Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    OpenVPN Peer to Peer (Shared Key) "провалы" в соединении.

    Scheduled Pinned Locked Moved Russian
    12 Posts 4 Posters 1.0k Views
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • E
      EHOT
      last edited by

      Доброго времени суток. С pfsense работаю совсем немного и не могу разобраться с одной штукой. Не ругайте.
      Имеется Pfsense 2.4.5 в головном офисе крутиться не esxi (Promiscuous mode на vSwitch отключен). Он же является шлюзом и на нем поднято 3 OpenVPN сервера для разных целей (Remote Access SSL/TLS tun, Remote Access SSL/TLS tap и Peer to Peer Shared Key). Remote Access SSL/TLS tun и Remote Access SSL/TLS tap работают исключительно замечательно, а вот Peer to Peer Shared Key не так как хотелось бы.

      Клиент Peer to Peer также Pfsense 2.4.5 на физической машине. Настройки клиента и сервера тривиальные (на всех ресурсах сети все сводится к одному и тому же мануалу):

      Сервер:
      Server mode: Peer to Peer (Shared Key)
      Protocol: UDP
      Device mode: tun
      Local port: XXXX
      TLS Configuration: Use a TLS Key Checked
      Tun network 10.X.X.X/X
      IPv4 Remote network: 192.168.Y.X/X
      остальное по дефолту

      Клиент:
      Server mode: Peer to Peer (Shared Key)
      Protocol: UDP
      Device mode: tun
      Server host address: 192.168.X.Z
      Server port: XXXX
      Tun network 10.X.X.X/X
      IPv4 Remote network: 192.168.X.X/X
      остальное по дефолту

      Правила Firewall все настроены как положено.

      Подключение создается. ICMP пакеты бегают в обе стороны без потерь. Время ответа одинаковое у всех трех подключений (RAtun, RAtap, P2P SK) ~27 мс, TTL 63, 64, 62 соответственно - логично.
      Но! Как будто соединение разрывается и создается вновь каждые ~15 секунд.
      Если подключиться по RDP к Windows серверу, каждые 15 секунд соединение подвисает и происходит Восстановление соединения RDP.
      Если подключиться к Linux серверу через терминал все работает, но если запустить тот же mc - подвисает.
      Подключенный SIP аппарат регистрируется на сервере, и звонки бегают, но если набирать 10-значный номер и "предполагаемый разрыв" произойдет в момент набора номера, то звонок откинется. Софтовые звонилки работают без проблем - логично.

      Пробовал включить аппаратную криптографию (на обоих машинах core i5 - позволительно)
      Пробовал играться с Send/Receive Buffer
      Пробовал LZO Compression
      Пробовал Local Port на клиенте статичный, разрешал на него входящий трафик
      В логах OpenVPN CMD 'status 2', CMD 'quit', Client disconnected на всех трех OpenVPN серверах, как понял, погуглив, это в порядке вещей.
      В логах OpenVPN на клиенте - тишина.
      К клиентскому Pfsense подключена только одна машина (иногда SIP аппарат для тестов). т.е. нагрузки на канал нет...

      Кто-нибудь сталкивался с подобным? Что можно предпринять?

      P 1 Reply Last reply Reply Quote 0
      • P
        pigbrother @EHOT
        last edited by pigbrother

        @EHOT said in OpenVPN Peer to Peer (Shared Key) "провалы" в соединении.:

        Кто-нибудь сталкивался с подобным? Что можно предпринять?

        Было отдаленно похожее. Провайдер резал UDP-трафик. Попробуйте перевести PSK на TCP.

        Если не поможет:

        1. Смотреть логи, включив verbose побольше на клиенте и сервере.
          Если не увидите причины:
        2. Смените временно провайдера на проблемном клиенте, можно на мобильного
        3. Смените железо\сетевую карту на проблемном клиенте
        4. Переведите проблемного клиента на Peer to Peer SSL/TLS либо добавив сервер OVPN, либо подключив его к имеющемуся Remote Access SSL/TLS tun, это возможно.
        1 Reply Last reply Reply Quote 0
        • werterW
          werter
          last edited by werter

          Добрый.
          @EHOT said in OpenVPN Peer to Peer (Shared Key) "провалы" в соединении.:

          Имеется Pfsense 2.4.5 в головном офисе крутиться не esxi

          Раздел "Configuring pfSense Software to work with Proxmox VirtIO" по https://docs.netgate.com/pfsense/en/latest/recipes/virtualize-proxmox.html выполнено ?
          Это обязательное условие.

          Смотреть логи, включив verbose побольше на клиенте и сервере.

          Люто плюсую. Только так.

          Было отдаленно похожее. Провайдер резал UDP-трафик. Попробуйте перевести PSK на TCP.

          Я бы перевесил вебку пф на др. порт и поднял овпн для проблемного клиента на 443\TCP.

          1 Reply Last reply Reply Quote 0
          • E
            EHOT
            last edited by

            Спасибо за ответы. Вчера вечером времени не было, сегодня попробую - отпишу.

            1. Провайдер резал UDP-трафик - маловероятно, если отключить P2P и цепляться через Remote Access SSL/TLS tun/tap - работает отлично (они тоже по UDP)
            2. Смените железо\сетевую карту - пробовал. На трех разных железках клиента поднимал.
            3. Переведите проблемного клиента на Peer to Peer SSL/TLS, либо подключив его к имеющемуся Remote Access SSL/TLS tun - не вариант. P2P мне нужен для SIP аппаратов, которые не могут самостоятельно к VPN подключаться.

            Попробую Peer to Peer SSL/TLS, попробую ради интереса TCP и "Configuring pfSense Software to work with Proxmox VirtIO", ну и verbose поднять - посмотреть логи. Еще раз спасибо.

            P 1 Reply Last reply Reply Quote 0
            • werterW
              werter
              last edited by

              Добрый.
              @EHOT said in OpenVPN Peer to Peer (Shared Key) "провалы" в соединении.:

              Configuring pfSense Software to work with Proxmox VirtIO

              Это "не попробую" - это обязательное условие для пф на ЛЮБЫХ системах вирт-ции.

              1 Reply Last reply Reply Quote 0
              • P
                pigbrother @EHOT
                last edited by pigbrother

                @EHOT said in OpenVPN Peer to Peer (Shared Key) "провалы" в соединении.:

                Переведите проблемного клиента на Peer to Peer SSL/TLS, либо подключив его к имеющемуся Remote Access SSL/TLS tun - не вариант. P2P мне нужен для SIP аппаратов, которые не могут самостоятельно к VPN подключаться.

                Вы меня неверно поняли. Существует возможность подключаясь клиентом OVPN (pfsense, *wrt и т.д.) к существующему Remote Access SSL/TLS серверу организовать для этого клиента peer-to-peer (site-to-site) соединение.
                Для всех ПК\устройств за таким клиентом ничего не изменится.

                Т.е идея в том, чтобы подключить проблемного pfsense-psk клиента к уже имеющемуся у вас Remote Access SSL/TLS tun, сменив на нем тип подключения и добавив пару настроек на сервере. Остальных пользователей Remote Access SSL/TLS это не коснется.

                1 Reply Last reply Reply Quote 0
                • E
                  EHOT
                  last edited by

                  В общем нашел, что вызывает эту ситуацию, правда пока не понял почему...
                  Клиентский pfsense находится за роутером. Подключил напрямую - все заработало, как надо. Основная задача решена, но попробую покопать дальше, так как схема клиента за роутером в будущем пригодиться.

                  @werter said in OpenVPN Peer to Peer (Shared Key) "провалы" в соединении.:

                  Это "не попробую" - это обязательное условие для пф на ЛЮБЫХ системах вирт-ции.

                  Принял.

                  @pigbrother said in OpenVPN Peer to Peer (Shared Key) "провалы" в соединении.:

                  Т.е идея в том, чтобы подключить проблемного pfsense-psk клиента к уже имеющемуся у вас Remote Access SSL/TLS tun, сменив на нем тип подключения и добавив пару настроек на сервере. Остальных пользователей Remote Access SSL/TLS это не коснется.

                  Как вариант попробую.

                  Всем большое спасибо за участие. Результаты дальнейших экспериментов отпишу в этой же ветке.

                  P 1 Reply Last reply Reply Quote 0
                  • viktor_gV
                    viktor_g Netgate
                    last edited by

                    Кстати, версия pfSense - 2.4.5 или 2.4.5-p1 ?

                    в 2.4.5 есть серьёзный баг https://redmine.pfsense.org/issues/10414 приводящий к потерям пакетов, исправлен в 2.4.5-p1

                    1 Reply Last reply Reply Quote 0
                    • P
                      pigbrother @EHOT
                      last edited by pigbrother

                      @EHOT said in OpenVPN Peer to Peer (Shared Key) "провалы" в соединении.:

                      Клиентский pfsense находится за роутером. Подключил напрямую - все заработало, как надо. Основная задача решена, но попробую покопать дальше, так как схема клиента за роутером в будущем пригодиться.

                      Вероятно в этом роутере и проблема. Клиент OVPN за роутером\NATом - для OVPN обычно не проблема, в этом один из безусловных плюсов Open VPN.

                      Объясню свою настойчивость отказа от PSK:

                      1. Для каждого филиала нужен отдельный экземпляр сервера.
                      2. Клиенту нельзя предать дополнительный маршрут с сервера (в другой филиал, например). Если вдруг такая необходимость возникнет, его придется добавлять вручную.
                      3. ??
                      1 Reply Last reply Reply Quote 0
                      • E
                        EHOT
                        last edited by

                        @viktor_g said in OpenVPN Peer to Peer (Shared Key) "провалы" в соединении.:

                        Кстати, версия pfSense - 2.4.5 или 2.4.5-p1 ?

                        2.4.5-RELEASE-p1

                        1 Reply Last reply Reply Quote 0
                        • E
                          EHOT
                          last edited by

                          @pigbrother said in OpenVPN Peer to Peer (Shared Key) "провалы" в соединении.:

                          Вероятно в этом роутере и проблема. Клиент OVPN за роутером\NATом - для OVPN обычно не проблема, в этом один из безусловных плюсов Open VPN.
                          Объясню свою настойчивость отказа от PSK:

                          Для каждого филиала нужен отдельный экземпляр сервера.
                          Клиенту нельзя предать дополнительный маршрут с сервера (в другой филиал, например). Если вдруг такая необходимость возникнет, его придется добавлять вручную.
                          ??

                          В понедельник попробую с другими двумя роутерами. Сейчас на руках с поддержкой L2TP (мой домашний провайдер) нет. Может в выходные еще один pfsense в роли промежуточного роутера попробую.

                          Филиалов у нас нет, но географически только два адреса и в третьем нет необходимости. К вопросу SSL\TLS еще вернусь, как минимум из личного любопытства. Пока при попытке его поднять tls error (вероятно с MTU поиграться надо, т.к. за роутером клиент)

                          P 1 Reply Last reply Reply Quote 0
                          • P
                            pigbrother @EHOT
                            last edited by

                            @EHOT said in OpenVPN Peer to Peer (Shared Key) "провалы" в соединении.:

                            Может в выходные еще один pfsense в роли промежуточного роутера попробую.
                            Так и поднимите клиента OVPN PSK на этом pfSense.

                            L2TP интернет - не подарок. На микротике приходилось корректировать MSS (если не изменяет память)

                            1 Reply Last reply Reply Quote 0
                            • First post
                              Last post
                            Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.