Уважаемые коллеги!
Столкнулся с интересной проблемой.
Из одной из сетей мне нужно выпускать пользователей только через OpenVPN. Т.е. им разрешен только коннект на внешний хост
типа host:port.
Не мудрствуя лукаво занатил их рулезом такого вида
nat on $ext_if from $dmz_net to 1.2.3.4 port 31337 -> ($ext_if:0)
Как я понимаю, авторизация на сервере происходит tcp сессией, а затем данные гоняются уже по udp.
Однако периодически (довольно часто) рвуться сессии.
Посему очень прошу подсказать true rules которые бы приоритезировали бы VPN траф.
Так же, может кто подскажет, но это уже вопрос к гуру , как доказать админам OVPN сервера, что сессии рвуться с их стороны? Что логгировать? И как аргументировать.
Кстати, scrub in all не мешает хождению udp трафа?
Очень буду признателен за конструктивные предложения
VPN через PF, приоритезация трафика, нужен дельный совет
Правила форума
Убедительная просьба юзать теги [code] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
Убедительная просьба юзать теги [code] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
-
- проходил мимо
- Сообщения: 4
- Зарегистрирован: 2010-11-05 21:04:03
- Откуда: Киев, Украина
- Контактная информация:
Услуги хостинговой компании Host-Food.ru
Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/
-
- проходил мимо
Re: VPN через PF, приоритезация трафика, нужен дельный совет
1) логи на стороне клиента и сервера
2) конфы опенвпн
2) netstat на предмет сессий и коннектов, а так же на предмет загрузки канала + tcpdump
2) конфы опенвпн
2) netstat на предмет сессий и коннектов, а так же на предмет загрузки канала + tcpdump
-
- проходил мимо
- Сообщения: 4
- Зарегистрирован: 2010-11-05 21:04:03
- Откуда: Киев, Украина
- Контактная информация:
Re: VPN через PF, приоритезация трафика, нужен дельный совет
Спасибо огромное, разрывы уже победил. Проблема оказалась у заокеанских партнеров.
Хотя был бы признателен за идею скрипта, который бы чекал по крону правильность работы
клиентской части. А то их уж очень часто колбасит в последнее время. Хотелось бы формировать
отчеты в human виде и затем этими отчетами по мордасам...
А вот в отношении приоритета трафика в направлении к определенному хосту? Есть идеи?
В данном случае нужно приоритезировать UDP трафик в направлении host:port.
Хотя был бы признателен за идею скрипта, который бы чекал по крону правильность работы
клиентской части. А то их уж очень часто колбасит в последнее время. Хотелось бы формировать
отчеты в human виде и затем этими отчетами по мордасам...
А вот в отношении приоритета трафика в направлении к определенному хосту? Есть идеи?
В данном случае нужно приоритезировать UDP трафик в направлении host:port.
-
- проходил мимо
Re: VPN через PF, приоритезация трафика, нужен дельный совет
pf altq - там выбирайте что вам более по душе