VPN через PF, приоритезация трафика, нужен дельный совет

Настройка сетевых служб, маршрутизации, фаерволлов. Проблемы с сетевым оборудованием.
Правила форума
Убедительная просьба юзать теги [code] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
Defence
проходил мимо
Сообщения: 4
Зарегистрирован: 2010-11-05 21:04:03
Откуда: Киев, Украина
Контактная информация:

VPN через PF, приоритезация трафика, нужен дельный совет

Непрочитанное сообщение Defence » 2011-11-03 10:03:47

Уважаемые коллеги!
Столкнулся с интересной проблемой.
Из одной из сетей мне нужно выпускать пользователей только через OpenVPN. Т.е. им разрешен только коннект на внешний хост
типа host:port.
Не мудрствуя лукаво занатил их рулезом такого вида
nat on $ext_if from $dmz_net to 1.2.3.4 port 31337 -> ($ext_if:0)
Как я понимаю, авторизация на сервере происходит tcp сессией, а затем данные гоняются уже по udp.
Однако периодически (довольно часто) рвуться сессии.
Посему очень прошу подсказать true rules которые бы приоритезировали бы VPN траф.
Так же, может кто подскажет, но это уже вопрос к гуру :), как доказать админам OVPN сервера, что сессии рвуться с их стороны? Что логгировать? И как аргументировать.
Кстати, scrub in all не мешает хождению udp трафа?

Очень буду признателен за конструктивные предложения

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

mak_v_
проходил мимо

Re: VPN через PF, приоритезация трафика, нужен дельный совет

Непрочитанное сообщение mak_v_ » 2011-11-03 14:36:37

1) логи на стороне клиента и сервера
2) конфы опенвпн
2) netstat на предмет сессий и коннектов, а так же на предмет загрузки канала + tcpdump

Defence
проходил мимо
Сообщения: 4
Зарегистрирован: 2010-11-05 21:04:03
Откуда: Киев, Украина
Контактная информация:

Re: VPN через PF, приоритезация трафика, нужен дельный совет

Непрочитанное сообщение Defence » 2011-11-04 8:25:12

Спасибо огромное, разрывы уже победил. Проблема оказалась у заокеанских партнеров.
Хотя был бы признателен за идею скрипта, который бы чекал по крону правильность работы
клиентской части. А то их уж очень часто колбасит в последнее время. Хотелось бы формировать
отчеты в human виде и затем этими отчетами по мордасам... :)
А вот в отношении приоритета трафика в направлении к определенному хосту? Есть идеи?
В данном случае нужно приоритезировать UDP трафик в направлении host:port.