LINUX.ORG.RU
решено ФорумAdmin

mikrotik openvpn мистика (работает по-человечески только со включенным сниффером)

 ,


0

1

Пытаюсь я (уже неделю) настроить vpn между rb951ui-2hnd и openvz vps.

Перепробовал pptp, ipsec, openvpn.

Тестирую соединение следующим образом:

wget -O /dev/null http://speedtest.tele2.net/10GB.zip

Во всех случаях картина с течением времени примерно одинаковая, 200kbps, 400kbps, ..., 1.7 Mbps, ..., 200 kbps, 10kbps, 0 - разрыв соединения.

Причем происходит это все на коротком временном интервале около минуты.

В ход пошли уже различные извращения вроде mtu 48000 на tun.

Внезапно включил сниффер как описано по https://wiki.mikrotik.com/wiki/Ethereal/Wireshark , и случилась магия — скорость уперлась в потолок и перестала падать.

То есть пока сниффер работает, скорость и жизнь прекрасна, можно конечно направить поток на несуществующий ip и оставить так, но хотелось бы все-таки найти решение, тем более, что теперь очевидно, что оно достижимо.

Есть идеи?


mdadm and scsi wce bit enabled (Write Cache Enable)
sudo: htpasswd: command not found

Реализация OpenVPN на микротиках ущербная: она умеет работать только поверх TCP. А ещё она просто сильно глючная. Поэтому лучше возьми какой-нибудь другой протокол, IPsec, например.

intelfx ★★★★★
()
Последнее исправление: intelfx (всего исправлений: 1)

Причина найдена - это fasttrack, если отключить его правило в файрволе, все работает нормально.

vren
() автор топика

Честно, воевал с микротиком по другому поводу, делал все как в инструкциях, все инструкции говорили примерно об одном и том же, но у меня ничего не работало, хотя микротик команды принимал.

Felgengauer
()
Ответ на: комментарий от anonymous

Да, 6.40.5 .

Постараюсь настроить fasttrack, чтобы нормально работал с vpn, и запилю небольшой отчет, может сэкономлю кому-нибудь неделю жизни.

Mikrotik конечно молодцы, запилили свою технологию для оптимизации обработки пакетов, которая ломает vpn, включили её по умолчанию и нигде не написали ничего, если бы не случай, так и не нашел бы.

vren
() автор топика
Ответ на: комментарий от vren

слушай, ну вот у меня впн как-раз летает через фасттрек (правда не родной, а стоящий на опен-врт внутри метароутера), и не только он - все критичные к задержкам сервисы по фасттраку манглятся и дальше соответсвенно обрабатываются (и разница - есть)

ИЧСХ - тоже 951 и тоже 6.40.5. нет такой проблемы. мб еще какая фича конфликтует с фасттреком?

anonymous
()
Ответ на: комментарий от anonymous

Спасибо за полезную вводную, пока видел только решения, добавляющие обход впн-трафиком фасттрака.

Альтернатива с метароутером выглядит более оптимальной, покопаю в эту сторону.

vren
() автор топика
Ответ на: комментарий от anonymous

Поресерчил.

IPv4 FastTrack is active if following conditions are met:

no mesh, metarouter interface configuration; sniffer, torch and traffic generator is not running; ...

Такие дела.

Все-таки вариант с обходом vpn трафиком fasttrack'а оптимальнее.

vren
() автор топика
Ответ на: комментарий от vren

Альтернатива с метароутером выглядит более оптимальной, покопаю в эту сторону.

уже года три такой связкой пользуюсь. кроме отсутствия проблем с фасттраком (до тебя даже не знал что они могут быть :D) - получаешь udp транспорт + компрессию, которые родной ovpn не может

anonymous
()
Ответ на: комментарий от anonymous

Дело в том, что при использовании метароутера фасттрак выключается целиком :), см https://wiki.mikrotik.com/wiki/Manual:IP/Fasttrack .

В принципе на нашем железе это не критично, фасттрак ощутимо экономит cpu на гигабитных линках.

vren
() автор топика
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.
mdadm and scsi wce bit enabled (Write Cache Enable)
Admin
sudo: htpasswd: command not found