» Poradna » Počítačové sítě

OpenVPN ztráta packetů (ping loss) u poloviny klientů

 |   |  Microsoft Windows 10 Chrome 62.0.3202.94

Zdravím všechny, prosím radu ohledně openVPN.Mám zprovozněnou OpenVPN, kde je cca 30 klientů.Server beží na WIN 10 , klienti jsou win 7 či Win 10.cca polovina klientů má naprosto bezchybné a spolehlivé spojení bez ztráty paketů či pingu. A druhá polovina má dost nestabilní spojení kde se ztrácí cca polovina packetů (ping loss).Všichni klienti (30) jsou na ADSL či VDSL. Na dané problémové klienty(15), když se připojím třeba teamviewerem, tak žádný problém s rychlostí není, ani samotní klienti nemají problém s netem.Jinak řečeno, všichni klienti mají stejný config, a stejně stabilní připojení do internetu.Ale polovina z nich ztrácí pakety pouze v rámci openVPN komunikace.Pročítal jsem diskuze a zkoušel všemožná nastavení klientů či serveru (nové verze) a jediné co trochu málo pomohlo, že to jedu přes TCP namísto UDP, kde to bylo ještě horší. Nicméně i po přepnutí na proto tcp je s tou jednou polovinou klientů stále problém.Jediný rozdíl mezi těma dvěma skupinama je ten, že ty co běží stabilně jsem spouštěl ve VPN cca před rokem, a ty problémové cca před 2 měsící. Ale config je stejný. Proč mi to proboha neběží všechno stejně. Díky za případné tipy. J.

Odpovědi na otázku

 |   |  Microsoft Windows 7 Chrome 62.0.3202.94

Nemoze to byt zalezitostou toho software, co ti bezi ako server na tom Windows 10?Aky je to konkretny softver, co poskytuje to openVPN?Inak toto je celkom nestandardne, aby VPN server bezal na Windows 10, ale toto ti problem nevyriesi. Skor ale uvazuj do buducna, aby ti to bezalo na nejakom hardveri(alebo softveri vo VM alebo whatever) urcenom na to.Osobne ma napada jedine mozne voditko a to je to, ze stari klienti idu Ok a novi NOK. nenastala odvtedy nejaka zmena konfiguracie alebo nezmenil si config file?Co bolo inde u tych starych klientov (verzia servera, verzia klienta, cokolvek)

Souhlasím  |  Nesouhlasím  |  Odpovědět
 |   |  Microsoft Windows 7 Chrome 62.0.3202.94

A akeho pouzivas klienta, klasicky openVPN s TAP ovladacom sietovky?

Souhlasím  |  Nesouhlasím  |  Odpovědět
 |   |  Microsoft Windows 10 Chrome 62.0.3202.94

přesně tak

Souhlasím  |  Nesouhlasím  |  Odpovědět
 |   |  Microsoft Windows 7 Chrome 54.0.2840.99

Tipuji, že ti "problémoví" mají W10

Souhlasím  |  Nesouhlasím  |  Odpovědět
 |   |  Microsoft Windows 8.1 Chrome 62.0.3202.94

Nemá náhodou desktopová verze Windows licenčně omezený počet TCP spojení? Už jsem se s tím potkal, že na některé věci tohle omezení aplikoval. Na všechno to rozhodně neaplikuje, třeba torrenty s tím problémy nemají.Vůbec provozovat OpenVPN na Windows 10 se mi zdá jako hovadina. To někdo nedomyslel...

Souhlasím  |  Nesouhlasím  |  Odpovědět
 |   |  Microsoft Windows 7 Chrome 62.0.3202.94

Bingo. Aj toto moze byt pricina. Myslim, ze tam nejaky limit bol (pri XP a Visty a 7 urcite bol) a asi ho MS preniesol aj do sucasneho OS.

Souhlasím  |  Nesouhlasím  |  Odpovědět
 |   |  Microsoft Windows 7 Chrome 62.0.3202.94

Asi 20 pripojeni. Len teraz neviem, ci to nie je limit iba ns SMB share, alebo ci je to na hocaku sluzbu...Skusme to zistit.

Souhlasím  |  Nesouhlasím  |  Odpovědět
 |   |  Microsoft Windows 8.1 Chrome 62.0.3202.94

To mají lidi z toho, že nečtou EULA, a používají to.Kdyby chlapec použil Ubuntu Server, má to taky na pár kliknutí, a kromě toho, že ušetří, to bude fungovat.

Souhlasím  |  Nesouhlasím  |  Odpovědět
 |   |  Microsoft Windows 7 Firefox 52.0

XP to malo obmedzene na 10 pripojeni, ovsem klienti nad limitom sa vobec nepripojili a nie ze by stracali pakety.

Souhlasím  |  Nesouhlasím  |  Odpovědět
 |   |  Microsoft Windows 10 Chrome 62.0.3202.94

my mame cca80klientu na OpenVPN, server ale bezi na linuxu, klienti bezi jeste nekteri na XP, Win8 i Win10 a ruzne verze OpenVPN klientu a problem zadny neni. takze bych to videl asi v serveru. Navic konfiky mame dosti rozlisne, nekdo chce GW, nekdo ma oberovani pres importovany cert CRYPTOAPICERT: Nekdo jen pomoci uziv jmena a hesla atd. Ale problem s tim neni. Par klientu bezi i na routerech OpenWRT a uplne vpohode. takze roozdily mezi nami jsou, ze my mame server na linuxu.

Souhlasím  |  Nesouhlasím  |  Odpovědět
 |   |  Microsoft Windows 7 Firefox 52.0

Najjednoduchsie je pripojit problemoveho klienta za router na strane servera. Hned sa uvidi ci straca pakety. Ked sa pakety nebudu stracat, tak budes vediet, ze problem je niekde na trase a na to su programy, ktore vedia zistit kde.

Souhlasím  |  Nesouhlasím  |  Odpovědět
 |   |  Microsoft Windows 10 Chrome 62.0.3202.94

Problémoví klienti mají různé WIN. Resp. ti problémoví mají všichni WIN10, ale i někteří co packety neztrácejí mají také WIN10. V tom problém nebude.Konfig mají všichni stejní !!! jak starší klienti tak ti novější.Klienti i server jsou klasika opevVNP poslední verze s TAP (pro windows).Server OpenVPN jsem na zkoušku přesunul na jiné PC v jiné síti v jiném městě za jiné routery a kupodivu byl výsledek úplně stejný = ztráta packetů později přidaných klientů.Ještě mi kdosi radil, zkusit pro ty problémové klienty vygenerovat nový klíč ? Řka, že ty klíče pro bezproblémové klienty byly generovány na jiném PC a klíče pro nové klienty na novějším PC (kde běží openVPN server). ZKusit to můžu, ale nějak tomu něvěřím.J.

Souhlasím  |  Nesouhlasím  |  Odpovědět
 |   |  Microsoft Windows 10 Chrome 62.0.3202.94

Limit TCP spojení ve WIN ? Ověřím snadno.Spustím openvpn server na ubuntu, a uvidíme. Dám vám vědět.

Souhlasím  |  Nesouhlasím  |  Odpovědět
 |   |  Microsoft Windows 10 Chrome 59.0.3071.112

Limit spojení je imho blbost. Pokud vím tak ve win je jen limit na "polootevřené TCP spojení", tj to jsou ty co se navazují, ale limit na již navázané spojení tam není. A nebo je někde hodně vysoko.Navíc v případě UDP ten limit ztrácí jakýkoliv smysl protože UDP nic jako spojení nezná, tam jsou jednotlivé pakety a ty asi omezené nebudou.Jen bych se zeptal. OpenVPN vám pracuje v jakém řežimu? TUN nebo TAP?

Souhlasím  |  Nesouhlasím  |  Odpovědět
 |   |  Microsoft Windows 10 Firefox 57.0

https://support.microsoft.com/cs-cz/help/314882/inbound... V praxi to vypadá, že licenčně je to omezené na 10, a praxi se to aplikuje jen na sambu. Ale tohle se týká XP, jak je na tom Windows 10, to těžko říct.

Souhlasím  |  Nesouhlasím  |  Odpovědět
 |   |  Microsoft Windows 10 Chrome 62.0.3202.94

TAP

Souhlasím  |  Nesouhlasím  |  Odpovědět
 |   |  Microsoft Windows 10 Chrome 62.0.3202.94

Hmm, takže to funguje na L2 vrstvě a ten VPN server se chová jako switch. Což přináší pár problémů. Asi hlavně to že všechny broadcasty se šíří skrz vpnku. Možná že ta zbytečná zátěž nějakým způsobem ovlivňuje zpracování dat a způsobuje to zahazování rámců. Ale to spíš hádám.Rozhodně jsem si celkem jistý že to není způsobené klienty, protože jak jsi psal, tak přepnutí na TCP nepomohlo. Kdyby to bylo způsobené ztrácením UDP paketů tak by to přepnutí na TCP vyřešilo, tam je celkem garantované že vše co se odešle se doručí na druhou stranu. Ze všech tebou dodaných informací to vypadá na nějaký problém v interním zpracování v openvpn serveru.Možná že pomůže to přehodit na ten linux, protože openvpn server pro linux je jiná aplikace než pro windows.Eventuálně měl jsi nějaký důvod proč jsi to nastavil jako TAP? Je možné že jako TUN by se to chovalo jinak. Přeci jen je rozdíl když přenášíš ethernetové rámce a když přenášíš ip pakety.

Souhlasím  |  Nesouhlasím  |  Odpovědět
 |   |  Microsoft Windows 8.1 Chrome 62.0.3202.94

Hlavně když chce člověk VPN od Microsoftu, tak sáhne po IPSec, který umí jak Windows Server, tak všechny aktuální desktopové verze Windows, a má po problému.Volbu TUN taky nechápu. Dobrovolně odříznout nerootnuté Androidy a iPhone? Proč, když mi stačí jen nastavit TAP, a Android nemá problém?

Souhlasím  |  Nesouhlasím  |  Odpovědět
 |   |  Microsoft Windows 7 Firefox 52.0

Ak nemas spravny klic, tak sa ani nepripojis. Vyskusaj na wifi pripojenie nespravnym klicom, ci to dopadne tak, ze sa budu len stracat pakety. Ludia, ved rozmyslajte logicky!Pri VPN spojeniach existuje ovsem problem s MSS.https://en.wikipedia.org/wiki/Maximum_segment_size

Souhlasím  |  Nesouhlasím  |  Odpovědět
 |   |  Microsoft Windows 10 Chrome 62.0.3202.94

Jj, na to už jsem koukal a parametrem mssfix jsem snižoval segment size a nikam to nevedlo. A hlavně to nevysvětluje ten rozdíl mezi fungující starší skupinou klientů a novější skupinou.

Souhlasím  |  Nesouhlasím  |  Odpovědět
 |   |  Microsoft Windows 7 Chrome 62.0.3202.94

Daj to na ten Linux a uvidis.Stale plati, ze nechat bezat Server na Desktopovom OS je dost zhovadilost.Nenapisal si, aky SW na ten vpn server pouzivas na strane servera, alebo mi to uslo?

Souhlasím  |  Nesouhlasím  |  Odpovědět
 |   |  Microsoft Windows 10 Chrome 62.0.3202.94

Přehodil jsem na linux a výsledek je stejný :( Používám klasické openVPN staženo z openvpn.net

Souhlasím  |  Nesouhlasím  |  Odpovědět
 |   |  Microsoft Windows 7 Firefox 52.0

Vsetko sa vysvetli ak budeme vediet vysledok testu, tak ako som pisal vyssie. Mozem sa ovsem stavit, ze to neurobis, ale budes spekulovat co este ine by tam mohlo vadit.

Souhlasím  |  Nesouhlasím  |  Odpovědět
 |   |  Microsoft Windows 10 Chrome 62.0.3202.94

Tak jsem přehodil instaloval OpenVPN server na Ubuntu (TAP). A světe div se = výsledek je stejný :(Novější polovina klientů ztrácí packety :( přec protokol TCP.Zatím tedy můžu konstatovat, že problém bude na straně klientů.Co mám zkusit teď ? Prosím radu. DíkyJ.

Souhlasím  |  Nesouhlasím  |  Odpovědět
 |   |  Microsoft Windows 10 Chrome 62.0.3202.94

Ještě jsem vám neřekl k tomu jednu věc:Když pingám z OpenVPN serveru na problémového klienta tak se ztrácí packety.Ale současně když pingám z problémového klienta na OpenVPN server tak se neztratí ani jeden packet. (ani přes TCP ani UDP).Jak to , že server se na klienta nedopingá , ale obráceně není problém ?J.

Souhlasím  |  Nesouhlasím  |  Odpovědět
 |   |  Microsoft Windows 10 Chrome 62.0.3202.94

* oprava nemyslím tím že ho nepingnu vůbec , ale že vypadává mnoho pingů.

Souhlasím  |  Nesouhlasím  |  Odpovědět
 |   |  Microsoft Windows 10 Chrome 62.0.3202.94

Nemohl by být problém na adsl modemu u klienta ? Nějaký parametr ?

Souhlasím  |  Nesouhlasím  |  Odpovědět
 |   |  Microsoft Windows 7 Firefox 52.0

Podstatne je meranie a nie spekulacie co zmenit v konfiguracii ADSL. Ako to otestovat som ti napisal. Cakam na vysledok. Ked pojdes ku klientovi, doporucujem nakreslit presnu topologiu siete od pripojky ADSL az na stanicu + dopisat do obrazku vsetky typy zariadeni + vsetky IP adresy. A doporucujem aby si to nakreslil sam a nenechaval to kreslit niekoho ineho. Na zaklade vysledku merania a doplnkovych informacii je mozne presnejsie urcit kde hladat problem.

Souhlasím  |  Nesouhlasím  |  Odpovědět
 |   |  Microsoft Windows 10 Chrome 62.0.3202.94

To sotva. Hlavně ping je obousměrná komunikace, protože tam jde dotaz a zpět jde odpověď. Tedy ať pingáš z jakékoliv strany tak se vždy přenáší data tam i zpět.Zvláštní věc je že se to děje i na TCP protokolu. Tam by se mělo na začátku navázat spojení a udržovat otevřené a data by měli proudit skrz to otevřené spojení. TCP protokol se už postará o to že se cesou žádná data neztratí. Případně si to můžeš ověřit. Stačí odchytávat provoz na internetovém připojení mezi vaším VPN serverem a VPN klientem. Použij co máš k dispozici. Buď nainstaluj nějaký wireshark, nebo pokud to umí tvůj router tak odchytávej komunikaci na něm apod. A podívej se zda je TCP spojení mezi tvým serverem a klientem trvale otevřeno a data proudí jen uvnitř. Pokud se bude zavírat a znovu otevírat, tak jsi asi špatně nastavil keepalive pro TCP spoj. Pokud uvidíš že TCP spoj drží a přesto se ping ztrácí tak máš důkaz že problém není ve spojení mezi VPN serverem a VPN klientem, ale problém bude někde uvnitř zpracování dat buď ve vpn klientu a nebo vpn serveru, myslím tím té aplikaci, nikoliv PC. Pak to asi chce zapnout nějaké detailní logování a podívat se zda tam nejsou nějaké chyby nebo nějaké rozdíly ve zpracování mezi starými a novými klienty.

Souhlasím  |  Nesouhlasím  |  Odpovědět
 |   |  Microsoft Windows 10 Chrome 62.0.3202.94

VYŘEŠENO !!!Tak problém se ztrátou paketů způsoboval ovladač TAP-Windows na problémových klientech.Standardně jsem ho odebral přes Programy a funkce a znovu nainstaloval.A již to běží jako po másle = žádné ztráty.Díky všem za rady.J.

Souhlasím  |  Nesouhlasím  |  Odpovědět
 |   |  Microsoft Windows 10 Firefox 57.0

Pepo dík.Konečně člověk , který sem dal i konečné řešení.

Souhlasím  |  Nesouhlasím  |  Odpovědět

Související témata: Polovina, Jediný rozdíl, Druhá polovina


Určitě si přečtěte

Chrome se naučí dokonale odkazovat. Jeho odpůrci bijí na poplach, prý je to bezpečnostní katastrofa

Chrome se naučí dokonale odkazovat. Jeho odpůrci bijí na poplach, prý je to bezpečnostní katastrofa

** Google zavádí techniku ScrollToTextFragment ** Umí vytvořit odkaz na konkrétní slovo na stránce ** Podle kritiků by to mohl být bezpečnostní problém

Jakub Čížek | 40

Je to dobré, cetky z AliExpressu budou nejspíše relativně levné i v roce 2021

Je to dobré, cetky z AliExpressu budou nejspíše relativně levné i v roce 2021

** V roce 2021 začneme platit DPH i u laciného zboží z asijských e-shopů ** Daň ale budeme většinou platit už na e-shopech ** Nemusíte se bát zdlouhavého a drahého celního řízení

Jakub Čížek | 69

Deset kotev, které i v roce 2020 táhnou Android ke dnu

Deset kotev, které i v roce 2020 táhnou Android ke dnu

** Android existuje skoro 12 let a za tu dobu v mnoha směrech dospěl ** Dnes běží na sedmi z deseti telefonů, ale čemu za to vděčí? ** Našli jsme 10 kotev, které táhnou tento operační systém ke dnu

Karel Kilián | 162

Jak vlastně funguje Flightradar24: Posloucháme letadla nad celým Českem

Jak vlastně funguje Flightradar24: Posloucháme letadla nad celým Českem

** Flightradar24 zobrazuje polohu letadel v reálném čase ** Když mu pomůžete sbírat data, dostanete nejvyšší paušál zdarma ** Jak to vlastně celé funguje a co je k tomu potřeba?

Jakub Čížek | 28

49" monitor Philips 499P9H: Ať je vám doma lépe než v kanceláři

49" monitor Philips 499P9H: Ať je vám doma lépe než v kanceláři

** Nezvykle protáhlý rozměr odpovídá dvěma monitorům vedle sebe ** Barevné podání a podpora G-Sync míří nad kancelářské nasazení ** Vestavěná kamera umí přihlašování ve Windows

Tomáš Holčík | 29


Aktuální číslo časopisu Computer

Megatest 21 grafických karet

AMD poráží Intel už i v notebooku

Jak vytvořit 3D fotky v mobilu

Nejlepší fotoaparáty do 30 000 Kč