OpenVPN туннель PFsense+Mikrotik

werter

Доброе.
Из того, что есть у меня по это связке
http://forum.ru-board.com/topic.cgi?forum=8&topic=41722
https://forum.pfsense.org/index.php?topic=125974

IPsec
https://forum.pfsense.org/index.php?topic=106103
https://www.youtube.com/watch?v=kkLOj1ILbwE

Sonya

Пока решил через костыль: прописал в Custom options route-gateway 172.16.1.2.
Но скорость через туннель крайне низкая, где-то 300кбайт в сек.
И в логах постоянно записи:

Aug 18 14:47:48 	openvpn 	3197 	MANAGEMENT: CMD 'quit'
Aug 18 14:47:48 	openvpn 	3197 	MANAGEMENT: Client disconnected
Aug 18 14:48:50 	openvpn 	3197 	MANAGEMENT: Client connected from /var/etc/openvpn/server1.sock
Aug 18 14:48:50 	openvpn 	3197 	MANAGEMENT: CMD 'status 2'
Aug 18 14:48:50 	openvpn 	3197 	MANAGEMENT: CMD 'quit'
Aug 18 14:48:50 	openvpn 	3197 	MANAGEMENT: Client disconnected
Aug 18 14:49:51 	openvpn 	3197 	MANAGEMENT: Client connected from /var/etc/openvpn/server1.sock
Aug 18 14:49:52 	openvpn 	3197 	MANAGEMENT: CMD 'status 2'
Aug 18 14:49:52 	openvpn 	3197 	MANAGEMENT: CMD 'quit'
Aug 18 14:49:52 	openvpn 	3197 	MANAGEMENT: Client disconnected 

хотя на удалённой стороне в логах обрывов нет.

pavvap

У меня pfsence 2.3.3 и микротик, всё настроенно, всё прекрасно работает.
Peer-to-peer. tun. Без компрессии. Давайте скрины настроек, фаерволов, маршрутов там и там.

pigbrother

Аналогично.
Несколько филиалов работают с клиентами на Микротик.
Не осилите - приведу скриншоты.
По поводу скоростей. Несмотря на TCP-only со стороны Микротика скорости практически равны максимальным по тарифам провайдеров, т.е. 2-2,5 Мегабайт\сек.

P.S. Для tun про iroute (IPv4 Remote Network/s ) в Client Specific Overrides не забыли?

werter

Доброе
@Sonya:

Но скорость через туннель крайне низкая, где-то 300кбайт в сек.

https://habrahabr.ru/post/246953/

На стороне сервера в Доп. настройках попробуйте :

sndbuf 100000;
rcvbuf 100000;
push "sndbuf 100000";
push "rcvbuf 100000";

И перезапустить туннель.

Sonya

@pigbrother:

P.S. Для tun про iroute (IPv4 Remote Network/s ) в Client Specific Overrides не забыли?

Делал по этому руководству, там про iroute нет упоминания. Как это реализовать в pfsense?

Sonya

@werter:

На стороне сервера в Доп. настройках попробуйте :

sndbuf 100000;
rcvbuf 100000;
push "sndbuf 100000";
push "rcvbuf 100000";

И перезапустить туннель.

Добавил. Вроде стало чуток получше, пиковая скорость поднялась до 800килов, а средняя осталась прежней. Скорее всего, это потолок для моего подключения.

pigbrother

@Sonya:

@pigbrother:

P.S. Для tun про iroute (IPv4 Remote Network/s ) в Client Specific Overrides не забыли?

Делал по этому руководству, там про iroute нет упоминания. Как это реализовать в pfsense?

iroute оно же - IPv4 Remote Network/s  указывается  в записи в Client Specific Overrides , вручную создаваемой вами для Common Name сертификата вашего Микротик-клиента.

Sonya

@pigbrother:

IPv4 Remote Network/s  указывается  в записи в Client Specific Overrides , вручную создаваемой вами для Common Name сертификата вашего Микротик-клиента.

Благодарю за подсказку.
Прописал в Client Specific Overrides те же параметры, что и в основном соединении, через tun теперь тоже заработало.
Вопрос можно считать закрытым.

pigbrother

Вопрос можно считать закрытым

А что со скоростью?

Sonya

@pigbrother:

А что со скоростью?

Сейчас соединил оба роутера напрямую. Скорость по туннелю 2800 кбайт (внутри локалки 11400 кбайт между теми же машинами). Что с настройками буфера, что без них.
Такое ощущение, что у туннеля большие накладные расходы.

pigbrother

Да, OpenVPN не отличается особой производительностью на не очень мощных устройствах.
Проверьте загрузку CPU в Микротике под полной нагрузкой, наверняка она будет близка к 100%.

werter

Доброе.
@pigbrother:

Да, OpenVPN не отличается особой производительностью на не очень мощных устройствах.
Проверьте загрузку CPU в Микротике под полной нагрузкой, наверняка она будет близка к 100%.

Дело в том, что МТ умеет OpenVPN только по TCP . Соотвественно все накладные расходы по контролю передачи данных ложатся на CPU уст-ва.

P.s. И еще. МТ не умеет hw nat. Совсем. И снова все накл. расходы на CPU. Не зря у них CCR по неск. десятков ядер имеют. Без hw nat passthrough по др. никак.

pigbrother

Соотвественно все накладные расходы по контролю передачи данных ложатся на CPU уст-ва.
UDP не сильно разгружает CPU. Тестировал на pfSense, при сходных скоростях разница в загрузке CPU при TCP\UDP не была драматической.
Дело в "слабости" CPU МТ. IPsec, реализация которого в МТ весьма достойна, тоже ощутимо грузит CPU.
А так - я вами согласен и ваше писал:
Проверьте загрузку CPU в Микротике под полной нагрузкой, наверняка она будет близка к 100%.

И еще. МТ не умеет hw nat.
В последних версиях появились FastTrack и Fast Path. Это, конечно, не hw nat, но эффект от нововведений ощутим.

KazakovSI

@pigbrother
доброго времени суток,
борюсь с pfsense 2.4.3...
связка openvpn pfsense(srv)-mikrotik(client)
все сделал как было сказано выше...
но сеть видна только в одну сторону. со стороны mikrotik'а я вижу сеть за pfsense, а вот наоборот никак...
Client Specific Overrides прописан, в таблице маршрутизации запись есть... но пинг на устройства за mikrotik'ом не ходят...

pigbrother

Запись iroute - это часом не настройки сервера? Или все же в Client Specific Overrides. Не вижу упоминаний о common name клиента.

KazakovSI

@pigbrother
iroute в Client Specific Overrides.

ЗЫ: Спасибо добрый человек... была очепятка в common name клиента.
ее поправил и все полетело :)