Страница 1 из 1

VPN через PF, приоритезация трафика, нужен дельный совет

Добавлено: 2011-11-03 10:03:47
Defence
Уважаемые коллеги!
Столкнулся с интересной проблемой.
Из одной из сетей мне нужно выпускать пользователей только через OpenVPN. Т.е. им разрешен только коннект на внешний хост
типа host:port.
Не мудрствуя лукаво занатил их рулезом такого вида
nat on $ext_if from $dmz_net to 1.2.3.4 port 31337 -> ($ext_if:0)
Как я понимаю, авторизация на сервере происходит tcp сессией, а затем данные гоняются уже по udp.
Однако периодически (довольно часто) рвуться сессии.
Посему очень прошу подсказать true rules которые бы приоритезировали бы VPN траф.
Так же, может кто подскажет, но это уже вопрос к гуру :), как доказать админам OVPN сервера, что сессии рвуться с их стороны? Что логгировать? И как аргументировать.
Кстати, scrub in all не мешает хождению udp трафа?

Очень буду признателен за конструктивные предложения

Re: VPN через PF, приоритезация трафика, нужен дельный совет

Добавлено: 2011-11-03 14:36:37
mak_v_
1) логи на стороне клиента и сервера
2) конфы опенвпн
2) netstat на предмет сессий и коннектов, а так же на предмет загрузки канала + tcpdump

Re: VPN через PF, приоритезация трафика, нужен дельный совет

Добавлено: 2011-11-04 8:25:12
Defence
Спасибо огромное, разрывы уже победил. Проблема оказалась у заокеанских партнеров.
Хотя был бы признателен за идею скрипта, который бы чекал по крону правильность работы
клиентской части. А то их уж очень часто колбасит в последнее время. Хотелось бы формировать
отчеты в human виде и затем этими отчетами по мордасам... :)
А вот в отношении приоритета трафика в направлении к определенному хосту? Есть идеи?
В данном случае нужно приоритезировать UDP трафик в направлении host:port.

Re: VPN через PF, приоритезация трафика, нужен дельный совет

Добавлено: 2011-11-04 13:58:01
mak_v_
pf altq - там выбирайте что вам более по душе