Перейти к содержанию

Рекомендуемые сообщения

Опубликовано (изменено)

В данный момент если настраивать под сервер, можно ли прописать iroute маршрут от клиента как тут ?

Изменено пользователем ICMP
  • Ответов 762
  • Создана
  • Последний ответ

Топ авторов темы

Опубликовано
2 минуты назад, ICMP сказал:

В данный момент если настраивать под сервер, можно ли отсылать iroute маршруты клиентам как тут ?

Конечно, почему нет?

Все, что позволяет настроить обычный конфиг - все можно.

Единственное ограничение - все внешние файлы нужно сделать inline-блоками в конфиге.

Опубликовано
3 минуты назад, ICMP сказал:

В данный момент если настраивать под сервер, можно ли отсылать iroute маршруты клиентам как тут ?

По идее пока если только создавать ccd на внешней флешке. Надо пробовать

Опубликовано
1 минуту назад, Le ecureuil сказал:

inline-блоками в конфиге

А можно пример пожалуйста!?

Если скажем клиент имеет CommonName Client2 и его подсеть 192.168.2.0 255.255.255.0

 

Опубликовано
3 минуты назад, r13 сказал:

По идее пока если только создавать ccd на внешней флешке.

Ну если на флешку почему бы мне сразу на на ней же и не поднять сервер:D

Опубликовано

нет необходимости в opkg например.

5 минут назад, ICMP сказал:

Ну если на флешку почему бы мне сразу на на ней же и не поднять сервер:D

 

Опубликовано
2 минуты назад, ICMP сказал:

@r13 а без флэшки нет мысли как прописать iroute сразу через веб морду?

Скиньте пример дерева конфигов в виде файлов, а там я подумаю что вам можно предложить.

Опубликовано (изменено)
port 1194
proto udp
dev tun
ca ca.crt
cert server.crt
key server.key
dh dh.pem
server 10.8.0.0 255.255.255.0
keepalive 10 120
comp-lzo
persist-key
persist-tun
verb 3
<ca>
</ca>
<cert>
</cert>
<key>
</key>
<dh>
</dh>

Клиент

client
dev tun
proto udp
remote my.ddns.net 1194
resolv-retry infinite
nobind
persist-key
persist-tun
remote-cert-tls server
comp-lzo
verb 3
<ca>
</ca>
<cert>
</cert>
<key>
</key>

 

Изменено пользователем ICMP
Опубликовано
Только что, Сергей Молоков сказал:

а это зачем?

Ну да, я просто на двух серверах тестирую и на встроенном можно и без них...

Опубликовано
1 минуту назад, ICMP сказал:

Какие файлы скажите только?

подозреваю что те которые содержатся в client-config-dir  ;)

Опубликовано
1 минуту назад, ICMP сказал:

Да еще тогда нужно как то прикрутить *,txt файлик который запоминает выданный ip клиентам...

Это также реализуемо через ccd а не отдельным файлом, смотрите ниже документацию по вашей же ссылке

Опубликовано
26 минут назад, r13 сказал:

Это также реализуемо через ccd а не отдельным файлом, смотрите ниже документацию по вашей же ссылке

На примере сервера на Enware 3.x

Есть такой файлик ipp.txt который лежит в /opt/etc/openvpn/ipp.txt

client2,10.8.0.2
client3,10.8.0.3

И если в openvpn.conf есть такая строчка то он запоминает ip их

ifconfig-pool-persist ipp.txt

А сейчас встроенный сервер выдает любой из пула 10.8.0.0 клиентам...

Опубликовано (изменено)
29 минут назад, ICMP сказал:

На примере сервера на Enware 3.x

Есть такой файлик ipp.txt который лежит в /opt/etc/openvpn/ipp.txt


client2,10.8.0.2
client3,10.8.0.3

И если в openvpn.conf есть такая строчка то он запоминает ip их

ifconfig-pool-persist ipp.txt

А сейчас встроенный сервер выдает любой из пула 10.8.0.0 клиентам...

Это не есть best practice ибо выдежка из документации:

Note that the entries in this file are treated by OpenVPN as suggestions only,
based on past associations between a common name and IP address.
They do not guarantee that the given common name will always receive the given IP address.
If you want guaranteed assignment, use --ifconfig-push

 

Изменено пользователем r13
Опубликовано (изменено)
40 минут назад, Le ecureuil сказал:

Она уже есть, просто настройте ее

Опять вы за свое:)

Ну как мне настроить маршрут до сети за опенвпн клиента? Если нельзя создать ccd папку и в нее прописать маршрут до клиента??

Изменено пользователем ICMP
Опубликовано (изменено)

route можно прописать в конфиге 

route 192.168.2.0 255.255.255.0

А вот как прописать iroute?

Изменено пользователем ICMP
Опубликовано

@Le ecureuil Быть может вы не до конца понимаете что я хочу ,опять же из той ссылки

И начать читать отсюда:

Включение нескольких машин на стороне клиента при использовании маршрутизируемого VPN (dev tun)

Опубликовано

 

31 минуту назад, Le ecureuil сказал:

Она уже есть, просто настройте ее :)

Насчет встраивания ipp посмотрю.

Раз пошла такая пьянка покручу сегодня папку ccd и по результатам скину сюда структуру.

Опубликовано
2 часа назад, ICMP сказал:

@Le ecureuil Быть может вы не до конца понимаете что я хочу ,опять же из той ссылки

И начать читать отсюда:

Включение нескольких машин на стороне клиента при использовании маршрутизируемого VPN (dev tun)

Такой вариант пока никак, без вариантов.

Опубликовано

@ICMP c ccd пока подружиться не удалось, но ipp  вполне себе в файлик на флешке адреса скидывает

Так что по идее ipp и статическая маршрутизация на роутере должны работать если на сервере нет директивы client-to-client

6 часов назад, ICMP сказал:

Пробовал добавлять так тоже без результата

Интерфейс Любой и OpenVPN0

rrr.png

 

Опубликовано

Есть немножко твиков, которые можно попробовать потестить на К (настройки для обеих сторон) на предмет прокачки, фрагментации на уровне kernel, cpu.

cli>
interface OpenVPN0 ip mtu 6000

ovpn config (остальное под себя)>

dev tun
proto udp
tun-mtu 6000
sndbuf 0
rcvbuf 0
fragment 0
mssfix 0
cipher aes-256-cbc
comp-lzo no

переподнимаем в cli>
interface OpenVPN0 down
interface OpenVPN0 up

***
Потом пробуем поднимать ip mtu и tun-mtu до: 9000, 12000, 24000, 36000, 48000, 60000

-> Помимо выключения внутренней фрагментации, "подстройки" буферов ovpn, принудительного выключения сжатия (чтобы не тратить cpu) - пытаемся скармливать блоку шифрования размер "побольше", аппаратный/софт aes - я ф.з. как там openssl -> потом на выходе с OpenVPN0 с толстяка снимают одежду, нарезают, пакуют на уровне kernel под выходной mtu аплинка.

Если поможет поднять перформанс, то было бы интересно узнать ваши бенчмарки, есть ли улучшения и какие, какой потолок на GbE.

Для продакшена в сетях где на путях маячит packet-loss иметь ввиду возможные последствия от завышенного mtu толстяка (из серии: при сборке на приемнике будет выкидыш, если хотя бы часть потеряется + нужно держать буфера для вероятных RO очереди, а что тут с ними - ф.з.) -> tcp клиентов решит проблему в конечном итоге, но приложения на udp могут быть под стрессом - это все индивидуально, чем выше задерете, тем сильнее аукнется -> для нормальных/проверенных сетей редкость, так что вероятное улучшение показателей все перевешивает.

Опубликовано

Потолок на 7628 - 70 Мбит/с (это когда шифрование и хэш равны NULL, openvpn только переклеиванием заголовков занимается). Не сильно-то и разгуляешься. На 7621 наверное в такой синтетике можно выжать 100 Мбит/с.

В таких условиях блок шифрования применять смысла нет, потому что ускорение с условных 30 до условных 40 Мбит/с (а выше 70 не прыгнешь даже в теории - см. выше + overhead на копирование в ядро/обратно) - очень жидко для столь большого объема работы. Потому все полностью программно.

Если нужна максимальная скорость с шифрованием - тогда нужно выбирать BF-CBC/MD5 или AES-GCM - по тестам они самые лучшие.

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.
Примечание: Ваш пост будет проверен модератором, прежде чем станет видимым.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

  • Последние посетители   0 пользователей онлайн

    • Ни одного зарегистрированного пользователя не просматривает данную страницу
×
×
  • Создать...

Важная информация

На этом сайте используются файлы cookie. Нажимая "Я принимаю" или продолжая просмотр сайта, вы разрешаете их использование: Политика конфиденциальности.