Комментарии 22
А чем обычный OpenVPN плох?
+4
Медленный. Дa и протокол, не такой популярный как у Cisco
-5
Насчет медленности — его, в принципе, можно настроить так, что потери будут в районе 5-10% от ширины канала.
Простейший пример — если его настроить работать не по tcp, а по udp — прирост скорости будет достаточно ощутим. Ну и там еще пара хаков есть, которые легко гуглятся.
Простейший пример — если его настроить работать не по tcp, а по udp — прирост скорости будет достаточно ощутим. Ну и там еще пара хаков есть, которые легко гуглятся.
0
Как его по UDP через http-proxy прокинуть?
0
Сходу ничего не могу сказать по этому поводу, сорри.
0
никак
openvpn.net/index.php/open-source/documentation/howto.html#http
Connecting to an OpenVPN server via an HTTP proxy. OpenVPN supports connections through an HTTP proxy, with the following authentication modes: No proxy authentication Basic proxy authentication NTLM proxy authentication First of all, HTTP proxy usage requires that you use TCP as the tunnel carrier protocol. So add the following to both client and server configurations: proto tcp Make sure that any proto udp lines in the config files are deleted.
openvpn.net/index.php/open-source/documentation/howto.html#http
+1
Мне сама идея кажется странной, ведь HTTP работает поверх TCP. Прокси, очевидно, устанавливает в обе стороны TCP-соединения, где там место для UDP?
Или это риторический вопрос, объясняющий, почему не хочется UDP?
Или это риторический вопрос, объясняющий, почему не хочется UDP?
0
Не могли бы вы тыцнуть носом меня в эти хаки? Благодарочка заранее.
0
Да хоть вот —
serverfault.com/questions/544869/improving-openvpn-performance
forums.openvpn.net/topic9349.html
Но тут нужно смотреть на месте и тестить.
Мне помогло вот такое:
comp-lzo
proto udp
mssfix 1440
tun-mtu 24000
serverfault.com/questions/544869/improving-openvpn-performance
forums.openvpn.net/topic9349.html
Но тут нужно смотреть на месте и тестить.
Мне помогло вот такое:
comp-lzo
proto udp
mssfix 1440
tun-mtu 24000
-1
Странно. Что помогло.
MSS 1440 оставляет лишь 20 байт на все инкапсуляции туннеля, чего явно не хватит, и будет фрагментация.
«tun-mtu» — это MTU туннельного интерфейса? 24 килобайта? Серьезно?
По-моему, если выставить их соответственно на 1260 и 1300 (чтобы уж с гарантией), будет быстрее. Намного.
MSS 1440 оставляет лишь 20 байт на все инкапсуляции туннеля, чего явно не хватит, и будет фрагментация.
«tun-mtu» — это MTU туннельного интерфейса? 24 килобайта? Серьезно?
По-моему, если выставить их соответственно на 1260 и 1300 (чтобы уж с гарантией), будет быстрее. Намного.
+1
> По-моему, если выставить их соответственно на 1260 и 1300 (чтобы уж с гарантией), будет быстрее. Намного.
Нет, я долго игрался с ними — приведенные значения более-менее помогают.
Нет, я долго игрался с ними — приведенные значения более-менее помогают.
0
извините, что влезаю в разговор, но Вы с этими значениями «игрались» или изменяли их осознанно?
0
Скорее всего, проблема во включенной компрессии. Замеры надо сначала проводить без нее.
Ну и запустите крупного файла, снимите дамп пакетов, ужаснитесь…
Ну и запустите крупного файла, снимите дамп пакетов, ужаснитесь…
0
Никакие хаки в свое время не помогли мне утилизировать 1Гбит канал к сожалению. Вплоть до отключения шифрования. На форуме можно найти, у него практически «официальная» полка по скорости порядка 160 МБит. Мне удавалось кратковременно выжать 220, но это все в пользу бедных.
Так что он медленный и однопроцессорный…
Один из хаков кстати, по утилизации гигабита, это поднятие нескольких OpenVPN серверов, развешивание их по разным процессорам, и бондинг соответствующих адаптеров.
Так что он медленный и однопроцессорный…
Один из хаков кстати, по утилизации гигабита, это поднятие нескольких OpenVPN серверов, развешивание их по разным процессорам, и бондинг соответствующих адаптеров.
0
неудивительно, что вам ничего на форуме не отвечают, т. к понять это можно только русским, да и то не полностью :) а за статью спасибо, сам как раз мучаюсь с выбором-настройкой впнов, надо будет попробовать этих ваших кисок!
0
Интересная статья, спасибо. После нескольких исправлений скрипт генерации сертификатов и конфиг работают (кавычки «…» bash и ocserv в конфиге не принимают, нужны "…"; в скрипте есть лишние пробелы: «o utfile», «load-ca-certific ate», «se rver-cert»), функции Install*() не проверял, не было необходимости.
К сожалению, к OpenConnect (как и к StrongSwan) не удаётся подключиться при некоторых конфигурациях сети (например, client — wlan nat — isp nat — internet — vpn server). Android-клиент показывает странные сообщения о невозможности изменить системные настройки («System configuration settings could not be applied. A VPN connection will not be established.»), в то же время по 3G подключается успешно. У OpenVPN таких проблем не наблюдается.
И ещё пользователи Windows Phone, например, не имеют возможности подключиться ни к OpenVPN ни к OpenConnect. Остаётся StrongSwan, который так и не получилось сконфигурировать для работы за каскадным натом. Может у кого-то есть опыт подобной настройки? :)
К сожалению, к OpenConnect (как и к StrongSwan) не удаётся подключиться при некоторых конфигурациях сети (например, client — wlan nat — isp nat — internet — vpn server). Android-клиент показывает странные сообщения о невозможности изменить системные настройки («System configuration settings could not be applied. A VPN connection will not be established.»), в то же время по 3G подключается успешно. У OpenVPN таких проблем не наблюдается.
И ещё пользователи Windows Phone, например, не имеют возможности подключиться ни к OpenVPN ни к OpenConnect. Остаётся StrongSwan, который так и не получилось сконфигурировать для работы за каскадным натом. Может у кого-то есть опыт подобной настройки? :)
0
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Бесплатный аналог AnyConnect VPN Server