Страница 1 из 2
VPN: FreeBSD - MacOS X Lion, Ipad
Добавлено: 2011-12-14 1:30:50
SpiritusVini
Нужно настроить VPN между сервером FreeBSD и ноутом с MacOS X 10.7 (IP динамический), IPad
Своего MacBook нет, поэтому сначала тестирую работу на винде.
1. у клиента теперь режутся GRE (провайдера не воспитать) поэтому ранее работающий MPD через PPTP не работает.
2. поставил Ipsec (групповая аунтефикация через проверку сертификата, пользователь через юзера на самой фре) на виндах через Cisco VPN Client все хорошо и работает, НО вот на MacOS X 10.7 нет клиента, а встроенный не хочет работать через сертификат, только через имя группы и пароль группы.
не понимаю как выйти из положения, посоветуйте что поднимать если кто уже сталкивался.
Re: VPN: FreeBSD - MacOS X Lion, Ipad
Добавлено: 2011-12-14 10:13:07
LimpTeaM
openvpn
Re: VPN: FreeBSD - MacOS X Lion, Ipad
Добавлено: 2011-12-14 11:00:23
SpiritusVini
OpenVpn поднял и настроил по
http://www.lissyara.su/articles/freebsd ... y/openvpn/ коннект с виндовой машины идет, пинг до серверов во внутренней сети тоже есть, но как только запускаешь RDP - он начинает стартовать, начинает прорисовывать экран и соединение виснет, пинг при этом прекращается.
Re: VPN: FreeBSD - MacOS X Lion, Ipad
Добавлено: 2011-12-14 11:09:53
LimpTeaM
SpiritusVini писал(а):OpenVpn поднял и настроил по
http://www.lissyara.su/articles/freebsd ... y/openvpn/ коннект с виндовой машины идет, пинг до серверов во внутренней сети тоже есть, но как только запускаешь RDP - он начинает стартовать, начинает прорисовывать экран и соединение виснет, пинг при этом прекращается.
попробовать поставить proto tcp вместо proto udp
+ поменять порт
отключить comp-lzo(сжатие трафика)
Re: VPN: FreeBSD - MacOS X Lion, Ipad
Добавлено: 2011-12-14 17:21:56
SpiritusVini
попробовать поставить proto tcp вместо proto udp
сделал
+ поменять порт
port 200 или любой другой как пример 443 в ipfw правило добавил
отключить comp-lzo(сжатие трафика)
отключил на сервере и клиенте
вот как ведет себя пинг
Код: Выделить всё
Ответ от 172.17.0.8: число байт=32 время=5мс TTL=127
Ответ от 172.17.0.8: число байт=32 время=5мс TTL=127
Ответ от 172.17.0.8: число байт=32 время=4мс TTL=127
Ответ от 172.17.0.8: число байт=32 время=5мс TTL=127
Ответ от 172.17.0.8: число байт=32 время=4мс TTL=127
Ответ от 172.17.0.8: число байт=32 время=5мс TTL=127
Ответ от 172.17.0.8: число байт=32 время=74мс TTL=127
Ответ от 172.17.0.8: число байт=32 время=3283мс TTL=127
Превышен интервал ожидания для запроса.
что то зажимает канал
отключаешь RDP пинги восстанавливаются через какое то время
Re: VPN: FreeBSD - MacOS X Lion, Ipad
Добавлено: 2011-12-14 17:24:49
mak_v_
openvpn -100%-но рботает - проверено на тайгере.
Есть предположение что одинаковая адресация на интерфейсах на маке, возможно фаер, может что ещё ......смотрите логи + tcpdump
Re: VPN: FreeBSD - MacOS X Lion, Ipad
Добавлено: 2011-12-14 17:45:18
SpiritusVini
openvpn -100%-но рботает - проверено на тайгере.
я до мака еще не добрался с винды тестирую
кстати какого клиента на мак лучше ставить, а на IPad как я понял клиента нет для OpenVPN
Update
OpenVPN где то режет канал не могу понять где
Re: VPN: FreeBSD - MacOS X Lion, Ipad
Добавлено: 2011-12-14 18:01:43
SpiritusVini
вообщем убрал на время
cipfer BF-CBC
стало получше, изменил РДП на 256 цветов
Код: Выделить всё
Ответ от 172.17.0.8: число байт=32 время=5мс TTL=127
Ответ от 172.17.0.8: число байт=32 время=5мс TTL=127
Ответ от 172.17.0.8: число байт=32 время=5мс TTL=127
Ответ от 172.17.0.8: число байт=32 время=154мс TTL=127
Ответ от 172.17.0.8: число байт=32 время=636мс TTL=127
Ответ от 172.17.0.8: число байт=32 время=800мс TTL=127
Ответ от 172.17.0.8: число байт=32 время=125мс TTL=127
Ответ от 172.17.0.8: число байт=32 время=5мс TTL=127
Ответ от 172.17.0.8: число байт=32 время=5мс TTL=127
Ответ от 172.17.0.8: число байт=32 время=9мс TTL=127
Ответ от 172.17.0.8: число байт=32 время=5мс TTL=127
Ответ от 172.17.0.8: число байт=32 время=9мс TTL=127
Ответ от 172.17.0.8: число байт=32 время=8мс TTL=127
Ответ от 172.17.0.8: число байт=32 время=110мс TTL=127
Ответ от 172.17.0.8: число байт=32 время=5мс TTL=127
Ответ от 172.17.0.8: число байт=32 время=1248мс TTL=127
Превышен интервал ожидания для запроса.
Превышен интервал ожидания для запроса.
Превышен интервал ожидания для запроса.
Превышен интервал ожидания для запроса.
канала все равно не хватает, непонятно где он его жмет
конфиг сервера
Код: Выделить всё
port 200
proto tcp
dev tun0
ca /usr/local/etc/openvpn/keys/ca.crt
cert /usr/local/etc/openvpn/keys/server.crt
key /usr/local/etc/openvpn/keys/server.key
dh /usr/local/etc/openvpn/keys/dh1024.pem
server 10.10.200.0 255.255.255.0
push "route 172.17.0.0 255.255.0.0"
client-config-dir ccd
route 10.10.200.0 255.255.255.252
tls-server
tls-auth keys/ta.key 0
tls-timeout 120
auth MD5
#cipher BF-CBC
keepalive 10 120
#comp-lzo
max-clients 10
user nobody
group nobody
persist-key
persist-tun
status /var/log/openvpn/openvpn-status.log
log /var/log/openvpn/openvpn.log
verb 10
Re: VPN: FreeBSD - MacOS X Lion, Ipad
Добавлено: 2011-12-14 18:15:03
suspender
Клиент openvpn для мака называется tunnelbrick
работает отлично.
Re: VPN: FreeBSD - MacOS X Lion, Ipad
Добавлено: 2011-12-14 18:49:57
LimpTeaM
порт выше подними. за 1000
где-то в гугле видел у людей тоже на уровне прова проблемы были со стандартными портами и портами ниже 1024
попробуй дефолтный 1194 или выше. у меня 8303 вообще
во все остальном конфиг вроде правильный
какой размер канала?
какое адресное пространство в самой сети?
может есть смысл повесить tap интерфейс и использовать одно адресное пространство?
единственный минус по туннелю будут летать броадкасты. у меня в принципе работает нормально
з.ы. tls-timeout у меня не стоит вообще
Re: VPN: FreeBSD - MacOS X Lion, Ipad
Добавлено: 2011-12-14 19:03:17
mak_v_
LimpTeaM, вы все верно предполагаете:
1) tcpdump
2) логи (vebrose повыше на сервере и клиенте)
Из возможных причин: шейпинг провом удп (попробовать tcp), ширина канала\шейпер, маршрутизация на клиенте (дублирующие маршруты на физ.интерфейсе и тунельном), низкий порт, мту...возможно что-то упустил
Re: VPN: FreeBSD - MacOS X Lion, Ipad
Добавлено: 2011-12-14 19:14:58
SpiritusVini
с портом проблем нет, но для очистки совести сменил на 8083 - все то же самое
именно tun похоже сильно снижает скорость то есть на пинги его хватает а чуть что больше размером пакетики так сразу висяк
не успевает обрабатывать
уменьшение mtu до 1420 на сервере и клиенте ничего не дало
обмен пакетами размером больше 1-1.2 кб забивает его
Код: Выделить всё
Обмен пакетами с 172.17.0.8 по 1250 байт:
Ответ от 172.17.0.8: число байт=1250 время=992мс TTL=127
Ответ от 172.17.0.8: число байт=1250 время=1499мс TTL=127
Ответ от 172.17.0.8: число байт=1250 время=2713мс TTL=127
Превышен интервал ожидания для запроса.
забыл добавить
mpd5 pptp - работает как часики - но там где он нужен там GRE режется
ipsec через racoon тоже отлично работает и канала и всего остального хватает но на маке не могу его настроить
Re: VPN: FreeBSD - MacOS X Lion, Ipad
Добавлено: 2011-12-14 19:18:49
mak_v_
Похоже на бред, смотрите трафик.
Это обычный udp или tcp.
Да, драйвер tun имеет ограничение в 10мбит\с
Подозреваю что все-же адресация\маршруты косячные.
И так до сих пор ни логов с клиента\сервера ни tcpdump .
Предновогодние загадки прям
Re: VPN: FreeBSD - MacOS X Lion, Ipad
Добавлено: 2011-12-14 19:23:14
LimpTeaM
mak_v_ писал(а):Похоже на бред, смотрите трафик.
Это обычный udp или tcp.
Да, драйвер tun имеет ограничение в 10мбит\с
Подозреваю что все-же адресация\маршруты косячные.
И так до сих пор ни логов с клиента\сервера ни tcpdump .
Предновогодние загадки прям
не имеет он ограничение что tun что tap
прокачивал на них больше 10 мегабит много-много раз)
попробуйте теперь включить complzo
ди и таблицу маршрутов хотелось бы посмотреть
Re: VPN: FreeBSD - MacOS X Lion, Ipad
Добавлено: 2011-12-14 19:27:02
mak_v_
не имеет он ограничение что tun что tap
прокачивал на них больше 10 мегабит много-много раз)
Согласен. в старой версии(до 2) было ограничение....
Но уж сжатие глобально не поможет, раз пинг настолько красив. 1-1??
Топикстартер не любит статистик - только загадки и игры с неполными данными - рулетка, кости, покер.
Re: VPN: FreeBSD - MacOS X Lion, Ipad
Добавлено: 2011-12-14 19:50:44
SpiritusVini
на клиенте
Код: Выделить всё
===========================================================================
Список интерфейсов
0x1 ........................... MS TCP Loopback interface
0x2 ...90 e6 ba e0 bd 77 ...... Realtek PCIe FE Family Controller - ?шэшяюЁЄ яырэш
0x3 ...00 ff 66 26 03 53 ...... TAP-Win32 Adapter V9 - ?шэшяюЁЄ яырэшЁют?шър яръхЄ
===========================================================================
===========================================================================
Активные маршруты:
Сетевой адрес Маска сети Адрес шлюза Интерфейс Метрика
0.0.0.0 0.0.0.0 192.168.1.254 192.168.1.122 20
10.10.200.0 255.255.255.252 10.10.200.2 10.10.200.2 30
10.10.200.2 255.255.255.255 127.0.0.1 127.0.0.1 30
10.255.255.255 255.255.255.255 10.10.200.2 10.10.200.2 30
127.0.0.0 255.0.0.0 127.0.0.1 127.0.0.1 1
169.254.0.0 255.255.0.0 192.168.1.122 192.168.1.122 20
172.17.0.0 255.255.0.0 10.10.200.1 10.10.200.2 1
192.168.1.0 255.255.255.0 192.168.1.122 192.168.1.122 20
192.168.1.122 255.255.255.255 127.0.0.1 127.0.0.1 20
192.168.1.255 255.255.255.255 192.168.1.122 192.168.1.122 20
224.0.0.0 240.0.0.0 10.10.200.2 10.10.200.2 30
224.0.0.0 240.0.0.0 192.168.1.122 192.168.1.122 20
255.255.255.255 255.255.255.255 10.10.200.2 10.10.200.2 1
255.255.255.255 255.255.255.255 192.168.1.122 192.168.1.122 1
Основной шлюз: 192.168.1.254
===========================================================================
Постоянные маршруты:
Отсутствует
complzo ничего не дало
на сервере таблица
Код: Выделить всё
Internet:
Destination Gateway Flags Refs Use Netif Expire
default 139-176-123-25.we UGS 0 3809747 em0
10.10.200.0/30 10.10.200.2 UGS 0 0 tun0 =>
10.10.200.0 10.10.200.2 UGS 0 0 tun0
10.10.200.2 10.10.200.1 UH 2 523 tun0
139-176-123-24/29 link#1 UC 0 0 em0
139-176-123-25.we -------mac ----------0 UHLW 2 0 em0 879
139-176-123-26.we -------mac ---------- UHLW 1 5852 lo0
localhost localhost UH 0 11847 lo0
172.17.0.0 link#2 UC 0 0 fxp0
172.17.0.x -------mac ---------- UHLW 1 119333 fxp0 1120
172.17.0.y -------mac ---------- UHLW 1 2943 fxp0 942
172.17.0.8 -------mac ---------- UHLW 1 149183 fxp0 510
172.17.0.z -------mac ---------- UHLW 1 14 fxp0 259
172.17.0.e -------mac ---------- UHLW 1 2546 fxp0 1098
172.17.w.d -------mac ---------- UHLW 1 840562 fxp0 1149
172.17.f.f -------mac ---------- UHLW 1 178628 fxp0 549
172.17.r.w -------mac ---------- UHLW 1 60353 fxp0 1074
172.17.x.z -------mac ---------- UHLW 1 28275 fxp0 622
172.19.0.0 link#3 UC 0 1 fxp1
172.19.x.y -------mac ---------- UHLW 1 108591 fxp1 1133
Re: VPN: FreeBSD - MacOS X Lion, Ipad
Добавлено: 2011-12-14 19:53:25
LimpTeaM
глупость сейчас напишу, но попробуйте на клиенте дописать в конфиг redirect-gateway чтобы весь трафик шел напрямую через сервер
Re: VPN: FreeBSD - MacOS X Lion, Ipad
Добавлено: 2011-12-14 19:59:28
SpiritusVini
дописал, вот что вышло - это не запуская RDP
Код: Выделить всё
Ответ от 172.17.0.8: число байт=32 время=27мс TTL=127
Ответ от 172.17.0.8: число байт=32 время=64мс TTL=127
Ответ от 172.17.0.8: число байт=32 время=111мс TTL=127
Ответ от 172.17.0.8: число байт=32 время=5мс TTL=127
Ответ от 172.17.0.8: число байт=32 время=109мс TTL=127
Ответ от 172.17.0.8: число байт=32 время=4мс TTL=127
Ответ от 172.17.0.8: число байт=32 время=76мс TTL=127
Ответ от 172.17.0.8: число байт=32 время=5мс TTL=127
Ответ от 172.17.0.8: число байт=32 время=15мс TTL=127
Ответ от 172.17.0.8: число байт=32 время=61мс TTL=127
Ответ от 172.17.0.8: число байт=32 время=25мс TTL=127
Ответ от 172.17.0.8: число байт=32 время=5мс TTL=127
Ответ от 172.17.0.8: число байт=32 время=29мс TTL=127
Ответ от 172.17.0.8: число байт=32 время=101мс TTL=127
Ответ от 172.17.0.8: число байт=32 время=40мс TTL=127
Ответ от 172.17.0.8: число байт=32 время=58мс TTL=127
Ответ от 172.17.0.8: число байт=32 время=11мс TTL=127
Ответ от 172.17.0.8: число байт=32 время=39мс TTL=127
Ответ от 172.17.0.8: число байт=32 время=88мс TTL=127
Ответ от 172.17.0.8: число байт=32 время=13мс TTL=127
Превышен интервал ожидания для запроса.
Превышен интервал ожидания для запроса.
Превышен интервал ожидания для запроса.
не могу прикрепить лог wiresharka с клиента по tap интерфейсу
Топикстартер не любит статистик - только загадки и игры с неполными данными - рулетка, кости, покер.
я в разделе для начинающих тему создал потому как не понимаю еше многого...
если нужно что то скажите прямо - гадать не умею
Re: VPN: FreeBSD - MacOS X Lion, Ipad
Добавлено: 2011-12-14 20:10:19
LimpTeaM
пробуем как тут
http://www.wandin.net/dotclear/index.ph ... N-MTU-Size
добававлем на клиенте mtu-test
потом смотрим лог что получится ничего не пингуем.
добавляем что-то типа
fragment 1400
mssfix
но вообще это уже гадание на кофейной гуще
UPD работает только с proto udp
Re: VPN: FreeBSD - MacOS X Lion, Ipad
Добавлено: 2011-12-14 20:19:18
SpiritusVini
но вообще это уже гадание на кофейной гуще
знал бы куда копать ...
лог с клиента (на сервере mtu-test) на клиенте вообще не задано
Код: Выделить всё
Wed Dec 14 21:16:07 2011 max_clients = 1024
Wed Dec 14 21:16:07 2011 max_routes_per_client = 256
Wed Dec 14 21:16:07 2011 auth_user_pass_verify_script = '[UNDEF]'
Wed Dec 14 21:16:07 2011 auth_user_pass_verify_script_via_file = DISABLED
Wed Dec 14 21:16:07 2011 ssl_flags = 0
Wed Dec 14 21:16:07 2011 client = ENABLED
Wed Dec 14 21:16:07 2011 pull = ENABLED
Wed Dec 14 21:16:07 2011 auth_user_pass_file = '[UNDEF]'
Wed Dec 14 21:16:07 2011 show_net_up = DISABLED
Wed Dec 14 21:16:07 2011 route_method = 0
Wed Dec 14 21:16:07 2011 ip_win32_defined = DISABLED
Wed Dec 14 21:16:07 2011 ip_win32_type = 3
Wed Dec 14 21:16:07 2011 dhcp_masq_offset = 0
Wed Dec 14 21:16:07 2011 dhcp_lease_time = 31536000
Wed Dec 14 21:16:07 2011 tap_sleep = 0
Wed Dec 14 21:16:07 2011 dhcp_options = DISABLED
Wed Dec 14 21:16:07 2011 dhcp_renew = DISABLED
Wed Dec 14 21:16:07 2011 dhcp_pre_release = DISABLED
Wed Dec 14 21:16:07 2011 dhcp_release = DISABLED
Wed Dec 14 21:16:07 2011 us=15000 domain = '[UNDEF]'
Wed Dec 14 21:16:07 2011 us=15000 netbios_scope = '[UNDEF]'
Wed Dec 14 21:16:07 2011 us=15000 netbios_node_type = 0
Wed Dec 14 21:16:07 2011 us=15000 disable_nbt = DISABLED
Wed Dec 14 21:16:07 2011 us=15000 OpenVPN 2.2.1 Win32-MSVC++ [SSL] [LZO2] built on Jul 1 2011
Wed Dec 14 21:16:07 2011 us=15000 NOTE: OpenVPN 2.1 requires '--script-security 2' or higher to call user-defined scripts or executables
Wed Dec 14 21:16:07 2011 us=156000 Control Channel Authentication: using 'ta.key' as a OpenVPN static key file
Wed Dec 14 21:16:07 2011 us=156000 Outgoing Control Channel Authentication: Using 128 bit message hash 'MD5' for HMAC authentication
Wed Dec 14 21:16:07 2011 us=156000 Incoming Control Channel Authentication: Using 128 bit message hash 'MD5' for HMAC authentication
Wed Dec 14 21:16:07 2011 us=156000 LZO compression initialized
Wed Dec 14 21:16:07 2011 us=156000 Control Channel MTU parms [ L:1540 D:164 EF:64 EB:0 ET:0 EL:0 ]
Wed Dec 14 21:16:07 2011 us=156000 Socket Buffers: R=[8192->8192] S=[8192->8192]
Wed Dec 14 21:16:07 2011 us=156000 Data Channel MTU parms [ L:1540 D:1450 EF:40 EB:135 ET:0 EL:0 AF:3/1 ]
Wed Dec 14 21:16:07 2011 us=156000 Local Options String: 'V4,dev-type tun,link-mtu 1540,tun-mtu 1500,proto TCPv4_CLIENT,comp-lzo,keydir 1,cipher BF-CBC,auth MD5,keysize 128,tls-auth,key-method 2,tls-client'
Wed Dec 14 21:16:07 2011 us=156000 Expected Remote Options String: 'V4,dev-type tun,link-mtu 1540,tun-mtu 1500,proto TCPv4_SERVER,comp-lzo,keydir 0,cipher BF-CBC,auth MD5,keysize 128,tls-auth,key-method 2,tls-server'
Wed Dec 14 21:16:07 2011 us=156000 Local Options hash (VER=V4): 'e6beeeed'
Wed Dec 14 21:16:07 2011 us=156000 Expected Remote Options hash (VER=V4): '9183b24b'
Wed Dec 14 21:16:07 2011 us=156000 Attempting to establish TCP connection with 139.176.123.26:8083
Wed Dec 14 21:16:07 2011 us=171000 TCP connection established with 139.176.123.26:8083
Wed Dec 14 21:16:07 2011 us=171000 TCPv4_CLIENT link local: [undef]
Wed Dec 14 21:16:07 2011 us=171000 TCPv4_CLIENT link remote: 139.176.123.26:8083
Wed Dec 14 21:16:07 2011 us=171000 TLS: Initial packet from 139.176.123.26:8083, sid=051aceb3 d901e252
Wed Dec 14 21:16:07 2011 us=359000 VERIFY OK: depth=1, /C=RU/ST=LED/L=SPb/O=WALL/OU=WALL/CN=WALL/emailAddress=root@ссс.su
Wed Dec 14 21:16:07 2011 us=359000 VERIFY OK: nsCertType=SERVER
Wed Dec 14 21:16:07 2011 us=359000 VERIFY OK: depth=0, /C=RU/ST=LED/O=WALL/OU=WALL/CN=WALL/emailAddress=root@ссс.su
Wed Dec 14 21:16:07 2011 us=906000 WARNING: 'link-mtu' is used inconsistently, local='link-mtu 1540', remote='link-mtu 1420'
Wed Dec 14 21:16:07 2011 us=906000 WARNING: 'tun-mtu' is used inconsistently, local='tun-mtu 1500', remote='tun-mtu 1380'
Wed Dec 14 21:16:07 2011 us=906000 Data Channel Encrypt: Cipher 'BF-CBC' initialized with 128 bit key
Wed Dec 14 21:16:07 2011 us=906000 Data Channel Encrypt: Using 128 bit message hash 'MD5' for HMAC authentication
Wed Dec 14 21:16:07 2011 us=906000 Data Channel Decrypt: Cipher 'BF-CBC' initialized with 128 bit key
Wed Dec 14 21:16:07 2011 us=906000 Data Channel Decrypt: Using 128 bit message hash 'MD5' for HMAC authentication
Wed Dec 14 21:16:07 2011 us=906000 Control Channel: TLSv1, cipher TLSv1/SSLv3 DHE-RSA-AES256-SHA, 1024 bit RSA
Wed Dec 14 21:16:07 2011 us=906000 [WALL] Peer Connection Initiated with 139.176.123.26:8083
Wed Dec 14 21:16:10 2011 us=78000 SENT CONTROL [WALL]: 'PUSH_REQUEST' (status=1)
Wed Dec 14 21:16:10 2011 us=218000 PUSH: Received control message: 'PUSH_REPLY,route 172.17.0.0 255.255.0.0,route 10.10.200.1,ping 10,ping-restart 120,ifconfig 10.10.200.2 10.10.200.1'
Wed Dec 14 21:16:10 2011 us=218000 OPTIONS IMPORT: timers and/or timeouts modified
Wed Dec 14 21:16:10 2011 us=218000 OPTIONS IMPORT: --ifconfig/up options modified
Wed Dec 14 21:16:10 2011 us=218000 OPTIONS IMPORT: route options modified
Wed Dec 14 21:16:10 2011 us=234000 ROUTE default_gateway=192.168.1.254
Wed Dec 14 21:16:10 2011 us=234000 TAP-WIN32 device [Подключение по локальной сети 7] opened: \\.\Global\{66260353-2A10-4D05-96F9-95BA9B3C751A}.tap
Wed Dec 14 21:16:10 2011 us=234000 TAP-Win32 Driver Version 9.8
Wed Dec 14 21:16:10 2011 us=234000 TAP-Win32 MTU=1500
Wed Dec 14 21:16:10 2011 us=234000 Notified TAP-Win32 driver to set a DHCP IP/netmask of 10.10.200.2/255.255.255.252 on interface {66260353-2A10-4D05-96F9-95BA9B3C751A} [DHCP-serv: 10.10.200.1, lease-time: 31536000]
Wed Dec 14 21:16:10 2011 us=234000 Successful ARP Flush on interface [3] {66260353-2A10-4D05-96F9-95BA9B3C751A}
Wed Dec 14 21:16:15 2011 us=328000 TEST ROUTES: 2/2 succeeded len=2 ret=1 a=0 u/d=up
Wed Dec 14 21:16:15 2011 us=328000 C:\WINDOWS\system32\route.exe ADD 172.17.0.0 MASK 255.255.0.0 10.10.200.1
Wed Dec 14 21:16:15 2011 us=328000 Route addition via IPAPI succeeded [adaptive]
Wed Dec 14 21:16:15 2011 us=328000 OpenVPN ROUTE: omitted no-op route: 10.10.200.1/255.255.255.255 -> 10.10.200.1
Wed Dec 14 21:16:15 2011 us=328000 Initialization Sequence Completed
Re: VPN: FreeBSD - MacOS X Lion, Ipad
Добавлено: 2011-12-14 20:23:26
LimpTeaM
попутал. на клиенте надо mtu-test писать + и поставить proto udp. и подождать 3-4 минуты. (он в логе так пишет)
вот, что написал после теста(прошло 2-3 минуты)
Код: Выделить всё
1 NOTE: Empirical MTU test completed [Tried,Actual] local->remote=[1573,1469] remote->local=[1573,1469]
Wed Dec 14 21:21:46 2011 NOTE: This connection is unable to accomodate a UDP packet size of 1573. Consider using --fragment or --mssfix options as a workaround.
Re: VPN: FreeBSD - MacOS X Lion, Ipad
Добавлено: 2011-12-14 20:36:11
SpiritusVini
логи выше при якобы включенном mtu-test на сервере ошибка - забыл перезапустить его
вот результат с клиента
Код: Выделить всё
Wed Dec 14 21:31:58 2011 us=625000 NOTE: Empirical MTU test completed [Tried,Actual] local->remote=[1537,1233] remote->local=[1537,1537]
Wed Dec 14 21:31:58 2011 us=625000 NOTE: This connection is unable to accomodate a UDP packet size of 1537. Consider using --fragment or --mssfix options as a workaround.
Re: VPN: FreeBSD - MacOS X Lion, Ipad
Добавлено: 2011-12-14 20:38:24
mak_v_
1) проверьте прием фрагментированых пакетов.
2) устаканьте маленький мту - пусть по 1200 с каждой стороны (поднимет нагрузку на процах для сбора фрагментированых пакетов)
логи на клиенте в момент разрыва.
куски маршрутов на клиенте до и после разрыва касаемо сетей 10.10.200.0/24 и 172.17.0.0/16
И будьте добры, не косячти эти x.y.z.ffff - это приватные серые сети, а "белое" и то что не касается вопроса- не вносите в листинг - так тряпки будет проще читать.
Re: VPN: FreeBSD - MacOS X Lion, Ipad
Добавлено: 2011-12-14 20:54:43
SpiritusVini
tun-mtu 1200
на клиенте и сервере - и перевод на UDP - все заработало!!!
при этом если изменить proto tcp - все продолжает висеть
вот конфиг сервера
Код: Выделить всё
port 8083
proto udp
dev tun0
ca /usr/local/etc/openvpn/keys/ca.crt
cert /usr/local/etc/openvpn/keys/server.crt
key /usr/local/etc/openvpn/keys/server.key
dh /usr/local/etc/openvpn/keys/dh1024.pem
server 10.10.200.0 255.255.255.0
push "route 172.17.0.0 255.255.0.0"
client-config-dir ccd
route 10.10.200.0 255.255.255.252
tls-server
tls-auth keys/ta.key 0
tls-timeout 120
auth MD5
cipher BF-CBC
keepalive 10 120
comp-lzo
max-clients 10
user nobody
group nobody
persist-key
persist-tun
tun-mtu 1200
status /var/log/openvpn/openvpn-status.log
log /var/log/openvpn/openvpn.log
mssfix
verb 4
вот клиента
Код: Выделить всё
dev tun
proto udp
remote IPADDRSERVERA
port 8083
client
resolv-retry infinite
ca ca.crt
cert client.crt
key client.key
tls-client
tls-auth ta.key 1
auth MD5
cipher BF-CBC
comp-lzo
tun-mtu 1200
ns-cert-type server
persist-key
persist-tun
verb 5
mssfix
всем огромное человеческое спасибо за помощь!
Re: VPN: FreeBSD - MacOS X Lion, Ipad
Добавлено: 2011-12-14 21:01:44
mak_v_
из доков по опенвпн - мту только к удп.
Итого маленький вывод - на клиенте видимо не 1500 а пониже (впн или дсл или ппое или другое), соответственно надо "поджать" окно.
Погоняйте, дабы потом снова не биться головой