[brainstorm] Уменьшение network latency

1) юзай udp - он жрет меньше памяти и цпу. 2) подкручивать их надо при большом трафе 3) man iproute2 man tc и вообще посмотри правила iptables. Да и без туннеля с сервера А до сервера B ping (echo-request ) за сколько идет?а по туннелю?

> 1) Какой протокол лучше юзать для openvpn - tcp или udp?

Лучше - udp, беспроблемнее - tcp.

3) Как сделать чтоб транзитные пакеты на A и B имели наивысший приоритет при обработке/отправке?

Настраивать traffic shaping, приоритеты. Тема достаточно непростая и обширная, чтобы описать в 2х словах.

>Да и без туннеля с сервера А до сервера B ping (echo-request ) за сколько идет?а по туннелю?

Два одновременно запущенных mtr насчитали за несколько минут без туннеля avg - 9мс, с туннелем около 15мс.

Лучше - udp, беспроблемнее - tcp.

В каком плане беспроблемнее?
Мне нужно чтобы временную потерю соединения на полминуты-минуту хорошо выдерживал.

подкручивать их надо при большом трафе

Через сам туннель траф небольшой, но через сервер А как таковой может быть и все 100мбит. Почему и интересуюсь.

> В каком плане беспроблемнее?

Нет проблем с переборами и настройками MTU. Вообще. :)

Мне нужно чтобы временную потерю соединения на полминуты-минуту хорошо выдерживал.

Нормально выдерживает при любом транспорте (и tcp и udp).

если канал плохой то нужен tcp чтобы поддерживал правильную последовательность кадроd и т.д man tcp так сказать
9 и 15 мс - очень похоже что задержку 6 мс вносит именно openvpn но на всякий случай советую посмотреть какой mtu у тя при udp openvpn тоннеле и какой у тя просто для сети поставлен. может часть времени теряться из за того что mtu настроенны не оптимальны.

Да и если чтобы openvpn быстрее обрабатывал( то есть вносил меньшую задержку) то надо отрубить шифрование.

P.S свой конфиг куда нить скинь - так будет легче. Сам понимаешь телепаты что-то забухали :)

mtu везде по 1500

Конфиг клиента такой:
dev tap2
client
remote cube
proto udp
rport 5555
comp-lzo
tls-auth /etc/openvpn/myvlan/ta.key 1
dh /etc/openvpn/myvlan/dh1024.pem
ca /etc/openvpn/myvlan/ca.crt
cert /etc/openvpn/myvlan/light.crt
key /etc/openvpn/myvlan/light.key
cipher AES-128-CBC
log-append /var/log/openvpn-myvlan.log
verb 3
up /etc/openvpn/openvpn.myvlan-up.sh


Насколько понимаю, tls-auth нужно только для tcp. Может стоит отрубить шифрование и comp-lzo?

>вообще посмотри правила iptables

Вроде правила iptables оптимизированы - сначала стоит -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT, а потом сразу же пакеты раскидываются по своим цепочкам, где уже и обрабатываются.

comp-lzo - да выруби. шифрование тоже попробуй,однако vpn без шифрование - это уже не впн (ИМХО но сниферы тоже не спят :) )

>Насколько понимаю, tls-auth нужно только для tcp.

tls-auth — защита от доса через простое подписывние пакетов. Если порт VPN прикрыт фаерволом, не нужно совершенно. Емнип, работает и с TCP, и с UDP.

Может стоит отрубить шифрование

Тогда нафига тебе openvpn? Зафигарь ядреный GRE, наверняка быстрее будет.

comp-lzo

С этого следовало начать :)