OpenVPN Peer to Peer (Shared Key) "провалы" в соединении.
-
Добрый.
@EHOT said in OpenVPN Peer to Peer (Shared Key) "провалы" в соединении.:Имеется Pfsense 2.4.5 в головном офисе крутиться не esxi
Раздел "Configuring pfSense Software to work with Proxmox VirtIO" по https://docs.netgate.com/pfsense/en/latest/recipes/virtualize-proxmox.html выполнено ?
Это обязательное условие.Смотреть логи, включив verbose побольше на клиенте и сервере.
Люто плюсую. Только так.
Было отдаленно похожее. Провайдер резал UDP-трафик. Попробуйте перевести PSK на TCP.
Я бы перевесил вебку пф на др. порт и поднял овпн для проблемного клиента на 443\TCP.
-
Спасибо за ответы. Вчера вечером времени не было, сегодня попробую - отпишу.
- Провайдер резал UDP-трафик - маловероятно, если отключить P2P и цепляться через Remote Access SSL/TLS tun/tap - работает отлично (они тоже по UDP)
- Смените железо\сетевую карту - пробовал. На трех разных железках клиента поднимал.
- Переведите проблемного клиента на Peer to Peer SSL/TLS, либо подключив его к имеющемуся Remote Access SSL/TLS tun - не вариант. P2P мне нужен для SIP аппаратов, которые не могут самостоятельно к VPN подключаться.
Попробую Peer to Peer SSL/TLS, попробую ради интереса TCP и "Configuring pfSense Software to work with Proxmox VirtIO", ну и verbose поднять - посмотреть логи. Еще раз спасибо.
-
Добрый.
@EHOT said in OpenVPN Peer to Peer (Shared Key) "провалы" в соединении.:Configuring pfSense Software to work with Proxmox VirtIO
Это "не попробую" - это обязательное условие для пф на ЛЮБЫХ системах вирт-ции.
-
@EHOT said in OpenVPN Peer to Peer (Shared Key) "провалы" в соединении.:
Переведите проблемного клиента на Peer to Peer SSL/TLS, либо подключив его к имеющемуся Remote Access SSL/TLS tun - не вариант. P2P мне нужен для SIP аппаратов, которые не могут самостоятельно к VPN подключаться.
Вы меня неверно поняли. Существует возможность подключаясь клиентом OVPN (pfsense, *wrt и т.д.) к существующему Remote Access SSL/TLS серверу организовать для этого клиента peer-to-peer (site-to-site) соединение.
Для всех ПК\устройств за таким клиентом ничего не изменится.Т.е идея в том, чтобы подключить проблемного pfsense-psk клиента к уже имеющемуся у вас Remote Access SSL/TLS tun, сменив на нем тип подключения и добавив пару настроек на сервере. Остальных пользователей Remote Access SSL/TLS это не коснется.
-
В общем нашел, что вызывает эту ситуацию, правда пока не понял почему...
Клиентский pfsense находится за роутером. Подключил напрямую - все заработало, как надо. Основная задача решена, но попробую покопать дальше, так как схема клиента за роутером в будущем пригодиться.@werter said in OpenVPN Peer to Peer (Shared Key) "провалы" в соединении.:
Это "не попробую" - это обязательное условие для пф на ЛЮБЫХ системах вирт-ции.
Принял.
@pigbrother said in OpenVPN Peer to Peer (Shared Key) "провалы" в соединении.:
Т.е идея в том, чтобы подключить проблемного pfsense-psk клиента к уже имеющемуся у вас Remote Access SSL/TLS tun, сменив на нем тип подключения и добавив пару настроек на сервере. Остальных пользователей Remote Access SSL/TLS это не коснется.
Как вариант попробую.
Всем большое спасибо за участие. Результаты дальнейших экспериментов отпишу в этой же ветке.
-
Кстати, версия pfSense - 2.4.5 или 2.4.5-p1 ?
в 2.4.5 есть серьёзный баг https://redmine.pfsense.org/issues/10414 приводящий к потерям пакетов, исправлен в 2.4.5-p1
-
@EHOT said in OpenVPN Peer to Peer (Shared Key) "провалы" в соединении.:
Клиентский pfsense находится за роутером. Подключил напрямую - все заработало, как надо. Основная задача решена, но попробую покопать дальше, так как схема клиента за роутером в будущем пригодиться.
Вероятно в этом роутере и проблема. Клиент OVPN за роутером\NATом - для OVPN обычно не проблема, в этом один из безусловных плюсов Open VPN.
Объясню свою настойчивость отказа от PSK:
- Для каждого филиала нужен отдельный экземпляр сервера.
- Клиенту нельзя предать дополнительный маршрут с сервера (в другой филиал, например). Если вдруг такая необходимость возникнет, его придется добавлять вручную.
- ??
-
@viktor_g said in OpenVPN Peer to Peer (Shared Key) "провалы" в соединении.:
Кстати, версия pfSense - 2.4.5 или 2.4.5-p1 ?
2.4.5-RELEASE-p1
-
@pigbrother said in OpenVPN Peer to Peer (Shared Key) "провалы" в соединении.:
Вероятно в этом роутере и проблема. Клиент OVPN за роутером\NATом - для OVPN обычно не проблема, в этом один из безусловных плюсов Open VPN.
Объясню свою настойчивость отказа от PSK:Для каждого филиала нужен отдельный экземпляр сервера.
Клиенту нельзя предать дополнительный маршрут с сервера (в другой филиал, например). Если вдруг такая необходимость возникнет, его придется добавлять вручную.
??В понедельник попробую с другими двумя роутерами. Сейчас на руках с поддержкой L2TP (мой домашний провайдер) нет. Может в выходные еще один pfsense в роли промежуточного роутера попробую.
Филиалов у нас нет, но географически только два адреса и в третьем нет необходимости. К вопросу SSL\TLS еще вернусь, как минимум из личного любопытства. Пока при попытке его поднять tls error (вероятно с MTU поиграться надо, т.к. за роутером клиент)
-
@EHOT said in OpenVPN Peer to Peer (Shared Key) "провалы" в соединении.:
Может в выходные еще один pfsense в роли промежуточного роутера попробую.
Так и поднимите клиента OVPN PSK на этом pfSense.L2TP интернет - не подарок. На микротике приходилось корректировать MSS (если не изменяет память)