我有一组办公室,都通过远端的DSL链路连接到总部,以节省成本。 (我们是一个非营利组织,不要问) 在处理我们的远程站点的ISP和处理我们OpenVPN运行的T1线路的ISP之间的链接上,我们历史上存在着明显的问题,所以这些链接经常停下来。 我们的邮件服务器的公共接口是在第一个提供商的networking上,所以它工作得很好,但速度要慢得多,因为它也是DSL。 为解决上游networking不可靠性问题,我编写了一个脚本,只需修改远程站点上的DNSlogging,使其指向内部IP(如果隧道已启动)或公用IP(如果到主站点的VPN隧道已closures)。 我怎样才能以更优雅的方式做到这一点,而不是我的cron驱动的脚本,对用户是透明的? 编辑:远程办公室:Ubuntu 9.10 LTSP服务器运行各种供应商提供的Actiontecs和摩托罗拉和less数与Netgears和Linksys防火墙。 总部:几乎100%的Linux(在这种情况下是CentOS),带有多个Netgear FVS318 / 338系列防火墙,在我们的/ 27上为每个IP使用单独的防火墙。 (另一个不问,那是我来之前)
我遇到了一个我无法解决的问题。 当我通过SSHlogin到VPS并尝试在该VPS上build立VPN连接时,VPS和我的计算机之间的SSH连接丢失。 我认为这是因为路由被VPN设置改变了。 如何防止呢?
我们在一个BGAN卫星链路上运行一个OpenVPN VPN,ping时间约为3秒。 我们在tunconfiguration中使用它,我们在Linux(CentOS)上运行。 这主要是通过链接发送的电子邮件,但只要邮件中包含大量附件,VPN似乎就会停滞不前。 “我可以通过隧道,但任何真正的工作导致它locking,这是一个MTU的问题? 在OpenVPN常见问题似乎正好描述我的问题,但使用mssfix和fragment似乎并没有太多的改善情况。 我的主要testing是用scp在VPN上复制一个2MB的文件。 它将复制大约192k字节,然后报告一个– 停滞状态。 如果我等了几秒钟,它会再次开始复制,然后在又一个几千字节之后再次失速。 无论是否在OpenVPNconfiguration中设置了fragment或mssfix选项(尽pipe设置fragment 1000似乎减less了停顿但不消除它),都会发生这种拖延。 OpenVPN的mtu-test报告1542作为MTU大小。 我已经在互联网上search了关于如何以及何时使用mssfix和fragment更多build议,但是我只find与FAQ相同的页面,而没有提供关于如何以及何时使用哪些参数的细节。 我的问题是: 我什么时候使用mssfix和fragment ? 我是否结合使用了mssfix和fragment ? 如果mssfix和fragment是解决scheme, tun-mtu , link-mtu和mtu-disc参数是什么? 而且,我一直使用工具iperf来测量带宽。 没有VPN,它不断测量在210Kbits / sec的顺序。 当通过VPN( $ iperf -c remoteserver -t60 -i5 )使用iperf时 ,它将以10Kbits / sec开始,然后稳步上升,直到它报告1.2Mbits / sec,然后它会停顿,在那里报告0kb /秒的迭代次数(我认为1.2Mbits / sec可能是因为一些OpenVPN缓冲等) Iperf是衡量带宽的最好方法吗? 任何有关这种情况的帮助将不胜感激。
如果您在openvpnconfiguration文件中使用“redirect-gateway def1”选项,服务器会在您的路由表上添加一个默认网关,我想知道的是为什么openvpn没有使用networking0.0.0.0networking掩码0.0.0.0作为默认网关networking掩码128.0.0.0?
我的openvpn客户端日志文件 – 有趣的是: Tue Oct 26 12:32:49 2010 TLS错误:无法find来自67.228.223.12:3389的传入数据包中的HMAC 星期二10月26日12:32:49 2010致命的TLS错误(check_tls_errors_co),重新启动 星期二10月26日12:32:49 2010 TCP / UDP:closures套接字 其余的日志以防万一: 星期二Oct 26 12:32:35 2010 OpenVPN 2.0.9 Win32-MinGW [SSL] [LZO]build立于2006年10月1日 星期二10月26日12:32:48 2010重要提示:OpenVPN的默认端口号现在是1194,基于IANA的官方端口号分配。 OpenVPN 2.0-beta16及更早版本使用5000作为默认端口。 星期二Oct 26 12:32:48 2010控制通道validation:使用'ta.key'作为OpenVPN静态密钥文件 星期二Oct 26 12:32:48 2010输出控制通道validation:使用160位消息哈希'SHA1'进行HMACvalidation 星期二Oct 26 12:32:48 2010传入控制信道validation:使用160位消息哈希'SHA1'进行HMACvalidation 星期二10月26日12:32:48 2010 LZO压缩初始化 星期二Oct 26 12:32:48 2010控制通道MTU parms [L:1544 D:168 EF:68 EB:0 ET:0 […]
在这个问题的最后增加了新的细节; 我可能正在调整原因。 我有一个基于UDP的基于OpenVPN的VPNbuild立在互联网上的less数客户端,这些VPN是以tap模式build立的(我需要tap因为我需要VPN来传递多播包,而tunnetworking似乎不可能)。 我一直在经历VPN频繁的TCP连接冻结。 也就是说,我将build立一个TCP连接(例如SSH连接,但其他协议也有类似的问题),并且在会话期间的某个时刻,stream量似乎将停止在该TCP会话上传输。 这似乎与发生大数据传输的点有关,例如,如果我在SSH会话中执行ls命令,或者如果我logging长日志文件。 一些Googlesearch在服务器故障上出现了许多类似于这个问题的答案,表明可能的罪魁祸首是MTU问题:在高stream量期间,VPN试图发送丢弃在VPN端点。 上面链接的答案build议使用以下OpenVPNconfiguration设置来缓解该问题: fragment 1400 mssfix 这应该将VPN上使用的MTU限制为1400字节,并修复TCP最大段大小,以防止产生大于此数据包的数据包。 这似乎缓解了一些问题,但我仍然经常看到冻结。 我已经尝试了一些尺寸作为fragment指令的参数:1200,1000,576,所有的结果都相似。 我想不出两端之间有什么奇怪的networking拓扑可能引发这样的问题:VPN服务器运行在直接连接到Internet的pfSense机器上,而我的客户端也直接连接到另一个位置的Internet。 另外一个奇怪的问题是:如果我运行tracepath工具,那么这似乎可以帮助解决问题。 示例运行如下所示: [~]$ tracepath -n 192.168.100.91 1: 192.168.100.90 0.039ms pmtu 1500 1: 192.168.100.91 40.823ms reached 1: 192.168.100.91 19.846ms reached Resume: pmtu 1500 hops 1 back 64 以上运行在VPN上的两个客户端之间:我发起了从192.168.100.90到192.168.100.91目的地的跟踪。 两个客户端都configuration了fragment 1200; mssfix; fragment 1200; mssfix; 试图限制链路上使用的MTU。 上面的结果似乎表明tracepath能够检测两个客户端之间的1500字节的pathMTU。 我会假设由于在OpenVPNconfiguration中指定的碎片设置,它会稍小一些。 我发现结果有点奇怪。 更奇怪的是,如果我有一个处于停顿状态的TCP连接(例如,一个目录列表被冻结的SSH会话),那么执行上面显示的tracepath命令会导致连接重新启动 ! 为什么会出现这样的情况呢,我想不出什么合理的解释,但是我觉得这可能是指向一个解决scheme,最终根除问题。 […]
我正在Arch Linux服务器上configurationOpenVPN 2.3.6-1,以便通过公共InternetencryptionSMBstream量。 当我在我的一个Linux虚拟机客户端上testing安装时,出现以下错误: TLS Error: TLS handshake failed 。 我快速阅读( OpenVPN的OpenVZ TLS错误:TLS握手失败(谷歌build议的解决scheme不帮助) ),并尝试从默认的UDP切换到TCP,但只是导致客户端反复报告连接超时。 我也尝试禁用密码和TLS身份validation,但导致服务器失败, Assertion failed at crypto_openssl.c:523 。 在这两种情况下,都需要对客户端和服务器configuration进行更改。 我一直按照( https://wiki.archlinux.org/index.php/OpenVPN )上的说明设置OpenVPN,并在( https://wiki.archlinux.org/index.php/Create_a_Public_Key_Infrastructure_Using_the_easy-rsa_Scripts )创build密钥和证书。 我从这些说明中唯一的偏差是指定了我自己的计算机的名称和相应的密钥/证书文件名。 另请参阅我通过Internet保护SMBstream量的原始问题:( 简单encryptionSamba共享 ) 任何人都可以解释我如何解决这个问题? 细节: 服务器:Arch Linux(最新)通过以太网电缆直接连接到网关。 没有iptables。 客户端:在VirtualBox 4.3.28r100309 Windows 8.1主机,桥接networking适配器上的Arch Linux(最新)虚拟机。 没有iptables。 已禁用Windows防火墙。 网关:启用端口1194的端口转发,没有防火墙限制。 以下是服务器和客户端上的configuration文件。 我根据Arch Wiki上的说明创build了这些内容。 /etc/openvpn/server.conf (仅限非注释行): port 1194 proto udp dev tun ca […]
我没有达到线速的OpenVPN隧道的问题。 网关是在OVH托pipe的Debian Jessy虚拟服务器。 客户端是我的freebsd 10.2 homeserver(Intel I3 Ivy Bridge)或我的RaspberryPI2。 我停用了encryption和authentication。 我有一个100mbit / s的对称FTTH连接,但隧道只能达到20-40mbit / s的速度。 直接连接(无隧道)总是产生我期望的100mbit / s。 我用iperf3testing了性能。 我第一次尝试使用我的freebsd homeserver。 我尝试了所有关于mssfix,fragment等的推荐设置。没有任何帮助。 然后我想也许这是我的freebsd机器。 所以我在RPI2上安装了一个新的rasbian Jessy,并做了一些更深入的testing: 首先,我从OpenVPNconfiguration中删除了所有的MTU设置,并让pathMTU处理事情(希望)。 由于我在两台机器上都没有防火墙,所以它应该可以工作。 这些是我的VPNconfiguration: server 10.8.0.0 255.255.255.0 port 1194 proto udp dev tun sndbuf 0 rcvbuf 0 user nobody group nogroup persist-key persist-tun ifconfig-pool-persist ipp.txt keepalive 10 120 push "redirect-gateway def1" […]
我目前正在为多个客户端运行OpenVPN服务器。 所有的stream量都通过VPN(它被设置为网关;推“redirect网关def1”)。 到目前为止,一切工作都很好。 但是,我想连接几个服务器到这个虚拟专用networking,而这些服务器不使用OVPN守护程序作为网关。 这些服务器必须能够从他们的WAN以及他们的LAN IP地址访问。 某些服务只能从局域网访问。 有什么办法可以让客户端忽略推送redirect网关选项? 亲切的问候,Tuinslak
我有很多键为我的客户端VPN服务器生成。 每当我使用easy-rsa来生成这样的密钥: ./build-key client1 有一些输出有一系列的问题。 这些问题都有在vars文件中定义的默认答案。 Generating a 1024 bit RSA private key ……………………………………..++++++ …………………..++++++ writing new private key to 'client1.key' —– You are about to be asked to enter information that will be incorporated into your certificate request. What you are about to enter is what is called a Distinguished Name or a DN. […]