Jump to content
tarakanium

OpenVPN аппаратное ускорение

25 posts in this topic

Добрый день.

Имею связку Keenetic 4G III и Extra II.

Между ними TCP OpenVPN. Скоростей выше 3 Мбит\с добиться не удается.

Пробовал играться с механизмами шифрования. AES-128-CBC/AES-256-CBC - без разницы.

Хотелось бы выжать между ними хотя бы 20 Мбит\с. Это реально? Какое шифрование имеет аппаратную поддержку для OpenVPN? 

 

Вариант 2.

А если заменить 4G III на что-то более мощное - проблему можно решить? Или надо оба роутера для быстрого OpenVPN менять на свежие Ультры?

 

Спасибо.

Share this post


Link to post
Share on other sites

Никакой алгоритм аппаратно не ускоряется. 

Для ускорения понадобится замена обоих роутеров. 

Более эффективных алгоритмов (chacha20) в openvpn пока не завезли, жемс. 

Share this post


Link to post
Share on other sites
12 часа назад, tarakanium сказал:

TCP OpenVPN. Скоростей выше 3 Мбит\с добиться не удается.

Зачем TCP? Зачем, в конце концов, OpenVPN? Может у вас там еще dev tap? Подумайте о IPsec

Keenetic 4G III - ревизия A или B?

Share this post


Link to post
Share on other sites
31 минуту назад, KorDen сказал:

Может у вас там еще dev tap?

У tap и tun производительность одинаковая. Да и соединить роутеры по tap вроде как нельзя, по крайней мере у меня не завелось.

Share this post


Link to post
Share on other sites
36 минут назад, KorDen сказал:

Зачем TCP? Зачем, в конце концов, OpenVPN? Может у вас там еще dev tap? Подумайте о IPsec

 

Зачем TCP - так стабильнее на текущем соединении. UPD VPN между роутерами регулярно разваливается, TCP работает отлично.

Зачем OpenVPN. Потому что он работает. Существует лишь один работающий механизм VPN в Кинтетике, которым можно объединить две сети. IPSec Site-to-Site регулярно просто подвисает, когда на обоих сторонах тунеля сменились динамические адреса. А OpenVPN это отрабатывает на отлично.

Share this post


Link to post
Share on other sites
7 минут назад, tarakanium сказал:

IPSec Site-to-Site регулярно просто подвисает, когда на обоих сторонах тунеля сменились динамические адреса.

Вы имеете ввиду короткую паузу при переподключении? Неужели это так критично?

Share this post


Link to post
Share on other sites
1 минуту назад, Кинетиковод сказал:

Вы имеете ввиду короткую паузу при переподключении? Неужели это так критично?

Нет. Тунель просто приходит в негодность. Он отмечен как живой, но трафик по нему не ходит. И так до перезапуска.

 

Ок, полная формулировка задачи. 

Имеется два роутера 4G III Rev B. За ним подсеть. В нем мобильный интернет с серым адресом. Инет стабильно выдает 30-40 МБит\с.

Второй роутер Extra II. За ним подсеть. В нем проводной инет 100 Мбит\с с белым динамическим адресом. 

Необходимо объединить эти две подсети и сделать их доступными друг другу напрямую. Т.е. без всякого NAT и перенаправления портов.

 

Что я нашел для этого.

1. IPSec Site-to-Site. 

Работает отлично, но примерно раз в 3-10 дней зависает намертво. Роутер видет ее как живую сеть, но пакеты в нее не идут. Лечится выключением и включение на любом конце сети (на любом роутере). Не помогает ничего, ни обнаружение неработающего пира, не проверки. Сеть тупо разваливается. Предлополжительно, это происходит когда на мобильном инете меняется адрес. Или когда меняется на обоих сторонах тунеля.

2. Объединение сетей через OpenVPN.

Отлично работает, но крайне медленно. TCP работает устойчиво, UDP работает менее устойчиво.

Но вот со скоростью беда. Она не подымается выше 3 Мбит\с.

Share this post


Link to post
Share on other sites
3 минуты назад, Кинетиковод сказал:

А l2tp не пробовали? 

Нет, не пробовал. 

А разве там есть режим, чтобы соединить две сети? Там вроде только клиент\сервер. И получится, что сеть за 4G III будет смотреть во вторую сеть только одиним адресом, и надо будет крутить POrt Forwading. А это неприемлимо. Надо, чтобы две сети могли общаться напрямую.

Share this post


Link to post
Share on other sites
4 минуты назад, tarakanium сказал:

Нет, не пробовал. 

А разве там есть режим, чтобы соединить две сети? Там вроде только клиент\сервер. И получится, что сеть за 4G III будет смотреть во вторую сеть только одиним адресом, и надо будет крутить POrt Forwading. А это неприемлимо. Надо, чтобы две сети могли общаться напрямую.

Есть.

И еще в SSTP такая штука есть.

Принцип точно такой же, как и с PPTP:

https://help.keenetic.com/hc/ru/articles/213967789-Объединение-двух-локальных-сетей-при-помощи-интернет-центров-Keenetic-используя-Сервер-PPTP-для-версий-NDMS-2-11-и-более-ранних-

Share this post


Link to post
Share on other sites
3 минуты назад, tarakanium сказал:

И получится, что сеть за 4G III будет смотреть во вторую сеть только одиним адресом, и надо будет крутить POrt Forwading. А это неприемлимо. Надо, чтобы две сети могли общаться напрямую.

Не знаю чем вы там занимаетесь, но openvpn тоже адресный. 

В межсетевом экране разрешаете все порты и никаких пробросов. Вам l2tp  скорее всего подойдёт.

Share this post


Link to post
Share on other sites
1 минуту назад, Кинетиковод сказал:

Не знаю чем вы там занимаетесь, но openvpn тоже адресный. 

 

topology subnet

у меня в OpenVPN. Хорошо, проверю l2tp.

Share this post


Link to post
Share on other sites

Ок. Сделал я L2TP\IPSec.

С клиента (4G III) настроил маршрутизацию. Теперь мне доступна сеть за Extra II.

Но вот обратно, чтобы клиенты за Extra II видели сеть за 4G III не могу. Нет параметров маршрутизации в L2TP\IPSec. Этот интерфейс просто не появляется при прописывании правил маршрутизации. Как быть?

Share this post


Link to post
Share on other sites
14 минуты назад, tarakanium сказал:

Ок. Сделал я L2TP\IPSec.

С клиента (4G III) настроил маршрутизацию. Теперь мне доступна сеть за Extra II.

Но вот обратно, чтобы клиенты за Extra II видели сеть за 4G III не могу. Нет параметров маршрутизации в L2TP\IPSec. Этот интерфейс просто не появляется при прописывании правил маршрутизации. Как быть?

С клиента в сеть сервера ничего настраивать не надо, всё автоматом. От севера к клиенту пишите маршрут и открывайте протоколы на клиенте в межсетевом экране. После прописывания маршрута на сервере сделайте ему выкл/вкл.

Share this post


Link to post
Share on other sites
2 минуты назад, Кинетиковод сказал:

После прописывания маршрута на сервере сделайте ему выкл/вкл.

Спасибо, помогло. 

Буду тестировать такую конфигурацию сети. Буду надеятся, что она будет быстрее OpenVPN и будет стабильной.

Share this post


Link to post
Share on other sites
Только что, tarakanium сказал:

Спасибо, помогло. 

Буду тестировать такую конфигурацию сети. Буду надеятся, что она будет быстрее OpenVPN и будет стабильной.

Будет быстрее в разы, а за стабильностью понаблюдайте.

Share this post


Link to post
Share on other sites

Снова я с вопросом, уж извините.

Не получается все равно объединить сети через L2TP.

Значит такая конфигурация.

Сеть за сервером. 192.168.0.0/255.255.255.0

Сеть за клиентом. 192.168.1.0/255.255.255.0

Сеть для L2TP VPN 192.168.2.0/255.255.255.0

 

Клиент подключается к серверу, видит сеть за ним. Имеет доступ в 192.168.0.0/255.255.255.0.

На клиенте прописаны правила, который разрешают любой трафик TCP/UPD через L2TP VPN.

С на сервере прописан маршрут 192.168.1.0/255.255.255.0 через шлюз 192.168.2.2 (это адрес клиента в ВПН). Стоит автоматическое назначение роута, иначе не сохранить.

Но с сервера виден только 192.168.2.2 (клиент в ВПН), но сеть за ним недоступна.

 

При этом пинги с сервера

Цитата
sending ICMP ECHO request to 192.168.1.1...
PING 192.168.1.1 (192.168.1.1) 56 (84) bytes of data.
"Destination unreachable" ICMP packet received from 217.23.74.хх (type = 3, code = 1).
"Destination unreachable" ICMP packet received from 217.23.74.хх (type = 3, code = 1).

Почему он это выкидывает на провайдера? А не в тунель Л2ТП на 192.168.2.2?

 

В чем моя ошибка? Как открыть сеть клиента для сервера?

Edited by tarakanium

Share this post


Link to post
Share on other sites
22 минуты назад, tarakanium сказал:

Снова я с вопросом, уж извините.

Не получается все равно объединить сети через L2TP.

Значит такая конфигурация.

Сеть за сервером. 192.168.0.0/255.255.255.0

Сеть за клиентом. 192.168.1.0/255.255.255.0

Сеть для L2TP VPN 192.168.2.0/255.255.255.0

 

Клиент подключается к серверу, видит сеть за ним. Имеет доступ в 192.168.0.0/255.255.255.0.

На клиенте прописаны правила, который разрешают любой трафик TCP/UPD через L2TP VPN.

С на сервере прописан маршрут 192.168.1.0/255.255.255.0 через шлюз 192.168.2.2 (это адрес клиента в ВПН). Стоит автоматическое назначение роута, иначе не сохранить.

Но с сервера виден только 192.168.2.2 (клиент в ВПН), но сеть за ним недоступна.

 

При этом пинги с сервера

Почему он это выкидывает на провайдера? А не в тунель Л2ТП на 192.168.2.2?

 

В чем моя ошибка? Как открыть сеть клиента для сервера?

маршрут на сервере настраивали до подключения клиента? В действующих маршрутах он есть?

Edited by r13

Share this post


Link to post
Share on other sites
8 минут назад, r13 сказал:

В действующих маршрутах он есть?

Нет. Видимо он не понимает, что подключился клиент 192.168.2.2.

 

Смог настроить только переделав сеть.

192.168.0.1 - 192.168.0.100 отдал под сеть сервера.

192.168.0.100-192.168.0.110 отдал под L2TP VPN

192.168.1.1 - под сеть клиента.

 

С маршрутом 192.168.1.0/255.255.255.0 через 192.168.0.102 (клиент в L2TP VPN) все стало работать. 

Видиом глюк какой-то с маршрутами или с валидацией правил в веб-интерфейсе.

Edited by tarakanium

Share this post


Link to post
Share on other sites
8 минут назад, tarakanium сказал:

Нет. Видимо он не понимает, что подключился клиент 192.168.2.2.

 

Смог настроить только переделав сеть.

192.168.0.1 - 192.168.0.100 отдал под сеть сервера.

192.168.0.100-192.168.0.110 отдал под L2TP VPN

192.168.1.1 - под сеть клиента.

 

С маршрутом 192.168.1.0/255.255.255.0 через 192.168.0.102 (клиент в L2TP VPN) все стало работать. 

Видиом глюк какой-то с маршрутами или с валидацией правил в веб-интерфейсе.

можно и так, хотя и первый вариант рабочий. 

Share this post


Link to post
Share on other sites

Транзитная сеть не должна пересекаться с объединяемыми сетями. Иначе может быть что угодно. Если посмотрите внимательно, то даже в БЗ настраивается именно так.

Share this post


Link to post
Share on other sites
4 часа назад, Le ecureuil сказал:

Транзитная сеть не должна пересекаться с объединяемыми сетями. Иначе может быть что угодно. Если посмотрите внимательно, то даже в БЗ настраивается именно так.

Там настроено, только у меня маршрут на сервере не работает. Или я не понимаю как его настроить.

Ставлю маршрут 192.168.1.0/255.255.255.0 через шлюз 192.168.2.2 (это адрес клиента в ВПН в транзитной сети). Стоит автоматическое назначение роута, иначе не сохранить. Стоит тип соединения - любая сеть (ибо для L2TP сети там нет). Дожидаюсь подключения клиента, пингую, пинги улетают на провайдера.

sending ICMP ECHO request to 192.168.1.1...
PING 192.168.1.1 (192.168.1.1) 56 (84) bytes of data.
"Destination unreachable" ICMP packet received from 217.23.74.хх (type = 3, code = 1).
"Destination unreachable" ICMP packet received from 217.23.74.хх (type = 3, code = 1).

Почему так - я не понимаю.

 

Для VPN сети там был в меню роутов интерфейс. Для L2TP на сервере - нету. Видимо из-за того, что оно создается через Приложения.

 

Снимок экрана_2018-12-07_04-40-20.png

Это окно можно сохранить в таком виде только, если нажать ДОБАВЛЯТЬ АВТОМАТИЧЕСКИ. Но этот маршрут НИКОГДА не ставновится активным. Такое впечатление, что сервер не понимает, что клиент 192.168.2.2 подключился. Хотя он исправно пингуется.

 

Но стоит только маршрут прописать через смешанную сеть для транзита - маршрут примениться.

192.168.0.102 туда отлично вписывается. Ибо видимо попадает под валидацию как хост из домашней сети.

 

 

Такие вот дела. Толи я что-то не понимаю, толи бага какая-то.

 

 

 

Edited by tarakanium

Share this post


Link to post
Share on other sites
6 часов назад, tarakanium сказал:

Там настроено, только у меня маршрут на сервере не работает. Или я не понимаю как его настроить.

Ставлю маршрут 192.168.1.0/255.255.255.0 через шлюз 192.168.2.2 (это адрес клиента в ВПН в транзитной сети). Стоит автоматическое назначение роута, иначе не сохранить. Стоит тип соединения - любая сеть (ибо для L2TP сети там нет). Дожидаюсь подключения клиента, пингую, пинги улетают на провайдера.


sending ICMP ECHO request to 192.168.1.1...
PING 192.168.1.1 (192.168.1.1) 56 (84) bytes of data.
"Destination unreachable" ICMP packet received from 217.23.74.хх (type = 3, code = 1).
"Destination unreachable" ICMP packet received from 217.23.74.хх (type = 3, code = 1).

Почему так - я не понимаю.

 

Для VPN сети там был в меню роутов интерфейс. Для L2TP на сервере - нету. Видимо из-за того, что оно создается через Приложения.

 

Снимок экрана_2018-12-07_04-40-20.png

Это окно можно сохранить в таком виде только, если нажать ДОБАВЛЯТЬ АВТОМАТИЧЕСКИ. Но этот маршрут НИКОГДА не ставновится активным. Такое впечатление, что сервер не понимает, что клиент 192.168.2.2 подключился. Хотя он исправно пингуется.

 

Но стоит только маршрут прописать через смешанную сеть для транзита - маршрут примениться.

192.168.0.102 туда отлично вписывается. Ибо видимо попадает под валидацию как хост из домашней сети.

 

 

Такие вот дела. Толи я что-то не понимаю, толи бага какая-то.

 

 

 

А скиньте пожалуйста self-test, когда все настроено и подключено, но не работает. Проверим.

Ну и да, после добавления маршрута клиента нужно "передернуть", иначе маршрут на него не заработает.

Share this post


Link to post
Share on other sites
6 часов назад, Le ecureuil сказал:

А скиньте пожалуйста self-test, когда все настроено и подключено, но не работает. Проверим.

 

Вроде бы помог полный ребут обоих роутеров. Буду тестировать и наблюдать.

Спасибо.

 

L2TP действительно работает очень хорошо (по скорости). В районе 10 Мбит\с уверенно держится, иногда чуть больше. Этого мне вполне достаточно.

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now

  • Recently Browsing   0 members

    No registered users viewing this page.

×