Openvpn、非常にゆっくりとパケットを転送する


10

サーバーを再起動したところ、奇妙な問題が発生しました。私はArchLinuxで実行しています。クライアントはUbuntu、Android、Macです。

問題は、クライアントを介したインターネットへのアクセスが遅く、約2ko / sで、ゆっくりと停止することです。

しかし、サーバーからクライアントに直接何かをダウンロードすることは、フルスピードで行われます。そして、明らかに、サーバーからのインターネットは彼の全速力(40mo / s)です。

再起動から何が起こったかはわかりませんが、この問題はすべてのクライアントで発生しており、openvpnがインターネットに転送するトラフィックにのみ関連しています。

編集:tcpで試して、解決しませんでした。編集:さまざまなフラグメント/ mtu設定をテストしました。変更はありません。

ここにすべての私のconfsがあります:

╭─<root@Alduin>-</etc/openvpn>-<1:45:07>-◇
╰─➤ cat Alduin.conf ccd/Thunderaan
local 212.83.129.104
port 1194
proto udp
dev tun
ca keys/ca.crt
cert keys/Alduin.crt
key keys/Alduin.key
dh keys/dh1024.pem
server 10.8.0.0 255.255.255.0
ifconfig-pool-persist ipp.txt
push "dhcp-option DNS 10.8.0.1"
client-to-client
keepalive 5 60
ping-timer-rem
comp-lzo
persist-key
persist-tun
status openvpn-status.log
verb 3
client-config-dir ccd
topology subnet

ccd from here +++++++++++++++


ifconfig-push 10.8.0.2 255.255.255.0
push "redirect-gateway def1"

クライアント設定:

client
dev tun
proto udp
remote 212.83.129.104 1194
resolv-retry infinite
nobind
persist-key
persist-tun
ca ca.crt
cert name.crt
key name.key
ns-cert-type server
comp-lzo
verb 3

そしてあなたを助けるかもしれないいくつかの出力:

╭─<cubox@Alduin>-<~>-<1:49:43>-◇
╰─➤ ip addr
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN
    link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
    inet 127.0.0.1/8 scope host lo
       valid_lft forever preferred_lft forever
    inet6 ::1/128 scope host
       valid_lft forever preferred_lft forever
2: eno1: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc mq state UP qlen 1000
    link/ether b8:ac:6f:94:e2:4e brd ff:ff:ff:ff:ff:ff
    inet 88.190.15.135/24 scope global eno1
       valid_lft forever preferred_lft forever
    inet 212.83.129.104/32 scope global eno1
       valid_lft forever preferred_lft forever
    inet6 2001:bc8:300a:dead::b12d/64 scope global
       valid_lft forever preferred_lft forever
    inet6 2a01:e0b:1000:15:baac:6fff:fe94:e24e/64 scope global dynamic
       valid_lft 2592000sec preferred_lft 604800sec
    inet6 fe80::baac:6fff:fe94:e24e/64 scope link
       valid_lft forever preferred_lft forever
3: eno2: <BROADCAST,MULTICAST> mtu 1500 qdisc noop state DOWN qlen 1000
    link/ether b8:ac:6f:94:e2:4f brd ff:ff:ff:ff:ff:ff
6: tun0: <POINTOPOINT,MULTICAST,NOARP,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UNKNOWN qlen 100
    link/none
    inet 10.8.0.1/24 brd 10.8.0.255 scope global tun0
       valid_lft forever preferred_lft forever
╭─<cubox@Alduin>-<~>-<1:49:47>-◇
╰─➤ route
Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
default         88-190-15-1.rev 0.0.0.0         UG    0      0        0 eno1
10.8.0.0        *               255.255.255.0   U     0      0        0 tun0
88.190.15.0     *               255.255.255.0   U     0      0        0 eno1
╭─<cubox@Alduin>-<~>-<1:49:51>-◇
╰─➤ route -6
Kernel IPv6 routing table
Destination                    Next Hop                   Flag Met Ref Use If
::1/128                        ::                         U    256 0     0 lo
2001:bc8:300a:dead::/64        ::                         U    256 0     0 eno1
2a01:e0b:1000:15::/64          ::                         UAe  256 0     0 eno1
fe80::/64                      ::                         U    256 0     0 eno1
::/0                           fe80::225:45ff:fef6:947f   UGDAe 1024 2     0 eno1
::/0                           ::                         !n   -1  1  1891 lo
::1/128                        ::                         Un   0   2  5227 lo
2001:bc8:300a:dead::/128       ::                         Un   0   1     0 lo
2001:bc8:300a:dead::b12d/128   ::                         Un   0   1   131 lo
2a01:e0b:1000:15::/128         ::                         Un   0   1     0 lo
2a01:e0b:1000:15:baac:6fff:fe94:e24e/128 ::                         Un   0   3 29356 lo
fe80::/128                     ::                         Un   0   1     0 lo
fe80::baac:6fff:fe94:e24e/128  ::                         Un   0   1   311 lo
ff00::/8                       ::                         U    256 0     0 eno1
::/0                           ::                         !n   -1  1  1891 lo



-A POSTROUTING -s 10.8.0.0/24 -o eno1 -j MASQUERADE # The iptables rule

ここでのiptablesルールは、サーバー上でアクティブな唯一のものです。

╰─➤ tc qd
qdisc mq 0: dev eno1 root
qdisc pfifo_fast 0: dev tun0 root refcnt 2 bands 3 priomap  1 2 2 2 1 2 0 0 1 1 1 1 1 1 1 1

編集:これは接続しているArchlinuxクライアントからのログです。

Oct  2 16:54:17 Groat ovpn-openvpn[9216]: OpenVPN 2.2.1 x86_64-linux-gnu [SSL] [LZO2] [EPOLL] [PKCS11] [eurephia] [MH] [PF_INET6] [IPv6 payload 20110424-2 (2.2RC2)] built on Feb 13 2013
Oct  2 16:54:17 Groat ovpn-openvpn[9216]: NOTE: the current --script-security setting may allow this configuration to call user-defined scripts
Oct  2 16:54:17 Groat ovpn-openvpn[9216]: LZO compression initialized
Oct  2 16:54:17 Groat ovpn-openvpn[9216]: Control Channel MTU parms [ L:1542 D:138 EF:38 EB:0 ET:0 EL:0 ]
Oct  2 16:54:17 Groat ovpn-openvpn[9216]: Socket Buffers: R=[212992->131072] S=[212992->131072]
Oct  2 16:54:17 Groat ovpn-openvpn[9216]: Data Channel MTU parms [ L:1542 D:1450 EF:42 EB:135 ET:0 EL:0 AF:3/1 ]
Oct  2 16:54:17 Groat ovpn-openvpn[9216]: Local Options hash (VER=V4): '41690919'
Oct  2 16:54:17 Groat ovpn-openvpn[9216]: Expected Remote Options hash (VER=V4): '530fdded'
Oct  2 16:54:17 Groat ovpn-openvpn[9217]: UDPv4 link local: [undef]
Oct  2 16:54:17 Groat ovpn-openvpn[9217]: UDPv4 link remote: [AF_INET]212.83.129.104:1194
Oct  2 16:54:17 Groat ovpn-openvpn[9217]: TLS: Initial packet from [AF_INET]212.83.129.104:1194, sid=edfcb034 3452d72c
Oct  2 16:54:17 Groat ovpn-openvpn[9217]: VERIFY OK: depth=1, /C=FR/ST=FR/L=Paris/O=Dragonborn/CN=Dragonborn_CA/emailAddress=cubox@cubox.me
Oct  2 16:54:17 Groat ovpn-openvpn[9217]: VERIFY OK: nsCertType=SERVER
Oct  2 16:54:17 Groat ovpn-openvpn[9217]: VERIFY OK: depth=0, /C=FR/ST=FR/L=Paris/O=Dragonborn/CN=Dragonborn/emailAddress=cubox@cubox.me
Oct  2 16:54:17 Groat ovpn-openvpn[9217]: Data Channel Encrypt: Cipher 'BF-CBC' initialized with 128 bit key
Oct  2 16:54:17 Groat ovpn-openvpn[9217]: Data Channel Encrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Oct  2 16:54:17 Groat ovpn-openvpn[9217]: Data Channel Decrypt: Cipher 'BF-CBC' initialized with 128 bit key
Oct  2 16:54:17 Groat ovpn-openvpn[9217]: Data Channel Decrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Oct  2 16:54:17 Groat ovpn-openvpn[9217]: Control Channel: TLSv1, cipher TLSv1/SSLv3 DHE-RSA-AES256-SHA, 1024 bit RSA
Oct  2 16:54:17 Groat ovpn-openvpn[9217]: [Dragonborn] Peer Connection Initiated with [AF_INET]212.83.129.104:1194
Oct  2 16:54:20 Groat ovpn-openvpn[9217]: SENT CONTROL [Dragonborn]: 'PUSH_REQUEST' (status=1)
Oct  2 16:54:20 Groat ovpn-openvpn[9217]: PUSH: Received control message: 'PUSH_REPLY,dhcp-option DNS 10.8.0.1,route 212.83.129.0 255.255.255.0,route-gateway 10.8.0.1,topology subnet,ping 5,ping-restart 60,redirect-gateway def1,ifconfig 10.8.0.3 255.255.255.0'
Oct  2 16:54:20 Groat ovpn-openvpn[9217]: OPTIONS IMPORT: timers and/or timeouts modified
Oct  2 16:54:20 Groat ovpn-openvpn[9217]: OPTIONS IMPORT: --ifconfig/up options modified
Oct  2 16:54:20 Groat ovpn-openvpn[9217]: OPTIONS IMPORT: route options modified
Oct  2 16:54:20 Groat ovpn-openvpn[9217]: OPTIONS IMPORT: route-related options modified
Oct  2 16:54:20 Groat ovpn-openvpn[9217]: OPTIONS IMPORT: --ip-win32 and/or --dhcp-option options modified
Oct  2 16:54:20 Groat ovpn-openvpn[9217]: ROUTE default_gateway=192.168.1.254
Oct  2 16:54:20 Groat ovpn-openvpn[9217]: TUN/TAP device tun0 opened
Oct  2 16:54:20 Groat ovpn-openvpn[9217]: TUN/TAP TX queue length set to 100
Oct  2 16:54:20 Groat ovpn-openvpn[9217]: do_ifconfig, tt->ipv6=0, tt->did_ifconfig_ipv6_setup=0
Oct  2 16:54:20 Groat ovpn-openvpn[9217]: /sbin/ifconfig tun0 10.8.0.3 netmask 255.255.255.0 mtu 1500 broadcast 10.8.0.255
Oct  2 16:54:20 Groat ovpn-openvpn[9217]: /sbin/route add -net 212.83.129.104 netmask 255.255.255.255 gw 192.168.1.254
Oct  2 16:54:20 Groat ovpn-openvpn[9217]: /sbin/route add -net 0.0.0.0 netmask 128.0.0.0 gw 10.8.0.1
Oct  2 16:54:20 Groat ovpn-openvpn[9217]: /sbin/route add -net 128.0.0.0 netmask 128.0.0.0 gw 10.8.0.1
Oct  2 16:54:20 Groat ovpn-openvpn[9217]: /sbin/route add -net 212.83.129.0 netmask 255.255.255.0 gw 10.8.0.1
Oct  2 16:54:20 Groat ovpn-openvpn[9217]: Initialization Sequence Completed

編集:ここでは、直接ファイルをダウンロードするサーバーのtcpdumpのは、次のとおりです。http://sprunge.us/aaJXは、 ここでは、このressourceダウンロードクライアントです:http://sprunge.us/WUCCを、ここで(別のOpenVPNから通常のクライアントであります動作)サーバー:http : //www4.slashusr.com/57552.tcpdump

編集:コメントで尋ねられたように、ここに生のtcpdumpキャプチャがあります。サーバーからのtun0キャプチャが失敗しました。理由はわかりません。ここで外に示すサーバここtun0を示すクライアントここでは外を示すクライアントサーバーの直接ここにファイルをダウンロードします

編集:サーバーはi3を実行していますが、これはいつでも(openvpnの使用中であっても)使用されません。クライアントも同じで、i7は完全にアイドル状態です。

編集:問題はまだここにあります。助けてください :(


私はあなたがwireshark / tcpdumpでいくつかのキャプチャを見たことがあると思いますか?あなたが正しい場所で捕獲すれば、答えはほぼ確実に捕獲で見つけることができます。
Zoredache 2013

私はeno1インターフェイスからのtcpdumpをクライアントからのダウンロードとサーバーからのダウンロードに(同じファイルの)持っています。そして、動作しているopenvpnクライアントからのものも。質問を編集します。
Cubox 2013

トラフィックの転送中にクライアントとサーバーからCPU情報を追加できますか?
Jed Daniels

あなたのtcpdumpでは、遅いトラフィックは見られません(それは短すぎるかもしれません)。すべてのクライアントが同じIPアドレス10.8.0.2を取得しますか?それを省略して、ルートをネットワーク212.83.129.0にプッシュできますか?
ott-- 2013年

各クライアントには、独自のIPアドレスを持つ独自のccdがあります。ネットワークへのルートとはどういう意味かわかりません。
Cubox

回答:


1

同じ原因かどうかはわかりませんが、openvpn-on-android-tcp-retransmissions-after-openvpn-server-rebootで説明されているように、tun-mtuとmssfixについて調整する価値があると思います

編集:これも役に立つかもしれません[解決済み]許容できないopenVPNパフォーマンス カーネルパラメーターの変更:net.inet.ip.fastforwarding = 1(Linuxサーバーの/etc/sysctl.confに追加)


答えてくれてありがとう。tun-mtuおよびmssfixオプションを変更しても、効果はありませんでした。Linuxには最悪の設定はありません。BSDカーネルのみ。
Cubox 2013年

0

VPNサーバーはゲートウェイサーバーでもありますか?プッシュゲートウェイを削除してみてください。クライアントは追加のルートのみを持つ必要があります。


プッシュゲートウェイオプションはどこにありますか?
Cubox

CCDオプションにはリダイレクトゲートウェイがあります。クライアントに実際のGWへの静的ルートがあるかどうかを確認する必要があります。
MealstroM 2013年

有る。クライアントはインターネット上で何とでも話すことができ、ゆっくりと話します。
Cubox 2013年

0

あなたのポストルーティングiptablesルールは奇妙に見えます、これを試してください

-A POSTROUTING -s 10.8.0.0/24 -o eno1 -j MASQUERADE

SNATの代わりに、両方とも必要ない場合は、eno1のIPの1つを削除します。イーサネットインターフェイスのように見えるものの2つのパブリックIPアドレスは、奇妙に見えます。なぜそのセットアップですか?

私の推測では、openvpn-serverがループしてパケットを前後にドロップしているため、この問題が発生しています。


私は仮面舞踏会のルールを持っていますが、問題は解決していません。私のサーバーには2つあり、1つはフェイルオーバーで、もう1つはメインです。eth0インターフェイスに4つのIPを備えたサーバー(別のArchlinuxサーバー上)を1年以上持っている場合、複数の
IPは

0

独自のDNSサーバーを内部で実行していますか?内部DNSのpowerdnsセットアップを実行しているときにネットワークに問題がありましたが、逆引きゾーンが正しく構成されていませんでした。その場合、Wiresharkが回答を提供しました。

弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.