ICMP Posted September 11, 2017 Share Posted September 11, 2017 (edited) В данный момент если настраивать под сервер, можно ли прописать iroute маршрут от клиента как тут ? Edited September 11, 2017 by ICMP Quote Link to comment Share on other sites More sharing options...
Le ecureuil Posted September 11, 2017 Share Posted September 11, 2017 2 минуты назад, ICMP сказал: В данный момент если настраивать под сервер, можно ли отсылать iroute маршруты клиентам как тут ? Конечно, почему нет? Все, что позволяет настроить обычный конфиг - все можно. Единственное ограничение - все внешние файлы нужно сделать inline-блоками в конфиге. Quote Link to comment Share on other sites More sharing options...
r13 Posted September 11, 2017 Share Posted September 11, 2017 3 минуты назад, ICMP сказал: В данный момент если настраивать под сервер, можно ли отсылать iroute маршруты клиентам как тут ? По идее пока если только создавать ccd на внешней флешке. Надо пробовать Quote Link to comment Share on other sites More sharing options...
ICMP Posted September 11, 2017 Share Posted September 11, 2017 1 минуту назад, Le ecureuil сказал: inline-блоками в конфиге А можно пример пожалуйста!? Если скажем клиент имеет CommonName Client2 и его подсеть 192.168.2.0 255.255.255.0 Quote Link to comment Share on other sites More sharing options...
ICMP Posted September 11, 2017 Share Posted September 11, 2017 3 минуты назад, r13 сказал: По идее пока если только создавать ccd на внешней флешке. Ну если на флешку почему бы мне сразу на на ней же и не поднять сервер Quote Link to comment Share on other sites More sharing options...
r13 Posted September 11, 2017 Share Posted September 11, 2017 нет необходимости в opkg например. 5 минут назад, ICMP сказал: Ну если на флешку почему бы мне сразу на на ней же и не поднять сервер Quote Link to comment Share on other sites More sharing options...
Le ecureuil Posted September 11, 2017 Share Posted September 11, 2017 32 минуты назад, r13 сказал: Ну так как это сервер то private Поправлено. 1 Quote Link to comment Share on other sites More sharing options...
ICMP Posted September 11, 2017 Share Posted September 11, 2017 @r13 а без флэшки нет мысли как прописать iroute сразу через веб морду? Quote Link to comment Share on other sites More sharing options...
Le ecureuil Posted September 11, 2017 Share Posted September 11, 2017 2 минуты назад, ICMP сказал: @r13 а без флэшки нет мысли как прописать iroute сразу через веб морду? Скиньте пример дерева конфигов в виде файлов, а там я подумаю что вам можно предложить. Quote Link to comment Share on other sites More sharing options...
ICMP Posted September 11, 2017 Share Posted September 11, 2017 (edited) port 1194 proto udp dev tun ca ca.crt cert server.crt key server.key dh dh.pem server 10.8.0.0 255.255.255.0 keepalive 10 120 comp-lzo persist-key persist-tun verb 3 <ca> </ca> <cert> </cert> <key> </key> <dh> </dh> Клиент client dev tun proto udp remote my.ddns.net 1194 resolv-retry infinite nobind persist-key persist-tun remote-cert-tls server comp-lzo verb 3 <ca> </ca> <cert> </cert> <key> </key> Edited September 11, 2017 by ICMP Quote Link to comment Share on other sites More sharing options...
Сергей Молоков Posted September 11, 2017 Share Posted September 11, 2017 2 минуты назад, ICMP сказал: ca ca.crt cert server.crt key server.key dh dh.pem а это зачем? Quote Link to comment Share on other sites More sharing options...
ICMP Posted September 11, 2017 Share Posted September 11, 2017 Только что, Сергей Молоков сказал: а это зачем? Ну да, я просто на двух серверах тестирую и на встроенном можно и без них... Quote Link to comment Share on other sites More sharing options...
ICMP Posted September 11, 2017 Share Posted September 11, 2017 19 минут назад, Le ecureuil сказал: в виде файлов Какие файлы скажите только? Quote Link to comment Share on other sites More sharing options...
r13 Posted September 11, 2017 Share Posted September 11, 2017 1 минуту назад, ICMP сказал: Какие файлы скажите только? подозреваю что те которые содержатся в client-config-dir Quote Link to comment Share on other sites More sharing options...
ICMP Posted September 11, 2017 Share Posted September 11, 2017 Да еще тогда нужно как то прикрутить *,txt файлик который запоминает выданный ip клиентам... Quote Link to comment Share on other sites More sharing options...
r13 Posted September 11, 2017 Share Posted September 11, 2017 1 минуту назад, ICMP сказал: Да еще тогда нужно как то прикрутить *,txt файлик который запоминает выданный ip клиентам... Это также реализуемо через ccd а не отдельным файлом, смотрите ниже документацию по вашей же ссылке Quote Link to comment Share on other sites More sharing options...
ICMP Posted September 11, 2017 Share Posted September 11, 2017 26 минут назад, r13 сказал: Это также реализуемо через ccd а не отдельным файлом, смотрите ниже документацию по вашей же ссылке На примере сервера на Enware 3.x Есть такой файлик ipp.txt который лежит в /opt/etc/openvpn/ipp.txt client2,10.8.0.2 client3,10.8.0.3 И если в openvpn.conf есть такая строчка то он запоминает ip их ifconfig-pool-persist ipp.txt А сейчас встроенный сервер выдает любой из пула 10.8.0.0 клиентам... Quote Link to comment Share on other sites More sharing options...
r13 Posted September 11, 2017 Share Posted September 11, 2017 (edited) 29 минут назад, ICMP сказал: На примере сервера на Enware 3.x Есть такой файлик ipp.txt который лежит в /opt/etc/openvpn/ipp.txt client2,10.8.0.2 client3,10.8.0.3 И если в openvpn.conf есть такая строчка то он запоминает ip их ifconfig-pool-persist ipp.txt А сейчас встроенный сервер выдает любой из пула 10.8.0.0 клиентам... Это не есть best practice ибо выдежка из документации: Note that the entries in this file are treated by OpenVPN as suggestions only, based on past associations between a common name and IP address. They do not guarantee that the given common name will always receive the given IP address. If you want guaranteed assignment, use --ifconfig-push Edited September 11, 2017 by r13 Quote Link to comment Share on other sites More sharing options...
ICMP Posted September 11, 2017 Share Posted September 11, 2017 Короче жду с нетерпение серверной части Quote Link to comment Share on other sites More sharing options...
Le ecureuil Posted September 11, 2017 Share Posted September 11, 2017 34 минуты назад, ICMP сказал: Короче жду с нетерпение серверной части Она уже есть, просто настройте ее Насчет встраивания ipp посмотрю. 1 Quote Link to comment Share on other sites More sharing options...
ICMP Posted September 11, 2017 Share Posted September 11, 2017 (edited) 40 минут назад, Le ecureuil сказал: Она уже есть, просто настройте ее Опять вы за свое Ну как мне настроить маршрут до сети за опенвпн клиента? Если нельзя создать ccd папку и в нее прописать маршрут до клиента?? Edited September 11, 2017 by ICMP 1 Quote Link to comment Share on other sites More sharing options...
ICMP Posted September 11, 2017 Share Posted September 11, 2017 (edited) route можно прописать в конфиге route 192.168.2.0 255.255.255.0 А вот как прописать iroute? Edited September 11, 2017 by ICMP Quote Link to comment Share on other sites More sharing options...
ICMP Posted September 11, 2017 Share Posted September 11, 2017 @Le ecureuil Быть может вы не до конца понимаете что я хочу ,опять же из той ссылки И начать читать отсюда: Включение нескольких машин на стороне клиента при использовании маршрутизируемого VPN (dev tun) Quote Link to comment Share on other sites More sharing options...
ICMP Posted September 11, 2017 Share Posted September 11, 2017 Пробовал добавлять так тоже без результата Интерфейс Любой и OpenVPN0 Quote Link to comment Share on other sites More sharing options...
r13 Posted September 11, 2017 Share Posted September 11, 2017 31 минуту назад, Le ecureuil сказал: Она уже есть, просто настройте ее Насчет встраивания ipp посмотрю. Раз пошла такая пьянка покручу сегодня папку ccd и по результатам скину сюда структуру. 1 Quote Link to comment Share on other sites More sharing options...
arbayten Posted September 11, 2017 Share Posted September 11, 2017 а потом окажется, что клиент не роутер и надо включить ip форвард, поколдовать фаер Quote Link to comment Share on other sites More sharing options...
Le ecureuil Posted September 11, 2017 Share Posted September 11, 2017 2 часа назад, ICMP сказал: @Le ecureuil Быть может вы не до конца понимаете что я хочу ,опять же из той ссылки И начать читать отсюда: Включение нескольких машин на стороне клиента при использовании маршрутизируемого VPN (dev tun) Такой вариант пока никак, без вариантов. Quote Link to comment Share on other sites More sharing options...
r13 Posted September 11, 2017 Share Posted September 11, 2017 @ICMP c ccd пока подружиться не удалось, но ipp вполне себе в файлик на флешке адреса скидывает Так что по идее ipp и статическая маршрутизация на роутере должны работать если на сервере нет директивы client-to-client 6 часов назад, ICMP сказал: Пробовал добавлять так тоже без результата Интерфейс Любой и OpenVPN0 Quote Link to comment Share on other sites More sharing options...
arbayten Posted September 11, 2017 Share Posted September 11, 2017 Есть немножко твиков, которые можно попробовать потестить на К (настройки для обеих сторон) на предмет прокачки, фрагментации на уровне kernel, cpu. cli> interface OpenVPN0 ip mtu 6000 ovpn config (остальное под себя)> dev tun proto udp tun-mtu 6000 sndbuf 0 rcvbuf 0 fragment 0 mssfix 0 cipher aes-256-cbc comp-lzo no переподнимаем в cli> interface OpenVPN0 down interface OpenVPN0 up *** Потом пробуем поднимать ip mtu и tun-mtu до: 9000, 12000, 24000, 36000, 48000, 60000 -> Помимо выключения внутренней фрагментации, "подстройки" буферов ovpn, принудительного выключения сжатия (чтобы не тратить cpu) - пытаемся скармливать блоку шифрования размер "побольше", аппаратный/софт aes - я ф.з. как там openssl -> потом на выходе с OpenVPN0 с толстяка снимают одежду, нарезают, пакуют на уровне kernel под выходной mtu аплинка. Если поможет поднять перформанс, то было бы интересно узнать ваши бенчмарки, есть ли улучшения и какие, какой потолок на GbE. Для продакшена в сетях где на путях маячит packet-loss иметь ввиду возможные последствия от завышенного mtu толстяка (из серии: при сборке на приемнике будет выкидыш, если хотя бы часть потеряется + нужно держать буфера для вероятных RO очереди, а что тут с ними - ф.з.) -> tcp клиентов решит проблему в конечном итоге, но приложения на udp могут быть под стрессом - это все индивидуально, чем выше задерете, тем сильнее аукнется -> для нормальных/проверенных сетей редкость, так что вероятное улучшение показателей все перевешивает. Quote Link to comment Share on other sites More sharing options...
Le ecureuil Posted September 11, 2017 Share Posted September 11, 2017 Потолок на 7628 - 70 Мбит/с (это когда шифрование и хэш равны NULL, openvpn только переклеиванием заголовков занимается). Не сильно-то и разгуляешься. На 7621 наверное в такой синтетике можно выжать 100 Мбит/с. В таких условиях блок шифрования применять смысла нет, потому что ускорение с условных 30 до условных 40 Мбит/с (а выше 70 не прыгнешь даже в теории - см. выше + overhead на копирование в ядро/обратно) - очень жидко для столь большого объема работы. Потому все полностью программно. Если нужна максимальная скорость с шифрованием - тогда нужно выбирать BF-CBC/MD5 или AES-GCM - по тестам они самые лучшие. Quote Link to comment Share on other sites More sharing options...
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.