Всем привет.Между двумя офисами поднят OpenVPN. При нагрузке его данными (перекачка файла большого размера, или активная работа с удаленными ресурсами) пропадает пинг ровно на то время пока есть активность, при этом файл продолжается качаться. Правда удаленные сеансы в некоторых\пиковых случаях отваливаюстя. При этом на этом же канале связи поднят второй OpenVPN, через который проброшен L2 тунель, через который ходит ip телефония, которая во время нагрузки основного канала соответственно ухудшается, хрипы и шумы.
Пробовал менять МТУ не помогло, менял с 1500 на 1400.
Поуберал шифрование и сжатие, думал серв не вытягивает, не помогло тоже.конфиг сервера:
----------------------------------------------------------------------------
port 27957proto udp
dev tun111
ca /etc/openvpn/keys/ca.crt
cert /etc/openvpn/keys/server_key.crt
key /etc/openvpn/keys/server_key.keydh /etc/openvpn/keys/dh1024.pem
tls-auth /etc/openvpn/keys/tls.key 0
tls-serverserver 172.21.21.0 255.255.255.0
route 172.34.0.0 255.255.255.0
push "route 172.26.0.0 255.255.252.0"
push "route 172.26.70.0 255.255.255.0"client-config-dir /etc/openvpn/ccd/
client-to-clientkeepalive 10 120
#tcp-nodelay#;cipher AES-128-CBC # AES
#cipher DES-EDE3-CBC # Triple-DES#comp-lzo
#;max-clients 100
#user nobody
#group nobodypersist-key
persist-tunstatus openvpn-status_GOOD_NEW.log
log openvpn_GOOD_NEW.log
log-append openvpn_GOOD_NEW.logverb 3
;mute 20
----------------------------------------------------------------------------
Конфиг клиента:----------------------------------------------------------------------------
client
dev tun222proto udp
remote xxx.xxx.xxx.xxx 27957
resolv-retry infinite
nobind
persist-key
persist-tun
ca ca.crt
cert client_pi.key.crt
key client_pi.key.key
tls-auth tls.key 1#cipher DES-EDE3-CBC
#comp-lzo
keepalive 10 120log VPN_LOG.log
log-append VPN_LOG.logverb 3
mute 20----------------------------------------------------------------------------
Есть у кого идеи или мож кто сталкивался?
>[оверквотинг удален]
> tls-auth tls.key 1
> #cipher DES-EDE3-CBC
> #comp-lzo
> keepalive 10 120
> log VPN_LOG.log
> log-append VPN_LOG.log
> verb 3
> mute 20
> ----------------------------------------------------------------------------
> Есть у кого идеи или мож кто сталкивался?проверьте пропускную способность iperf например внутри туннеля. Для разных кодеков у voip различные требования к полосе пропускания, так как канал становится загруженным при закачке файлов больших размеров, VPN-шлюз ставить пакет в очередь - отсюда задержки и пропадания пингов, ну и т.д. со всеме вытекающими.
И еще никакое софтовое решение с vpn не переплюнет железные решения с аппаратными ускорителями шифрования и другими фичами, типа аппаратная поддержка gre.
> Для разных кодеков у voip
> различные требования к полосе пропускания, так как канал становится загруженным при
> закачке файлов больших размеров,
> VPN-шлюз ставить пакет в очередь - отсюда
> задержки и пропадания пингов, ну и т.д. со всеме вытекающими.извиняюсь, но не понял...
Кто в чем виноват? файл перекачивающийся виноват в потерях звука - это понятно. Вопрос в том, почему падает качество канала? и как это исправить))так то понятно что кто-то с чем-то не справляется.. ((
> И еще никакое софтовое решение с vpn не переплюнет железные решения с
> аппаратными ускорителями шифрования и другими фичами, типа аппаратная поддержка gre.А это то понятно)) в последствии на juniper device-ах буду поднимать тунель...
>[оверквотинг удален]
>> VPN-шлюз ставить пакет в очередь - отсюда
>> задержки и пропадания пингов, ну и т.д. со всеме вытекающими.
> извиняюсь, но не понял...
> Кто в чем виноват? файл перекачивающийся виноват в потерях звука - это
> понятно. Вопрос в том, почему падает качество канала? и как это
> исправить))
> так то понятно что кто-то с чем-то не справляется.. ((
>> И еще никакое софтовое решение с vpn не переплюнет железные решения с
>> аппаратными ускорителями шифрования и другими фичами, типа аппаратная поддержка gre.
> А это то понятно)) в последствии на juniper device-ах буду поднимать тунель...Качество канала падает из-за network congestion.
Можете попробовать использовать tc для ограничения максимальной пропускной способности. Да, всю скорость не выберете, зато такая проблема отпадет.
OpenVPN не для этого.
ipsec нормальный воткнуть между серверами.
извиняюсь, кто такой Tc?
> извиняюсь, кто такой Tc?Это последние две буквы LARTC. /docs/RUS/LARTC/
> извиняюсь, кто такой Tc?Утилита для контроля трафика. Шейпинга, полисинга, шедулинга и некоторых других дел.
РЕШЕНО!Суть дела в том что загрузка канала забивала весь канал и все последующие пакеты двигались по воле судьбы.
Поменял транспортный протокол на TCP и проблема исчерпала себя.