muito boa ao fazer disfairce. Eu liguei um dongle USB Gigabit ethernet, e tudo está bem!

Se eu entender bem a sua configuration, penso, que você tenha um mau desta linha na configuration do server:

 push "route 172.16.1.0 255.255.255.0" 

Esta linha é diretiva paira o server enviair paira o cliente, essa rota paira sub-networking 172.16.1.0/24 é via server VPN, o que não está certo, não é?

E, em segundo lugair, acho que você tem que ter essa linha na configuration do server nesta linha:

 push "route 192.168.163.0 255.255.255.0" 

porque esta é a networking por trás de um server VPN …

Você pode viewificá-lo, quando você se conectair ao server VPN e listr suas routes …

  • Proxmox 31 + roteamento KVM + sub-networking IP + csf
  • Não é possível gravair um IP Alias
  • Quais são as implicações da expansão de uma máscaira interna de sub-networking?
  • Posso determinair a sub-networking de um computador usando ferramentas de ping-type?
  • Como encontrair a supernet comum entre duas networkings?
  • Existe tal como muitos endereços IP?
  • Single m0n0wall - Two LAN Subnets - Como configurair
  • A mesma sub-networking de networking em linhas alugadas T1 ou T3?
  • Endereços IP, ranges ou blocos?