Низкая скорость доступа по SSH через свой VPN

Mtu?

какой VPN ? PPTP ? Попробуй wireguard. А вообще для мобильного это норма. ЗЫ: А зачем запускать ssh over vpn ?

Кстати насчет отключений: у ssh есть опция переодически посылать пакеты, чтобы не отвалилось соединение. Попробуй ее поставить.

ну а если ты с (2) заходишь по ssh на (1) без всяких VPN то есть тормоза?

Так у ТС там сервер а не клиент. И причём тогда VPN , если с ервера на компе ломишься на малину. Мутно как то описана задача.

Тоже в первую очередь ставлю на mtu. Во вторую на проблемы pptp.

Если с (2) на (1) по не по VPN,то всё идеально. Проблема только если с (1) на (2) по «локальному» VPN ip

(1) Виртуалка с белым IP

(2) raspberry pi на мобильном инете «в полях»

(3) Любой ПК с интернетом.

VPN на (1) и (2) был поднят для того чтобы можно было проулить (2)

Т.е. схема: с (3) по SSH -> (1) белый ip -> (2) серый ip

Текущее MTU на (2):

eth0: flags=4163<UP,BROADCAST,RUNNING,MULTICAST>  mtu 1500
lo: flags=73<UP,LOOPBACK,RUNNING>  mtu 65536
ppp0: flags=4305<UP,POINTOPOINT,RUNNING,NOARP,MULTICAST>  mtu 1500

Поставил для ppp0 1300. Наблюдаю..

Ну собственно при любом значении MTU потери пакетов где-то около 50%

Это если мерять вида:

ping 192.168.10.100 -f -l 100

Попробовал воспроизвести ситуацию у себя , с учётом реалий. На VPS ке установлены WG , openvpn и outline server в docer. На ноуте минт 21.2 , Подключен к вирегуард. Пинги в обе стороны без потерь и с одинаковым таймингом. PS: Дома IP белый , но ноут за роутером по вайфай.

Хм. Самое интересное, что стоит закрыть SSH соединение с Raspberry, то потери пакетов падают до 0, и пинг ppp0 около 80ms. Трафик между тем, по интерфейсу продолжает бегать (гоняются мои данные по http скриптами).

https://xn--90acbu5aj5f.xn--p1ai/wp-content/uploads/2023/11/достуность.jpg

mosh спасает ситуацию?

PPTP в 2023 году поверх Интернета это конечно сильно. И дело тут даже не только в безопасности, а в том что его только ленивый не пошейпит.

Да и ТСПУ не дремлют, из свеженького(ну как свеженького, месяц уже прошел) - у одной конторы возникли проблемы с VPN на удаленной точке(на обоих концах Mikrotik, провайдеры разные). Постоянного админа у них нет, поэтому пришли ко мне с разовым запросом. Методом проб и ошибок выяснилось что проблема именно на стороне удаленной точки(PPTP до их головного роутера с другого тестового места проблем не выявил). Методом долбежа техподдержки провайдера удаленной точки выяснилось что они ничего не трогали, но им недавно ставили ТСПУ... Дальше дело техники - смена протокола(благо удаленная точка одна) и вуаля - всё работает.

PPTP в 2023 году поверх Интернета это конечно сильно.

Вы не поверите! Один очень «гудрый» недавно это клиенту пытался запилить и может запилил. Мои тапочки увидев это выпали в осадок.

Для нас, старых оклосисадминов важно, что если работало везде последние лет 20, то есть уверенность что будет работать и дальше… А ваши новомодные штучки..сегодня запилили, завтра забросили..А оно нам надо? Для «попробовать» может и есть смысл потыкать, но в прод ставить не проверенное годами решение? Нет уж..

Для нас, старых оклосисадминов важно, что если работало везде последние лет 20, то есть уверенность что будет работать и дальше…

оклосисадминов

Могли бы и не пояснять.

если работало везде последние лет 20

Ваше «везде» дальше «около» местячкогого прова куда-то выезжало?

Я всячески поддерживаю приверженность традициям, но к сожалению текущие реалии функционирования Интернетов(РКН сотоварищи) вносят в это свежую струю, которая дурно пахнет к тому же. Так что приходится шевелится и искать варианты.

В новых Mikrotik-ах к примеру есть и Zerotier, и Wireguard, который уже давно не модно-молодежный, а вполне себе надежный протокол, пусть и не без организационных проблем. То же отсутствия push-а маршрутной и прочей информации ставит крест на его применении для конечных пользователей(если их больше парочки), по крайней мере для нашего ынтерпрайза. Однако site-to-site тот же на нём строить вполне можно.

Ну а если речь про виртуалку с Linux с одной стороны и Raspberry Pi с другой, то выбор решений для VPN там более чем достаточный

К сожалению wireguard всем хорош, кроме того что это подарок для Роскомнадзора над которым издеваться можно точно так же как и над pptp. У них (wireguard) прямо в документации написано английскими буквами, что в целях сохранения простоты и чистоты кода сам wireguard никаких средств обфускации не имеет.

Это понятно, и даже наверное хорошо, но не в наших реалиях. Чтобы пошейпить или вообще зарезать wireguard DPI не нужен, он элементарно по заголовкам выявляется. Я к сожалению уже имел с ним проблемы, у меня филиалы подключенные через wireguard отваливались во время «учений».

Так что в нынешних реалиях имеет смысл сразу на обфускацию закладываться, поднимать какие нибудь обфусцирующие носки и в них уже туннель заворачивать. ЕМНИП в mikrotik обфусцирующего прокси нет, так что Роскомнадзор теоретически может любую предлагаемую им разновидность туннеля выявить и порезать.

Ну я обсуждал всё в ключе раздолбайства товарищей из РКН и кривых настроек ТСПУ. Если цель там будет «запретить и не пущать», то конечно ни Wireguard, ни OpenVPN, ни IPSEC не подойдут. Тут надо расчехлять всякие cloak-и, shadowsocks-ы и прочее - это уже другой уровень.

Если цель там будет «запретить и не пущать», то конечно ни Wireguard, ни OpenVPN, ни IPSEC не подойдут. Тут надо расчехлять всякие cloak-и, shadowsocks-ы и прочее - это уже другой уровень.

openconnect через обычный TLS/DTLS работает, его без DPI не выявить.

его без DPI не выявить.

Ovpn и другие ssh как бэ тоже.

Так ТСПУ и есть DPI, здрасте приехали

Чтобы пошейпить или вообще зарезать wireguard DPI не нужен, он элементарно по заголовкам выявляется

А заголовками не DPI занимается?

А заголовками не DPI занимается?

Это вопрос терминологии. Формально да, заглядывание в заголовки это такой «лёгкий DPI». Просто он настолько «легкий» для железа что практически любой роутер это умеет, в отличии от «полноценного» DPI с изучением ещё и тела пакета на предмет анализа более высоких уровней вложения.

Какая же тут токсичная атмосфера поражаюсь

Не обращай внимания на мудаков: доброжелательных людей здесь достаточно