[Sysadmins] ovpn on multihomed server

ALT Linux sysadmins discussion
 help / color / mirror / Atom feed

* [Sysadmins] ovpn on multihomed server
@ 2006-10-23 10:36 Alexander Volkov
  2006-10-23 11:02 ` Nikolay A. Fetisov
  2006-10-23 11:06 ` Andrei Bulava
  0 siblings, 2 replies; 8+ messages in thread
From: Alexander Volkov @ 2006-10-23 10:36 UTC (permalink / raw)
  To: sysadmins

Hi!
Есть сервер на 2.4, смотрящий в 3 провайдеров. На ём поднят openvpn,
policy routing подразумевает, что пакет, пришедший на один из интерфейсов,
с него же и уходит, но дефолтный шлюз один.
Так вот, установить vpn соединение можно только с интерфейсом этого
дефолтного шлюза... Хотя апач, к примеру, отзывается на всех трёх
нормально.
Фаерволом пакеты не режутся, в логах бы видел...
Где б что ещё посмотреть?

--
 Regards, Alexander

^ permalink raw reply	[flat|nested] 8+ messages in thread

* Re: [Sysadmins] ovpn on multihomed server
  2006-10-23 10:36 [Sysadmins] ovpn on multihomed server Alexander Volkov
@ 2006-10-23 11:02 ` Nikolay A. Fetisov
  2006-10-23 14:17   ` Alexander Volkov
  2006-10-23 11:06 ` Andrei Bulava
  1 sibling, 1 reply; 8+ messages in thread
From: Nikolay A. Fetisov @ 2006-10-23 11:02 UTC (permalink / raw)
  To: sysadmins

On Mon, 23 Oct 2006 14:36:14 +0400
Alexander Volkov wrote:

> Есть сервер на 2.4, смотрящий в 3 провайдеров. На ём поднят openvpn,
> policy routing подразумевает, что пакет, пришедший на один из интерфейсов,
> с него же и уходит, но дефолтный шлюз один.
> Так вот, установить vpn соединение можно только с интерфейсом этого
> дефолтного шлюза... Хотя апач, к примеру, отзывается на всех трёх
> нормально.
> Фаерволом пакеты не режутся, в логах бы видел...
> Где б что ещё посмотреть?

А что пишет-то openvpn? С увеличенным значением verb?

Хотя, скорее всего, смотреть надо на настройки маршрутизации.
Особенно в отношении UDP-пакетов, исходя из того, что Apache работает.

-- 
С уважением,	
Николай Фетисов


^ permalink raw reply	[flat|nested] 8+ messages in thread

* Re: [Sysadmins] ovpn on multihomed server
  2006-10-23 10:36 [Sysadmins] ovpn on multihomed server Alexander Volkov
  2006-10-23 11:02 ` Nikolay A. Fetisov
@ 2006-10-23 11:06 ` Andrei Bulava
  1 sibling, 0 replies; 8+ messages in thread
From: Andrei Bulava @ 2006-10-23 11:06 UTC (permalink / raw)
  To: ALT Linux sysadmin discuss

Alexander Volkov wrote:
> Hi!
> Есть сервер на 2.4, смотрящий в 3 провайдеров. На ём поднят openvpn,
> policy routing подразумевает, что пакет, пришедший на один из интерфейсов,
> с него же и уходит, но дефолтный шлюз один.
> Так вот, установить vpn соединение можно только с интерфейсом этого
> дефолтного шлюза... Хотя апач, к примеру, отзывается на всех трёх
> нормально.
> Фаерволом пакеты не режутся, в логах бы видел...
> Где б что ещё посмотреть?

Стоит попробовать TCP вместо UDP в качестве транспортного протокола.
Деталей не помню, давно было, но UDP у меня тоже артачился, а TCP поехал
без проблем.

-- 
// AB1002-UANIC



^ permalink raw reply	[flat|nested] 8+ messages in thread

* Re: [Sysadmins] ovpn on multihomed server
  2006-10-23 11:02 ` Nikolay A. Fetisov
@ 2006-10-23 14:17   ` Alexander Volkov
  2006-10-23 15:09     ` Nikolay A. Fetisov
  0 siblings, 1 reply; 8+ messages in thread
From: Alexander Volkov @ 2006-10-23 14:17 UTC (permalink / raw)
  To: sysadmins

On 2006-10-23 15:02:51 +0400, Nikolay A. Fetisov wrote:
NAF> On Mon, 23 Oct 2006 14:36:14 +0400
NAF> Alexander Volkov wrote:

NAF> > Есть сервер на 2.4, смотрящий в 3 провайдеров. На ём поднят openvpn,
NAF> > policy routing подразумевает, что пакет, пришедший на один из интерфейсов,
NAF> > с него же и уходит, но дефолтный шлюз один.
NAF> > Так вот, установить vpn соединение можно только с интерфейсом этого
NAF> > дефолтного шлюза... Хотя апач, к примеру, отзывается на всех трёх
NAF> > нормально.
NAF> > Фаерволом пакеты не режутся, в логах бы видел...
NAF> > Где б что ещё посмотреть?

NAF> А что пишет-то openvpn? С увеличенным значением verb?

NAF> Хотя, скорее всего, смотреть надо на настройки маршрутизации.
NAF> Особенно в отношении UDP-пакетов, исходя из того, что Apache работает.
вот и я к тому ж склоняюсь, но для udp специально ничего не делал, а надо?
Оно разве общим правилам не подчиняется? Есть под рукой сцылка?
--
 Regards, Alexander

^ permalink raw reply	[flat|nested] 8+ messages in thread

* Re: [Sysadmins] ovpn on multihomed server
  2006-10-23 14:17   ` Alexander Volkov
@ 2006-10-23 15:09     ` Nikolay A. Fetisov
  2006-10-24  5:30       ` Alexander Volkov
  0 siblings, 1 reply; 8+ messages in thread
From: Nikolay A. Fetisov @ 2006-10-23 15:09 UTC (permalink / raw)
  To: sysadmins

On Mon, 23 Oct 2006 18:17:28 +0400
Alexander Volkov wrote:

> On 2006-10-23 15:02:51 +0400, Nikolay A. Fetisov wrote:
> ......
> NAF> Хотя, скорее всего, смотреть надо на настройки маршрутизации.
> NAF> Особенно в отношении UDP-пакетов, исходя из того, что Apache работает.
> вот и я к тому ж склоняюсь, но для udp специально ничего не делал, а надо?
> Оно разве общим правилам не подчиняется? Есть под рукой сцылка?

Есть: http://openvpn.net/archive/openvpn-users/2005-11/msg00321.html

Вывод: через UDP в данной конфигурации OpenVPN работать не будет, так
что или 
proto tcp 
или ждите 2.1, релиз обещан в начале ноября.

-- 
С уважением,	
Николай Фетисов


^ permalink raw reply	[flat|nested] 8+ messages in thread

* Re: [Sysadmins] ovpn on multihomed server
  2006-10-23 15:09     ` Nikolay A. Fetisov
@ 2006-10-24  5:30       ` Alexander Volkov
  2006-10-24  5:52         ` Nikolay A. Fetisov
  0 siblings, 1 reply; 8+ messages in thread
From: Alexander Volkov @ 2006-10-24  5:30 UTC (permalink / raw)
  To: sysadmins

On 2006-10-23 19:09:26 +0400, Nikolay A. Fetisov wrote:
NAF> On Mon, 23 Oct 2006 18:17:28 +0400
NAF> Alexander Volkov wrote:

NAF> > On 2006-10-23 15:02:51 +0400, Nikolay A. Fetisov wrote:
NAF> > ......
NAF> > NAF> Хотя, скорее всего, смотреть надо на настройки маршрутизации.
NAF> > NAF> Особенно в отношении UDP-пакетов, исходя из того, что Apache работает.
NAF> > вот и я к тому ж склоняюсь, но для udp специально ничего не делал, а надо?
NAF> > Оно разве общим правилам не подчиняется? Есть под рукой сцылка?

NAF> Есть: http://openvpn.net/archive/openvpn-users/2005-11/msg00321.html

NAF> Вывод: через UDP в данной конфигурации OpenVPN работать не будет, так
NAF> что или 
NAF> proto tcp 
NAF> или ждите 2.1, релиз обещан в начале ноября.
Спасибо, религия позволяет/не мешает перейти на tcp :)
--
 Regards, Alexander

^ permalink raw reply	[flat|nested] 8+ messages in thread

* Re: [Sysadmins] ovpn on multihomed server
  2006-10-24  5:30       ` Alexander Volkov
@ 2006-10-24  5:52         ` Nikolay A. Fetisov
  2006-10-24  6:31           ` Alexander Volkov
  0 siblings, 1 reply; 8+ messages in thread
From: Nikolay A. Fetisov @ 2006-10-24  5:52 UTC (permalink / raw)
  To: sysadmins

On Tue, 24 Oct 2006 09:30:29 +0400
Alexander Volkov wrote:

> On 2006-10-23 19:09:26 +0400, Nikolay A. Fetisov wrote:
> ...
> NAF> Вывод: через UDP в данной конфигурации OpenVPN работать не будет, так
> NAF> что или 
> NAF> proto tcp 
> NAF> или ждите 2.1, релиз обещан в начале ноября.
> Спасибо, религия позволяет/не мешает перейти на tcp :)

К сожалению, это вопрос не религии, а производительности.
Туннели через TCP имеют ряд врождённых особенностей, сильно
затрудняющих их использование на плохих (с значительным числом
пропадающих пакетов) каналах связи. 
См., например, http://sites.inka.de/sites/bigred/devel/tcp-tcp.html

-- 
С уважением,	
Николай Фетисов

^ permalink raw reply	[flat|nested] 8+ messages in thread

* Re: [Sysadmins] ovpn on multihomed server
  2006-10-24  5:52         ` Nikolay A. Fetisov
@ 2006-10-24  6:31           ` Alexander Volkov
  0 siblings, 0 replies; 8+ messages in thread
From: Alexander Volkov @ 2006-10-24  6:31 UTC (permalink / raw)
  To: sysadmins

On 2006-10-24 09:52:19 +0400, Nikolay A. Fetisov wrote:
NAF> К сожалению, это вопрос не религии, а производительности.
NAF> Туннели через TCP имеют ряд врождённых особенностей, сильно
NAF> затрудняющих их использование на плохих (с значительным числом
NAF> пропадающих пакетов) каналах связи. 
NAF> См., например, http://sites.inka.de/sites/bigred/devel/tcp-tcp.html
Спасибо ещё раз, бум пробовать вернуться на udp после выхода 2.1.
Пока, в первом приближении, для ближних клиентов tcp работает нормально.
Правда, производительность пока не тестил...

--
 Regards, Alexander

^ permalink raw reply	[flat|nested] 8+ messages in thread

end of thread, other threads:[~2006-10-24  6:31 UTC | newest]

Thread overview: 8+ messages (download: mbox.gz / follow: Atom feed)
-- links below jump to the message on this page --
2006-10-23 10:36 [Sysadmins] ovpn on multihomed server Alexander Volkov
2006-10-23 11:02 ` Nikolay A. Fetisov
2006-10-23 14:17   ` Alexander Volkov
2006-10-23 15:09     ` Nikolay A. Fetisov
2006-10-24  5:30       ` Alexander Volkov
2006-10-24  5:52         ` Nikolay A. Fetisov
2006-10-24  6:31           ` Alexander Volkov
2006-10-23 11:06 ` Andrei Bulava

ALT Linux sysadmins discussion

This inbox may be cloned and mirrored by anyone:

	git clone --mirror http://lore.altlinux.org/sysadmins/0 sysadmins/git/0.git

	# If you have public-inbox 1.1+ installed, you may
	# initialize and index your mirror using the following commands:
	public-inbox-init -V2 sysadmins sysadmins/ http://lore.altlinux.org/sysadmins \
		sysadmins@lists.altlinux.org sysadmins@lists.altlinux.ru sysadmins@lists.altlinux.com
	public-inbox-index sysadmins

Example config snippet for mirrors.
Newsgroup available over NNTP:
	nntp://lore.altlinux.org/org.altlinux.lists.sysadmins


AGPL code for this site: git clone https://public-inbox.org/public-inbox.git