VPN: FreeBSD - MacOS X Lion, Ipad

[SpiritusVini]

Нужно настроить VPN между сервером FreeBSD и ноутом с MacOS X 10.7 (IP динамический), IPad

Своего MacBook нет, поэтому сначала тестирую работу на винде.
1. у клиента теперь режутся GRE (провайдера не воспитать) поэтому ранее работающий MPD через PPTP не работает.
2. поставил Ipsec (групповая аунтефикация через проверку сертификата, пользователь через юзера на самой фре) на виндах через Cisco VPN Client все хорошо и работает, НО вот на MacOS X 10.7 нет клиента, а встроенный не хочет работать через сертификат, только через имя группы и пароль группы.

не понимаю как выйти из положения, посоветуйте что поднимать если кто уже сталкивался.

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[LimpTeaM]

openvpn

[SpiritusVini]

OpenVpn поднял и настроил по http://www.lissyara.su/articles/freebsd ... y/openvpn/ коннект с виндовой машины идет, пинг до серверов во внутренней сети тоже есть, но как только запускаешь RDP - он начинает стартовать, начинает прорисовывать экран и соединение виснет, пинг при этом прекращается.

[LimpTeaM]

OpenVpn поднял и настроил по http://www.lissyara.su/articles/freebsd ... y/openvpn/ коннект с виндовой машины идет, пинг до серверов во внутренней сети тоже есть, но как только запускаешь RDP - он начинает стартовать, начинает прорисовывать экран и соединение виснет, пинг при этом прекращается.

попробовать поставить proto tcp вместо proto udp
+ поменять порт
отключить comp-lzo(сжатие трафика)

[SpiritusVini]

попробовать поставить proto tcp вместо proto udp

сделал

+ поменять порт

port 200 или любой другой как пример 443 в ipfw правило добавил

отключить comp-lzo(сжатие трафика)

отключил на сервере и клиенте

вот как ведет себя пинг

Код: Выделить всё

Ответ от 172.17.0.8: число байт=32 время=5мс TTL=127
Ответ от 172.17.0.8: число байт=32 время=5мс TTL=127
Ответ от 172.17.0.8: число байт=32 время=4мс TTL=127
Ответ от 172.17.0.8: число байт=32 время=5мс TTL=127
Ответ от 172.17.0.8: число байт=32 время=4мс TTL=127
Ответ от 172.17.0.8: число байт=32 время=5мс TTL=127
Ответ от 172.17.0.8: число байт=32 время=74мс TTL=127
Ответ от 172.17.0.8: число байт=32 время=3283мс TTL=127
Превышен интервал ожидания для запроса.

что то зажимает канал
отключаешь RDP пинги восстанавливаются через какое то время

[mak_v_]

openvpn -100%-но рботает - проверено на тайгере.
Есть предположение что одинаковая адресация на интерфейсах на маке, возможно фаер, может что ещё ......смотрите логи + tcpdump

[SpiritusVini]

openvpn -100%-но рботает - проверено на тайгере.

я до мака еще не добрался с винды тестирую
кстати какого клиента на мак лучше ставить, а на IPad как я понял клиента нет для OpenVPN


Update
OpenVPN где то режет канал не могу понять где

[SpiritusVini]

вообщем убрал на время
cipfer BF-CBC
стало получше, изменил РДП на 256 цветов

Код: Выделить всё

Ответ от 172.17.0.8: число байт=32 время=5мс TTL=127
Ответ от 172.17.0.8: число байт=32 время=5мс TTL=127
Ответ от 172.17.0.8: число байт=32 время=5мс TTL=127
Ответ от 172.17.0.8: число байт=32 время=154мс TTL=127
Ответ от 172.17.0.8: число байт=32 время=636мс TTL=127
Ответ от 172.17.0.8: число байт=32 время=800мс TTL=127
Ответ от 172.17.0.8: число байт=32 время=125мс TTL=127
Ответ от 172.17.0.8: число байт=32 время=5мс TTL=127
Ответ от 172.17.0.8: число байт=32 время=5мс TTL=127
Ответ от 172.17.0.8: число байт=32 время=9мс TTL=127
Ответ от 172.17.0.8: число байт=32 время=5мс TTL=127
Ответ от 172.17.0.8: число байт=32 время=9мс TTL=127
Ответ от 172.17.0.8: число байт=32 время=8мс TTL=127
Ответ от 172.17.0.8: число байт=32 время=110мс TTL=127
Ответ от 172.17.0.8: число байт=32 время=5мс TTL=127
Ответ от 172.17.0.8: число байт=32 время=1248мс TTL=127
Превышен интервал ожидания для запроса.
Превышен интервал ожидания для запроса.
Превышен интервал ожидания для запроса.
Превышен интервал ожидания для запроса.

канала все равно не хватает, непонятно где он его жмет
конфиг сервера

Код: Выделить всё

port 200
proto tcp
dev tun0
ca /usr/local/etc/openvpn/keys/ca.crt
cert /usr/local/etc/openvpn/keys/server.crt
key /usr/local/etc/openvpn/keys/server.key
dh /usr/local/etc/openvpn/keys/dh1024.pem
server 10.10.200.0 255.255.255.0
push "route 172.17.0.0 255.255.0.0"
client-config-dir ccd
route 10.10.200.0 255.255.255.252
tls-server
tls-auth keys/ta.key 0
tls-timeout 120
auth MD5
#cipher BF-CBC
keepalive 10 120
#comp-lzo
max-clients 10
user nobody
group nobody
persist-key
persist-tun
status /var/log/openvpn/openvpn-status.log
log /var/log/openvpn/openvpn.log
verb 10

[suspender]

Клиент openvpn для мака называется tunnelbrick
работает отлично.

[LimpTeaM]

порт выше подними. за 1000
где-то в гугле видел у людей тоже на уровне прова проблемы были со стандартными портами и портами ниже 1024

попробуй дефолтный 1194 или выше. у меня 8303 вообще
во все остальном конфиг вроде правильный


какой размер канала?
какое адресное пространство в самой сети?
может есть смысл повесить tap интерфейс и использовать одно адресное пространство?
единственный минус по туннелю будут летать броадкасты. у меня в принципе работает нормально

з.ы. tls-timeout у меня не стоит вообще

[mak_v_]

LimpTeaM, вы все верно предполагаете:
1) tcpdump
2) логи (vebrose повыше на сервере и клиенте)

Из возможных причин: шейпинг провом удп (попробовать tcp), ширина канала\шейпер, маршрутизация на клиенте (дублирующие маршруты на физ.интерфейсе и тунельном), низкий порт, мту...возможно что-то упустил

[SpiritusVini]

с портом проблем нет, но для очистки совести сменил на 8083 - все то же самое
именно tun похоже сильно снижает скорость то есть на пинги его хватает а чуть что больше размером пакетики так сразу висяк
не успевает обрабатывать
уменьшение mtu до 1420 на сервере и клиенте ничего не дало
обмен пакетами размером больше 1-1.2 кб забивает его

Код: Выделить всё

Обмен пакетами с 172.17.0.8 по 1250 байт:

Ответ от 172.17.0.8: число байт=1250 время=992мс TTL=127
Ответ от 172.17.0.8: число байт=1250 время=1499мс TTL=127
Ответ от 172.17.0.8: число байт=1250 время=2713мс TTL=127
Превышен интервал ожидания для запроса.

забыл добавить
mpd5 pptp - работает как часики - но там где он нужен там GRE режется
ipsec через racoon тоже отлично работает и канала и всего остального хватает но на маке не могу его настроить

[mak_v_]

Похоже на бред, смотрите трафик.
Это обычный udp или tcp.
Да, драйвер tun имеет ограничение в 10мбит\с
Подозреваю что все-же адресация\маршруты косячные.
И так до сих пор ни логов с клиента\сервера ни tcpdump .
Предновогодние загадки прям

[LimpTeaM]

Похоже на бред, смотрите трафик.
Это обычный udp или tcp.
Да, драйвер tun имеет ограничение в 10мбит\с
Подозреваю что все-же адресация\маршруты косячные.
И так до сих пор ни логов с клиента\сервера ни tcpdump .
Предновогодние загадки прям

не имеет он ограничение что tun что tap прокачивал на них больше 10 мегабит много-много раз)

попробуйте теперь включить complzo

ди и таблицу маршрутов хотелось бы посмотреть

[mak_v_]

не имеет он ограничение что tun что tap прокачивал на них больше 10 мегабит много-много раз)

Согласен. в старой версии(до 2) было ограничение....
Но уж сжатие глобально не поможет, раз пинг настолько красив. 1-1??
Топикстартер не любит статистик - только загадки и игры с неполными данными - рулетка, кости, покер.

[SpiritusVini]

на клиенте

Код: Выделить всё

===========================================================================
Список интерфейсов
0x1 ........................... MS TCP Loopback interface
0x2 ...90 e6 ba e0 bd 77 ...... Realtek PCIe FE Family Controller - ?шэшяюЁЄ яырэш
0x3 ...00 ff 66 26 03 53 ...... TAP-Win32 Adapter V9 - ?шэшяюЁЄ яырэшЁют?шър яръхЄ
===========================================================================
===========================================================================
Активные маршруты:
Сетевой адрес           Маска сети      Адрес шлюза       Интерфейс  Метрика
          0.0.0.0          0.0.0.0    192.168.1.254   192.168.1.122       20
      10.10.200.0  255.255.255.252      10.10.200.2     10.10.200.2       30
      10.10.200.2  255.255.255.255        127.0.0.1       127.0.0.1       30
   10.255.255.255  255.255.255.255      10.10.200.2     10.10.200.2       30
        127.0.0.0        255.0.0.0        127.0.0.1       127.0.0.1       1
      169.254.0.0      255.255.0.0    192.168.1.122   192.168.1.122       20
       172.17.0.0      255.255.0.0      10.10.200.1     10.10.200.2       1
      192.168.1.0    255.255.255.0    192.168.1.122   192.168.1.122       20
    192.168.1.122  255.255.255.255        127.0.0.1       127.0.0.1       20
    192.168.1.255  255.255.255.255    192.168.1.122   192.168.1.122       20
        224.0.0.0        240.0.0.0      10.10.200.2     10.10.200.2       30
        224.0.0.0        240.0.0.0    192.168.1.122   192.168.1.122       20
  255.255.255.255  255.255.255.255      10.10.200.2     10.10.200.2       1
  255.255.255.255  255.255.255.255    192.168.1.122   192.168.1.122       1
Основной шлюз:       192.168.1.254
===========================================================================
Постоянные маршруты:
  Отсутствует

complzo ничего не дало

на сервере таблица

Код: Выделить всё

Internet:
Destination        Gateway            Flags    Refs      Use  Netif Expire
default            139-176-123-25.we UGS         0  3809747    em0
10.10.200.0/30     10.10.200.2        UGS         0        0   tun0 =>
10.10.200.0        10.10.200.2        UGS         0        0   tun0
10.10.200.2        10.10.200.1        UH          2      523   tun0
139-176-123-24/29 link#1             UC          0        0    em0
139-176-123-25.we -------mac ----------0  UHLW        2        0    em0    879
139-176-123-26.we -------mac ----------  UHLW        1     5852    lo0
localhost          localhost          UH          0    11847    lo0
172.17.0.0         link#2             UC          0        0   fxp0
172.17.0.x         -------mac ----------  UHLW        1   119333   fxp0   1120
172.17.0.y         -------mac ----------  UHLW        1     2943   fxp0    942
172.17.0.8         -------mac ----------  UHLW        1   149183   fxp0    510
172.17.0.z        -------mac ----------  UHLW        1       14   fxp0    259
172.17.0.e       -------mac ----------  UHLW        1     2546   fxp0   1098
172.17.w.d       -------mac ----------  UHLW        1   840562   fxp0   1149
172.17.f.f      -------mac ----------  UHLW        1   178628   fxp0    549
172.17.r.w      -------mac ----------  UHLW        1    60353   fxp0   1074
172.17.x.z      -------mac ----------  UHLW        1    28275   fxp0    622
172.19.0.0         link#3             UC          0        1   fxp1
172.19.x.y     -------mac ----------  UHLW        1   108591   fxp1   1133

[LimpTeaM]

глупость сейчас напишу, но попробуйте на клиенте дописать в конфиг redirect-gateway чтобы весь трафик шел напрямую через сервер

[SpiritusVini]

дописал, вот что вышло - это не запуская RDP

Код: Выделить всё

Ответ от 172.17.0.8: число байт=32 время=27мс TTL=127
Ответ от 172.17.0.8: число байт=32 время=64мс TTL=127
Ответ от 172.17.0.8: число байт=32 время=111мс TTL=127
Ответ от 172.17.0.8: число байт=32 время=5мс TTL=127
Ответ от 172.17.0.8: число байт=32 время=109мс TTL=127
Ответ от 172.17.0.8: число байт=32 время=4мс TTL=127
Ответ от 172.17.0.8: число байт=32 время=76мс TTL=127
Ответ от 172.17.0.8: число байт=32 время=5мс TTL=127
Ответ от 172.17.0.8: число байт=32 время=15мс TTL=127
Ответ от 172.17.0.8: число байт=32 время=61мс TTL=127
Ответ от 172.17.0.8: число байт=32 время=25мс TTL=127
Ответ от 172.17.0.8: число байт=32 время=5мс TTL=127
Ответ от 172.17.0.8: число байт=32 время=29мс TTL=127
Ответ от 172.17.0.8: число байт=32 время=101мс TTL=127
Ответ от 172.17.0.8: число байт=32 время=40мс TTL=127
Ответ от 172.17.0.8: число байт=32 время=58мс TTL=127
Ответ от 172.17.0.8: число байт=32 время=11мс TTL=127
Ответ от 172.17.0.8: число байт=32 время=39мс TTL=127
Ответ от 172.17.0.8: число байт=32 время=88мс TTL=127
Ответ от 172.17.0.8: число байт=32 время=13мс TTL=127
Превышен интервал ожидания для запроса.
Превышен интервал ожидания для запроса.
Превышен интервал ожидания для запроса.

не могу прикрепить лог wiresharka с клиента по tap интерфейсу

Топикстартер не любит статистик - только загадки и игры с неполными данными - рулетка, кости, покер.

я в разделе для начинающих тему создал потому как не понимаю еше многого...
если нужно что то скажите прямо - гадать не умею

[LimpTeaM]

пробуем как тут
http://www.wandin.net/dotclear/index.ph ... N-MTU-Size
добававлем на клиенте mtu-test
потом смотрим лог что получится ничего не пингуем.
добавляем что-то типа
fragment 1400
mssfix

но вообще это уже гадание на кофейной гуще


UPD работает только с proto udp

[SpiritusVini]

но вообще это уже гадание на кофейной гуще

знал бы куда копать ...
лог с клиента (на сервере mtu-test) на клиенте вообще не задано

Код: Выделить всё

Wed Dec 14 21:16:07 2011   max_clients = 1024
Wed Dec 14 21:16:07 2011   max_routes_per_client = 256
Wed Dec 14 21:16:07 2011   auth_user_pass_verify_script = '[UNDEF]'
Wed Dec 14 21:16:07 2011   auth_user_pass_verify_script_via_file = DISABLED
Wed Dec 14 21:16:07 2011   ssl_flags = 0
Wed Dec 14 21:16:07 2011   client = ENABLED
Wed Dec 14 21:16:07 2011   pull = ENABLED
Wed Dec 14 21:16:07 2011   auth_user_pass_file = '[UNDEF]'
Wed Dec 14 21:16:07 2011   show_net_up = DISABLED
Wed Dec 14 21:16:07 2011   route_method = 0
Wed Dec 14 21:16:07 2011   ip_win32_defined = DISABLED
Wed Dec 14 21:16:07 2011   ip_win32_type = 3
Wed Dec 14 21:16:07 2011   dhcp_masq_offset = 0
Wed Dec 14 21:16:07 2011   dhcp_lease_time = 31536000
Wed Dec 14 21:16:07 2011   tap_sleep = 0
Wed Dec 14 21:16:07 2011   dhcp_options = DISABLED
Wed Dec 14 21:16:07 2011   dhcp_renew = DISABLED
Wed Dec 14 21:16:07 2011   dhcp_pre_release = DISABLED
Wed Dec 14 21:16:07 2011   dhcp_release = DISABLED
Wed Dec 14 21:16:07 2011 us=15000   domain = '[UNDEF]'
Wed Dec 14 21:16:07 2011 us=15000   netbios_scope = '[UNDEF]'
Wed Dec 14 21:16:07 2011 us=15000   netbios_node_type = 0
Wed Dec 14 21:16:07 2011 us=15000   disable_nbt = DISABLED
Wed Dec 14 21:16:07 2011 us=15000 OpenVPN 2.2.1 Win32-MSVC++ [SSL] [LZO2] built on Jul  1 2011
Wed Dec 14 21:16:07 2011 us=15000 NOTE: OpenVPN 2.1 requires '--script-security 2' or higher to call user-defined scripts or executables
Wed Dec 14 21:16:07 2011 us=156000 Control Channel Authentication: using 'ta.key' as a OpenVPN static key file
Wed Dec 14 21:16:07 2011 us=156000 Outgoing Control Channel Authentication: Using 128 bit message hash 'MD5' for HMAC authentication
Wed Dec 14 21:16:07 2011 us=156000 Incoming Control Channel Authentication: Using 128 bit message hash 'MD5' for HMAC authentication
Wed Dec 14 21:16:07 2011 us=156000 LZO compression initialized
Wed Dec 14 21:16:07 2011 us=156000 Control Channel MTU parms [ L:1540 D:164 EF:64 EB:0 ET:0 EL:0 ]
Wed Dec 14 21:16:07 2011 us=156000 Socket Buffers: R=[8192->8192] S=[8192->8192]
Wed Dec 14 21:16:07 2011 us=156000 Data Channel MTU parms [ L:1540 D:1450 EF:40 EB:135 ET:0 EL:0 AF:3/1 ]
Wed Dec 14 21:16:07 2011 us=156000 Local Options String: 'V4,dev-type tun,link-mtu 1540,tun-mtu 1500,proto TCPv4_CLIENT,comp-lzo,keydir 1,cipher BF-CBC,auth MD5,keysize 128,tls-auth,key-method 2,tls-client'
Wed Dec 14 21:16:07 2011 us=156000 Expected Remote Options String: 'V4,dev-type tun,link-mtu 1540,tun-mtu 1500,proto TCPv4_SERVER,comp-lzo,keydir 0,cipher BF-CBC,auth MD5,keysize 128,tls-auth,key-method 2,tls-server'
Wed Dec 14 21:16:07 2011 us=156000 Local Options hash (VER=V4): 'e6beeeed'
Wed Dec 14 21:16:07 2011 us=156000 Expected Remote Options hash (VER=V4): '9183b24b'
Wed Dec 14 21:16:07 2011 us=156000 Attempting to establish TCP connection with 139.176.123.26:8083
Wed Dec 14 21:16:07 2011 us=171000 TCP connection established with 139.176.123.26:8083
Wed Dec 14 21:16:07 2011 us=171000 TCPv4_CLIENT link local: [undef]
Wed Dec 14 21:16:07 2011 us=171000 TCPv4_CLIENT link remote: 139.176.123.26:8083
Wed Dec 14 21:16:07 2011 us=171000 TLS: Initial packet from 139.176.123.26:8083, sid=051aceb3 d901e252
Wed Dec 14 21:16:07 2011 us=359000 VERIFY OK: depth=1, /C=RU/ST=LED/L=SPb/O=WALL/OU=WALL/CN=WALL/emailAddress=root@ссс.su
Wed Dec 14 21:16:07 2011 us=359000 VERIFY OK: nsCertType=SERVER
Wed Dec 14 21:16:07 2011 us=359000 VERIFY OK: depth=0, /C=RU/ST=LED/O=WALL/OU=WALL/CN=WALL/emailAddress=root@ссс.su
Wed Dec 14 21:16:07 2011 us=906000 WARNING: 'link-mtu' is used inconsistently, local='link-mtu 1540', remote='link-mtu 1420'
Wed Dec 14 21:16:07 2011 us=906000 WARNING: 'tun-mtu' is used inconsistently, local='tun-mtu 1500', remote='tun-mtu 1380'
Wed Dec 14 21:16:07 2011 us=906000 Data Channel Encrypt: Cipher 'BF-CBC' initialized with 128 bit key
Wed Dec 14 21:16:07 2011 us=906000 Data Channel Encrypt: Using 128 bit message hash 'MD5' for HMAC authentication
Wed Dec 14 21:16:07 2011 us=906000 Data Channel Decrypt: Cipher 'BF-CBC' initialized with 128 bit key
Wed Dec 14 21:16:07 2011 us=906000 Data Channel Decrypt: Using 128 bit message hash 'MD5' for HMAC authentication
Wed Dec 14 21:16:07 2011 us=906000 Control Channel: TLSv1, cipher TLSv1/SSLv3 DHE-RSA-AES256-SHA, 1024 bit RSA
Wed Dec 14 21:16:07 2011 us=906000 [WALL] Peer Connection Initiated with 139.176.123.26:8083
Wed Dec 14 21:16:10 2011 us=78000 SENT CONTROL [WALL]: 'PUSH_REQUEST' (status=1)
Wed Dec 14 21:16:10 2011 us=218000 PUSH: Received control message: 'PUSH_REPLY,route 172.17.0.0 255.255.0.0,route 10.10.200.1,ping 10,ping-restart 120,ifconfig 10.10.200.2 10.10.200.1'
Wed Dec 14 21:16:10 2011 us=218000 OPTIONS IMPORT: timers and/or timeouts modified
Wed Dec 14 21:16:10 2011 us=218000 OPTIONS IMPORT: --ifconfig/up options modified
Wed Dec 14 21:16:10 2011 us=218000 OPTIONS IMPORT: route options modified
Wed Dec 14 21:16:10 2011 us=234000 ROUTE default_gateway=192.168.1.254
Wed Dec 14 21:16:10 2011 us=234000 TAP-WIN32 device [Подключение по локальной сети 7] opened: \\.\Global\{66260353-2A10-4D05-96F9-95BA9B3C751A}.tap
Wed Dec 14 21:16:10 2011 us=234000 TAP-Win32 Driver Version 9.8 
Wed Dec 14 21:16:10 2011 us=234000 TAP-Win32 MTU=1500
Wed Dec 14 21:16:10 2011 us=234000 Notified TAP-Win32 driver to set a DHCP IP/netmask of 10.10.200.2/255.255.255.252 on interface {66260353-2A10-4D05-96F9-95BA9B3C751A} [DHCP-serv: 10.10.200.1, lease-time: 31536000]
Wed Dec 14 21:16:10 2011 us=234000 Successful ARP Flush on interface [3] {66260353-2A10-4D05-96F9-95BA9B3C751A}
Wed Dec 14 21:16:15 2011 us=328000 TEST ROUTES: 2/2 succeeded len=2 ret=1 a=0 u/d=up
Wed Dec 14 21:16:15 2011 us=328000 C:\WINDOWS\system32\route.exe ADD 172.17.0.0 MASK 255.255.0.0 10.10.200.1
Wed Dec 14 21:16:15 2011 us=328000 Route addition via IPAPI succeeded [adaptive]
Wed Dec 14 21:16:15 2011 us=328000 OpenVPN ROUTE: omitted no-op route: 10.10.200.1/255.255.255.255 -> 10.10.200.1
Wed Dec 14 21:16:15 2011 us=328000 Initialization Sequence Completed

[LimpTeaM]

попутал. на клиенте надо mtu-test писать + и поставить proto udp. и подождать 3-4 минуты. (он в логе так пишет)

вот, что написал после теста(прошло 2-3 минуты)

Код: Выделить всё

1 NOTE: Empirical MTU test completed [Tried,Actual] local->remote=[1573,1469] remote->local=[1573,1469]
Wed Dec 14 21:21:46 2011 NOTE: This connection is unable to accomodate a UDP packet size of 1573. Consider using --fragment or --mssfix options as a workaround.

[SpiritusVini]

логи выше при якобы включенном mtu-test на сервере ошибка - забыл перезапустить его
вот результат с клиента

Код: Выделить всё

Wed Dec 14 21:31:58 2011 us=625000 NOTE: Empirical MTU test completed [Tried,Actual] local->remote=[1537,1233] remote->local=[1537,1537]
Wed Dec 14 21:31:58 2011 us=625000 NOTE: This connection is unable to accomodate a UDP packet size of 1537. Consider using --fragment or --mssfix options as a workaround.

[mak_v_]

1) проверьте прием фрагментированых пакетов.
2) устаканьте маленький мту - пусть по 1200 с каждой стороны (поднимет нагрузку на процах для сбора фрагментированых пакетов)

Код: Выделить всё

tun-mtu 1270
fragment 1170
mssfix
float

логи на клиенте в момент разрыва.
куски маршрутов на клиенте до и после разрыва касаемо сетей 10.10.200.0/24 и 172.17.0.0/16
И будьте добры, не косячти эти x.y.z.ffff - это приватные серые сети, а "белое" и то что не касается вопроса- не вносите в листинг - так тряпки будет проще читать.

[SpiritusVini]

tun-mtu 1200
на клиенте и сервере - и перевод на UDP - все заработало!!!

при этом если изменить proto tcp - все продолжает висеть
вот конфиг сервера

Код: Выделить всё

port 8083
proto udp
dev tun0
ca /usr/local/etc/openvpn/keys/ca.crt
cert /usr/local/etc/openvpn/keys/server.crt
key /usr/local/etc/openvpn/keys/server.key
dh /usr/local/etc/openvpn/keys/dh1024.pem
server 10.10.200.0 255.255.255.0
push "route 172.17.0.0 255.255.0.0"
client-config-dir ccd
route 10.10.200.0 255.255.255.252
tls-server
tls-auth keys/ta.key 0
tls-timeout 120
auth MD5
cipher BF-CBC
keepalive 10 120
comp-lzo
max-clients 10
user nobody
group nobody
persist-key
persist-tun
tun-mtu 1200
status /var/log/openvpn/openvpn-status.log
log /var/log/openvpn/openvpn.log
mssfix
verb 4

вот клиента

Код: Выделить всё

dev tun
proto udp
remote  IPADDRSERVERA
port 8083
client
resolv-retry infinite
ca ca.crt
cert client.crt
key client.key
tls-client
tls-auth ta.key 1
auth MD5
cipher BF-CBC
comp-lzo
tun-mtu 1200
ns-cert-type server
persist-key
persist-tun
verb 5
mssfix

всем огромное человеческое спасибо за помощь!

[mak_v_]

из доков по опенвпн - мту только к удп.
Итого маленький вывод - на клиенте видимо не 1500 а пониже (впн или дсл или ппое или другое), соответственно надо "поджать" окно.
Погоняйте, дабы потом снова не биться головой