OpenVPN hromadná změna z UDP na TCP

Martin

OpenVPN hromadná změna z UDP na TCP
« kdy: 27. 08. 2010, 15:28:39 »
Mam asi 150 klientu s timto nastavenim:

Kód: [Vybrat]
remote domena.tld
port 5000
tls-client
dev tap
pull

mute 10
ca xxx.pem
cert xxx.pem
key xxx.pem

comp-lzo
verb 3

#vista patch
route-method exe
route-delay 2

bezi to tedy na protokolu UDP. pouzivam to vyhradne pro VNC administraci, bohuzel vsak zjistuji ze ve srovnani s Hamachi se to chova priserne... obrovsky pocet packet loss. Logika mi tedy rika prejit na TCP.

Problem nastal, kdyz zjistuji ze bych do clienta musel pridat radek: proto tcp-client

Lze to udelat nejak autoamticky? napriklad pres push? nebo nejaky redirect? Jsem pro jakykoli reseni, hromadna zmena nepripada v uvahu, hlavne proto ze vsichni klienti nejsou pripojeni a v dohledne dobe ani nebudou.

Pomuze vubec zmena na TCP u packet loss ?

Nakonec mam tedy zalozni plan, ktery pocita s 2 mi sitemi a postupnym nenucenym prechodem... ale radeji bych nejakou automatiku.

Diky za rady i pripominky k jinym vecem ohledne konfigurace.
« Poslední změna: 25. 11. 2010, 02:16:03 od Petr Krčmář »


...

Re: OpenVPN hromadna zmena z UDP na TCP
« Odpověď #1 kdy: 27. 08. 2010, 20:14:15 »
VNC samo o sobe jede prec TCP, takze tim ze budes tunelovat TCP skrz TCP si asi moc nepomuzes.

Re: OpenVPN hromadna zmena z UDP na TCP
« Odpověď #2 kdy: 27. 08. 2010, 23:08:33 »
Pomuze vubec zmena na TCP u packet loss ?
Ne, bude to ještě horší. (Pokud tedy packet loss na UDP není vyvoláván uměle za účelem znevýhodnění UDP protokolu proti TCP).

Martin

Re: OpenVPN hromadna zmena z UDP na TCP
« Odpověď #3 kdy: 27. 08. 2010, 23:21:33 »
Ne, bude to ještě horší. (Pokud tedy packet loss na UDP není vyvoláván uměle za účelem znevýhodnění UDP protokolu proti TCP).

a prave si myslim ze to bude jeden z problemu

Hlavne si nedokazu vysvetlit proc openvpn ma 80% packet loos a Hamachi 0%.


A co se tyce TCP packetu VNC, ty se schovaji prece do UDP packetu toho tunelu ne?

Martin

Re: OpenVPN hromadna zmena z UDP na TCP
« Odpověď #4 kdy: 27. 08. 2010, 23:49:07 »
Tak ted jsem mel moznost otestovat na lince CDMA od O2. vypada to asi takto:

openvpn:
Kód: [Vybrat]
Odpověď od 10.0.1.30: bajty=32 čas=86ms TTL=127
Odpověď od 10.0.1.30: bajty=32 čas=104ms TTL=127
Odpověď od 10.0.1.30: bajty=32 čas=113ms TTL=127
Odpověď od 10.0.1.30: bajty=32 čas=102ms TTL=127
Odpověď od 10.0.1.30: bajty=32 čas=101ms TTL=127
Odpověď od 10.0.1.30: bajty=32 čas=89ms TTL=127
Odpověď od 10.0.1.30: bajty=32 čas=97ms TTL=127
Vypršel časový limit žádosti.
Vypršel časový limit žádosti.
Vypršel časový limit žádosti.
Vypršel časový limit žádosti.
Odpověď od 10.0.1.30: bajty=32 čas=169ms TTL=127
Odpověď od 10.0.1.30: bajty=32 čas=98ms TTL=127
Odpověď od 10.0.1.30: bajty=32 čas=96ms TTL=127
Odpověď od 10.0.1.30: bajty=32 čas=83ms TTL=127
Odpověď od 10.0.1.30: bajty=32 čas=82ms TTL=127
Vypršel časový limit žádosti.
Vypršel časový limit žádosti.
Vypršel časový limit žádosti.
Vypršel časový limit žádosti.
Vypršel časový limit žádosti.
Vypršel časový limit žádosti.
Vypršel časový limit žádosti.
Vypršel časový limit žádosti.
Odpověď od 10.0.1.30: bajty=32 čas=211ms TTL=127
Odpověď od 10.0.1.30: bajty=32 čas=308ms TTL=127
Odpověď od 10.0.1.30: bajty=32 čas=136ms TTL=127
Odpověď od 10.0.1.30: bajty=32 čas=87ms TTL=127
Odpověď od 10.0.1.30: bajty=32 čas=106ms TTL=127
Odpověď od 10.0.1.30: bajty=32 čas=105ms TTL=127
Odpověď od 10.0.1.30: bajty=32 čas=95ms TTL=127
Odpověď od 10.0.1.30: bajty=32 čas=100ms TTL=127
Odpověď od 10.0.1.30: bajty=32 čas=98ms TTL=127
Vypršel časový limit žádosti.
Vypršel časový limit žádosti.
Vypršel časový limit žádosti.
Vypršel časový limit žádosti.
Vypršel časový limit žádosti.
Vypršel časový limit žádosti.
Vypršel časový limit žádosti.
Odpověď od 10.0.1.30: bajty=32 čas=172ms TTL=127
Odpověď od 10.0.1.30: bajty=32 čas=118ms TTL=127
Vypršel časový limit žádosti.

a hamachi:
Kód: [Vybrat]
Odpověď od x.x.x.x: bajty=32 čas=92ms TTL=128
Odpověď od x.x.x.x: bajty=32 čas=81ms TTL=128
Odpověď od x.x.x.x: bajty=32 čas=108ms TTL=128
Odpověď od x.x.x.x: bajty=32 čas=85ms TTL=128
Odpověď od x.x.x.x: bajty=32 čas=83ms TTL=128
Odpověď od x.x.x.x: bajty=32 čas=82ms TTL=128
Odpověď od x.x.x.x: bajty=32 čas=81ms TTL=128
Odpověď od x.x.x.x: bajty=32 čas=79ms TTL=128
Odpověď od x.x.x.x: bajty=32 čas=77ms TTL=128
Odpověď od x.x.x.x: bajty=32 čas=95ms TTL=128
Odpověď od x.x.x.x: bajty=32 čas=84ms TTL=128
Odpověď od x.x.x.x: bajty=32 čas=90ms TTL=128
Odpověď od x.x.x.x: bajty=32 čas=90ms TTL=128
Odpověď od x.x.x.x: bajty=32 čas=77ms TTL=128
Odpověď od x.x.x.x: bajty=32 čas=96ms TTL=128
Odpověď od x.x.x.x: bajty=32 čas=84ms TTL=128
Odpověď od x.x.x.x: bajty=32 čas=95ms TTL=128
Odpověď od x.x.x.x: bajty=32 čas=78ms TTL=128
Odpověď od x.x.x.x: bajty=32 čas=96ms TTL=128
Odpověď od x.x.x.x: bajty=32 čas=94ms TTL=128
Odpověď od x.x.x.x: bajty=32 čas=91ms TTL=128
Odpověď od x.x.x.x: bajty=32 čas=151ms TTL=128
Odpověď od x.x.x.x: bajty=32 čas=89ms TTL=128
Odpověď od x.x.x.x: bajty=32 čas=78ms TTL=128


prechod na TCP bohuzel nepomhl :) Nevite nekdo co s tim ??


Martin

Re: OpenVPN hromadna zmena z UDP na TCP
« Odpověď #5 kdy: 27. 08. 2010, 23:55:38 »
Beru zpet predchozi prispevek, spatne jsem to testoval, je to funkcni.

Uz zbyva tedy jen otazka jak resit tu hromadnou zmenu ?

Re: OpenVPN hromadna zmena z UDP na TCP
« Odpověď #6 kdy: 28. 08. 2010, 09:03:37 »
Uz zbyva tedy jen otazka jak resit tu hromadnou zmenu ?

Nedelat ji. Domluvit se s tim, kdo UDP zahazuje, popr. zmenit providera.

TCP over TCP je zlo.

http://www.mail-archive.com/gnhlug-discuss@mail.gnhlug.org/msg19655.html

Mimo to, jestli to pouzivas jenom pro tunelovani VPN, neni lepsi pouzit ad hoc ssh tunel?

ejnemo

Re: OpenVPN hromadna zmena z UDP na TCP
« Odpověď #7 kdy: 28. 08. 2010, 10:45:33 »
Nepouzivaji nahodou dva klienty stejny klic?

Martin

Re: OpenVPN hromadna zmena z UDP na TCP
« Odpověď #8 kdy: 31. 08. 2010, 15:10:21 »
Nepouzivaji nahodou dva klienty stejny klic?

ano pouzivaji, je to problem?

Martin

Re: OpenVPN hromadna zmena z UDP na TCP
« Odpověď #9 kdy: 31. 08. 2010, 15:18:20 »
Nedelat ji. Domluvit se s tim, kdo UDP zahazuje, popr. zmenit providera.

TCP over TCP je zlo.

http://www.mail-archive.com/gnhlug-discuss@mail.gnhlug.org/msg19655.html

Mimo to, jestli to pouzivas jenom pro tunelovani VPN, neni lepsi pouzit ad hoc ssh tunel?

Musim mit pristup k nekolika sluzbam, takze obecny IP tunel mi prijde vhod.

Dohoda s ISP neni mozna, jelikoz kazdy ma jineho ISP, resit jeste toto, zblaznim se...

Mozna ze TCP over TCP je zlo, ale prozatim funguje neporovnatelne lepe, tezko rict jestli je to opravdu tim.


ejnemo

Re: OpenVPN hromadna zmena z UDP na TCP
« Odpověď #10 kdy: 31. 08. 2010, 15:28:50 »
Ano, je :) To je ten duvod, proc to chvilku jede, chvilku nejede. Bud to musite explicitne povolit v konfiguraci serveru nebo se klienti pretahuji a pak jeden navaze spojeni a druhy vypadne, nacez druhy zacne navazovat spojeni (a navaze) a vykopne toho prvniho.

Martin

Re: OpenVPN hromadna zmena z UDP na TCP
« Odpověď #11 kdy: 31. 08. 2010, 16:26:22 »
Ano, je :) To je ten duvod, proc to chvilku jede, chvilku nejede. Bud to musite explicitne povolit v konfiguraci serveru nebo se klienti pretahuji a pak jeden navaze spojeni a druhy vypadne, nacez druhy zacne navazovat spojeni (a navaze) a vykopne toho prvniho.

a nejedna se o: duplicate-cn ?
projistotu prikladam konfiguraci serveru:
Kód: [Vybrat]
mode server
tls-server
local doemna.tld
port 5000
dev tap0
ifconfig 10.0.1.100 255.255.255.0
ifconfig-pool 10.0.1.1 10.0.1.90 255.255.255.0
duplicate-cn

ca /etc/openvpn/cacert.pem
cert /etc/openvpn/cert.pem
key /etc/openvpn/key.pem
dh /etc/openvpn/dh1024.pem

log-append /var/log/openvpn/xxx
status /var/run/openvpn/xxx 10

#route na qsoft
push "route 10.0.2.0 255.255.255.0 10.0.1.100"

user nobody
group nogroup
comp-lzo
verb 3
keepalive 10 120


persist-key
persist-tun

Re: OpenVPN hromadna zmena z UDP na TCP
« Odpověď #12 kdy: 03. 09. 2010, 08:17:01 »
Dohoda s ISP neni mozna, jelikoz kazdy ma jineho ISP, resit jeste toto, zblaznim se...
Jestli ono to nebude u ISP na cestě ke koncentrátoru VPN, kterou procházejí všichni. Běžní provideři UDP příliš neomezují. Jako road warrior se připojuji z různých míst na standardní port udp/1194 a téměř nikdy nemám problém. Pokud ano, použiju ssh -D.

Martin

Re: OpenVPN hromadna zmena z UDP na TCP
« Odpověď #13 kdy: 11. 11. 2010, 15:58:27 »
Tak jsem zase tu, po par mesicich provozu tunelu pres TCP je to radikalne lepsi avsak je to porad horsi nez Hamachi.

Nenapada Vas zpusob jak to zlepsit? Dela to hlavne u WIFI spojeni, ktere maji packet loss.

Napada me snizit delku sifrovani, popripade jej uplne vypnout, snizit velikost packetu nebo tak neco... je to mozne?

Popripade poradte uplne jiny VPN system na stejnym principu?  (PC->SERVER)


motyq

Re: OpenVPN hromadna zmena z UDP na TCP
« Odpověď #14 kdy: 12. 11. 2010, 09:18:58 »
pokud akceptujete nesifrovani, a pripadne to provozujete pres hamachi - muzete jeste zkusit n2n tunel - pred nedavnem tady nebo na abc byl clanek.