OpenVPN Peer to Peer (Shared Key) "провалы" в соединении.



  • Доброго времени суток. С pfsense работаю совсем немного и не могу разобраться с одной штукой. Не ругайте.
    Имеется Pfsense 2.4.5 в головном офисе крутиться не esxi (Promiscuous mode на vSwitch отключен). Он же является шлюзом и на нем поднято 3 OpenVPN сервера для разных целей (Remote Access SSL/TLS tun, Remote Access SSL/TLS tap и Peer to Peer Shared Key). Remote Access SSL/TLS tun и Remote Access SSL/TLS tap работают исключительно замечательно, а вот Peer to Peer Shared Key не так как хотелось бы.

    Клиент Peer to Peer также Pfsense 2.4.5 на физической машине. Настройки клиента и сервера тривиальные (на всех ресурсах сети все сводится к одному и тому же мануалу):

    Сервер:
    Server mode: Peer to Peer (Shared Key)
    Protocol: UDP
    Device mode: tun
    Local port: XXXX
    TLS Configuration: Use a TLS Key Checked
    Tun network 10.X.X.X/X
    IPv4 Remote network: 192.168.Y.X/X
    остальное по дефолту

    Клиент:
    Server mode: Peer to Peer (Shared Key)
    Protocol: UDP
    Device mode: tun
    Server host address: 192.168.X.Z
    Server port: XXXX
    Tun network 10.X.X.X/X
    IPv4 Remote network: 192.168.X.X/X
    остальное по дефолту

    Правила Firewall все настроены как положено.

    Подключение создается. ICMP пакеты бегают в обе стороны без потерь. Время ответа одинаковое у всех трех подключений (RAtun, RAtap, P2P SK) ~27 мс, TTL 63, 64, 62 соответственно - логично.
    Но! Как будто соединение разрывается и создается вновь каждые ~15 секунд.
    Если подключиться по RDP к Windows серверу, каждые 15 секунд соединение подвисает и происходит Восстановление соединения RDP.
    Если подключиться к Linux серверу через терминал все работает, но если запустить тот же mc - подвисает.
    Подключенный SIP аппарат регистрируется на сервере, и звонки бегают, но если набирать 10-значный номер и "предполагаемый разрыв" произойдет в момент набора номера, то звонок откинется. Софтовые звонилки работают без проблем - логично.

    Пробовал включить аппаратную криптографию (на обоих машинах core i5 - позволительно)
    Пробовал играться с Send/Receive Buffer
    Пробовал LZO Compression
    Пробовал Local Port на клиенте статичный, разрешал на него входящий трафик
    В логах OpenVPN CMD 'status 2', CMD 'quit', Client disconnected на всех трех OpenVPN серверах, как понял, погуглив, это в порядке вещей.
    В логах OpenVPN на клиенте - тишина.
    К клиентскому Pfsense подключена только одна машина (иногда SIP аппарат для тестов). т.е. нагрузки на канал нет...

    Кто-нибудь сталкивался с подобным? Что можно предпринять?



  • @EHOT said in OpenVPN Peer to Peer (Shared Key) "провалы" в соединении.:

    Кто-нибудь сталкивался с подобным? Что можно предпринять?

    Было отдаленно похожее. Провайдер резал UDP-трафик. Попробуйте перевести PSK на TCP.

    Если не поможет:

    1. Смотреть логи, включив verbose побольше на клиенте и сервере.
      Если не увидите причины:
    2. Смените временно провайдера на проблемном клиенте, можно на мобильного
    3. Смените железо\сетевую карту на проблемном клиенте
    4. Переведите проблемного клиента на Peer to Peer SSL/TLS либо добавив сервер OVPN, либо подключив его к имеющемуся Remote Access SSL/TLS tun, это возможно.


  • Добрый.
    @EHOT said in OpenVPN Peer to Peer (Shared Key) "провалы" в соединении.:

    Имеется Pfsense 2.4.5 в головном офисе крутиться не esxi

    Раздел "Configuring pfSense Software to work with Proxmox VirtIO" по https://docs.netgate.com/pfsense/en/latest/recipes/virtualize-proxmox.html выполнено ?
    Это обязательное условие.

    Смотреть логи, включив verbose побольше на клиенте и сервере.

    Люто плюсую. Только так.

    Было отдаленно похожее. Провайдер резал UDP-трафик. Попробуйте перевести PSK на TCP.

    Я бы перевесил вебку пф на др. порт и поднял овпн для проблемного клиента на 443\TCP.



  • Спасибо за ответы. Вчера вечером времени не было, сегодня попробую - отпишу.

    1. Провайдер резал UDP-трафик - маловероятно, если отключить P2P и цепляться через Remote Access SSL/TLS tun/tap - работает отлично (они тоже по UDP)
    2. Смените железо\сетевую карту - пробовал. На трех разных железках клиента поднимал.
    3. Переведите проблемного клиента на Peer to Peer SSL/TLS, либо подключив его к имеющемуся Remote Access SSL/TLS tun - не вариант. P2P мне нужен для SIP аппаратов, которые не могут самостоятельно к VPN подключаться.

    Попробую Peer to Peer SSL/TLS, попробую ради интереса TCP и "Configuring pfSense Software to work with Proxmox VirtIO", ну и verbose поднять - посмотреть логи. Еще раз спасибо.



  • Добрый.
    @EHOT said in OpenVPN Peer to Peer (Shared Key) "провалы" в соединении.:

    Configuring pfSense Software to work with Proxmox VirtIO

    Это "не попробую" - это обязательное условие для пф на ЛЮБЫХ системах вирт-ции.



  • @EHOT said in OpenVPN Peer to Peer (Shared Key) "провалы" в соединении.:

    Переведите проблемного клиента на Peer to Peer SSL/TLS, либо подключив его к имеющемуся Remote Access SSL/TLS tun - не вариант. P2P мне нужен для SIP аппаратов, которые не могут самостоятельно к VPN подключаться.

    Вы меня неверно поняли. Существует возможность подключаясь клиентом OVPN (pfsense, *wrt и т.д.) к существующему Remote Access SSL/TLS серверу организовать для этого клиента peer-to-peer (site-to-site) соединение.
    Для всех ПК\устройств за таким клиентом ничего не изменится.

    Т.е идея в том, чтобы подключить проблемного pfsense-psk клиента к уже имеющемуся у вас Remote Access SSL/TLS tun, сменив на нем тип подключения и добавив пару настроек на сервере. Остальных пользователей Remote Access SSL/TLS это не коснется.



  • В общем нашел, что вызывает эту ситуацию, правда пока не понял почему...
    Клиентский pfsense находится за роутером. Подключил напрямую - все заработало, как надо. Основная задача решена, но попробую покопать дальше, так как схема клиента за роутером в будущем пригодиться.

    @werter said in OpenVPN Peer to Peer (Shared Key) "провалы" в соединении.:

    Это "не попробую" - это обязательное условие для пф на ЛЮБЫХ системах вирт-ции.

    Принял.

    @pigbrother said in OpenVPN Peer to Peer (Shared Key) "провалы" в соединении.:

    Т.е идея в том, чтобы подключить проблемного pfsense-psk клиента к уже имеющемуся у вас Remote Access SSL/TLS tun, сменив на нем тип подключения и добавив пару настроек на сервере. Остальных пользователей Remote Access SSL/TLS это не коснется.

    Как вариант попробую.

    Всем большое спасибо за участие. Результаты дальнейших экспериментов отпишу в этой же ветке.



  • Кстати, версия pfSense - 2.4.5 или 2.4.5-p1 ?

    в 2.4.5 есть серьёзный баг https://redmine.pfsense.org/issues/10414 приводящий к потерям пакетов, исправлен в 2.4.5-p1



  • @EHOT said in OpenVPN Peer to Peer (Shared Key) "провалы" в соединении.:

    Клиентский pfsense находится за роутером. Подключил напрямую - все заработало, как надо. Основная задача решена, но попробую покопать дальше, так как схема клиента за роутером в будущем пригодиться.

    Вероятно в этом роутере и проблема. Клиент OVPN за роутером\NATом - для OVPN обычно не проблема, в этом один из безусловных плюсов Open VPN.

    Объясню свою настойчивость отказа от PSK:

    1. Для каждого филиала нужен отдельный экземпляр сервера.
    2. Клиенту нельзя предать дополнительный маршрут с сервера (в другой филиал, например). Если вдруг такая необходимость возникнет, его придется добавлять вручную.
    3. ??


  • @viktor_g said in OpenVPN Peer to Peer (Shared Key) "провалы" в соединении.:

    Кстати, версия pfSense - 2.4.5 или 2.4.5-p1 ?

    2.4.5-RELEASE-p1



  • @pigbrother said in OpenVPN Peer to Peer (Shared Key) "провалы" в соединении.:

    Вероятно в этом роутере и проблема. Клиент OVPN за роутером\NATом - для OVPN обычно не проблема, в этом один из безусловных плюсов Open VPN.
    Объясню свою настойчивость отказа от PSK:

    Для каждого филиала нужен отдельный экземпляр сервера.
    Клиенту нельзя предать дополнительный маршрут с сервера (в другой филиал, например). Если вдруг такая необходимость возникнет, его придется добавлять вручную.
    ??

    В понедельник попробую с другими двумя роутерами. Сейчас на руках с поддержкой L2TP (мой домашний провайдер) нет. Может в выходные еще один pfsense в роли промежуточного роутера попробую.

    Филиалов у нас нет, но географически только два адреса и в третьем нет необходимости. К вопросу SSL\TLS еще вернусь, как минимум из личного любопытства. Пока при попытке его поднять tls error (вероятно с MTU поиграться надо, т.к. за роутером клиент)



  • @EHOT said in OpenVPN Peer to Peer (Shared Key) "провалы" в соединении.:

    Может в выходные еще один pfsense в роли промежуточного роутера попробую.
    Так и поднимите клиента OVPN PSK на этом pfSense.

    L2TP интернет - не подарок. На микротике приходилось корректировать MSS (если не изменяет память)


Log in to reply