abclinuxu.cz AbcLinuxu.cz itbiz.cz ITBiz.cz HDmag.cz HDmag.cz abcprace.cz AbcPráce.cz
AbcLinuxu hledá autory!
Inzerujte na AbcPráce.cz od 950 Kč
Rozšířené hledání
×
včera 12:33 | Pozvánky

Příští týden bude na MFF UK zahájena série přednášek o architektuře a implementaci operačních systémů. Mezi přednášejícími budou odborníci z firem Kernkonzept, Oracle, Red Hat, SUSE či SYSGO. Pokud si chcete rozšířit obzory (virtualizace, ptrace, ZFS, kdump, ...), vyberte si z harmonogramu téma, které vás zajímá a přijďte. Přednášky se konají každý čtvrtek od 15:40 v učebně S4 na Malostranském náměstí 25 v Praze. Přednášky jsou přístupné veřejnosti (registrace není nutná), studenti UK a ČVUT si je mohou zapsat jako standardní předmět.

Vojtěch Horký | Komentářů: 5
včera 05:00 | Nová verze

Bylo vydáno Ubuntu 18.04.2 LTS, tj. druhé opravné vydání Ubuntu 18.04 LTS s kódovým názvem Bionic Beaver. Přehled novinek v poznámkách k vydání a v přehledu změn.

Ladislav Hagara | Komentářů: 0
včera 03:00 | Zajímavý software

Git History umí u souborů v git repozitářích zajímavým způsobem zobrazit jejich historii a následně jednotlivé změny, viz animovaný gif. Použít jej lze lokálně nebo aktuálně na soubory umístěné na GitHubu. Máte-li ve webovém prohlížeči zobrazen soubor umístěný na GitHubu, nahraďte v URL doménu github.com doménou github.githistory.xyz a nové URL odešlete. Využít lze také rozšíření Chrome i Firefoxu. V plánu je vedle GitHubu také podpora GitLabu a Bitbucketu.

Ladislav Hagara | Komentářů: 2
včera 01:00 | Nová verze

Byla vydána verze 1.0 webové a na frameworku Electron postavené desktopové verze svobodného decentralizovaného skupinového komunikátoru Riot (Wikipedie) využívajícího protokolu Matrix (Wikipedie). Přehled novinek i s náhledy v příspěvku na blogu. Zdrojové kódy jsou k dispozici na GitHubu.

Ladislav Hagara | Komentářů: 4
14.2. 14:22 | Nová verze

Společnost Collabora oznámila vydání verze 4.0 online kancelářského balíku Collabora Online a také Collabora Online Development Edition (CODE) pro domácí uživatele. Kancelářský balík vychází z LibreOffice Online (cgit).

Ladislav Hagara | Komentářů: 0
14.2. 12:11 | Nová verze

Byla vydána verze 241 správce systému a služeb systemd (GitHub, NEWS). Řešeny jsou také bezpečnostní chyby.

Ladislav Hagara | Komentářů: 0
14.2. 11:44 | IT novinky

Evropský parlament, Komise a Rada (trialog) se dohodli na návrhu reformy autorského práva včetně kontroverzních článků 11 a 13. Více v příspěvku na blogu europoslankyně Julie Redy.

Ladislav Hagara | Komentářů: 12
14.2. 07:00 | Komunita

Čtenářům a čtenářkám AbcLinuxu vše nejlepší k Valentýnu aneb Dni lásky ke svobodnému softwaru (FSF, I love Free Software Day, #ilovefs).

Ladislav Hagara | Komentářů: 3
14.2. 06:00 | Zajímavý článek

Jiří Eischmann se v příspěvku Lepší zvuk přes Bluetooth na Linuxu (en) na svém blogu věnuje možnostem přenosu audia mezi linuxovým desktopem a bezdrátovými sluchátky. Zatímco „po drátě“ jde zvuk v nekomprimované podobě, Bluetooth má omezenou propustnost, a proto se musí použít nějaký kompresní kodek. Které kodeky může Linux nabídnout?

Ladislav Hagara | Komentářů: 19
13.2. 15:22 | Bezpečnostní upozornění

Správce balíčků snapd on Canonicalu obsahuje zranitelnost CVE-2019-7304 nazvanou Dirty Sock, kterou může útočník zneužít k eskalaci práv na úroveň administrátora. Ke zranitelnosti je k dispozici PoC (Proof of concept). Je zneužitelná pouze lokálně, pokud má útočník do systému přístup a týká se všech linuxových distribucí s nainstalovaným snapd (zejména distribuce Ubuntu, kde je snapd nainstalován automaticky). Snapd od verze 2.37.1 už je opraven [CSIRT.CZ].

Ladislav Hagara | Komentářů: 0
Máte v desktopovém prostředí zapnutou zvukovou znělku po přihlášení se do systému?
 (7%)
 (1%)
 (90%)
 (1%)
Celkem 324 hlasů
 Komentářů: 11, poslední 14.2. 07:59
Rozcestník

Dotaz: openvpn - náhodná (ne)propustnost

H0ax avatar 4.9.2018 19:13 H0ax | skóre: 36 | blog: Odnikud_nikam
openvpn - náhodná (ne)propustnost
Přečteno: 570×
Ahoj. Zkouším vyladit ovpn tak, aby měla co nejvyšší propustnost. Za normálních okolností má ovpn tak 1/10 pásma. Problém je, že se mi sice občas podaří saturovat 1Gbit, jde ale o to, že jen občas. Náhodně to jde a nejde.

Technická data:
- Openvpn na různých debianech, celkem 3 pc, jeden vždy stejný, dva různé konce pro porovnání
- 1Gbit mezi počítači přes internet
- tun
- spuštěno jako:
pc1 (ovpn 2.4)
openvpn --dev tun --proto udp --port 13000 --secret /etc/openvpn/ta.key --ifconfig 10.201.30.2 10.201.30.1 --cipher none --auth none --tun-mtu 48000 --fragment 0 --mssfix 0 --keepalive 2 60

pc2+3 (ovpn 2.4, 2.1) 
openvpn --dev tun --proto udp --port 13000 --secret /etc/openvpn/static.key --ifconfig 10.201.30.1 10.201.30.2 --cipher none --auth none --remote xxx --tun-mtu 48000 --fragment 0 --mssfix 0 --keepalive 2 60
S vynechanými parametry tun-mtu, fragment a mssfix to jede tou 1/10 rychlosti. Se všemi parametry dokážu dát 900Mbit přes iperf.
Problém je, že náhodně vpn nefunguje. Tun se vytvoří, ping funguje vždy, na iperfu je vidět, že jsem se připojil, ale data se nepřenesou, také pak nejde například ssh na druhý konec. Snižováním tun-mtu se snižuje saturace linky nicméně náhodná nefunkčnost trvá. Bezchybný stav je pouze bez uvedených parametrů. Zkoušel jsem i
--sndbuf 0 --rcvbuf 0
, ale nemělo to vliv. Jak je vidět, o šifrování tunelu mi nejde. Občas se stane, že druhá strana (tam kde je iperf -s) "vytuhne" a stroj není třeba minutu vůbec dostupný.

tcpdump ze stroje kde je iperf -s
19:09:19.841903 IP 10.201.30.2.45280 > 10.201.30.1.5001: Flags [S], seq 3932992529, win 43690, options [mss 47960,sackOK,TS val 203672910 ecr 0,nop,wscale 7], length 0
19:09:19.841915 IP 10.201.30.1.5001 > 10.201.30.2.45280: Flags [S.], seq 21178667, ack 3932992530, win 43690, options [mss 47960,sackOK,TS val 2230894998 ecr 203672910,nop,wscale 7], length 0
19:09:19.857015 IP 10.201.30.2.45280 > 10.201.30.1.5001: Flags [.], ack 1, win 342, options [nop,nop,TS val 203672914 ecr 2230894998], length 0
19:09:19.857266 IP 10.201.30.2.45280 > 10.201.30.1.5001: Flags [P.], seq 1:37, ack 1, win 342, options [nop,nop,TS val 203672914 ecr 2230894998], length 36
19:09:19.857281 IP 10.201.30.1.5001 > 10.201.30.2.45280: Flags [.], ack 37, win 342, options [nop,nop,TS val 2230895002 ecr 203672914], length 0
19:09:31.892563 IP 10.201.30.1.5001 > 10.201.30.2.45280: Flags [F.], seq 1, ack 37, win 342, options [nop,nop,TS val 2230898011 ecr 203672914], length 0
19:09:31.907718 IP 10.201.30.2.45280 > 10.201.30.1.5001: Flags [.], ack 2, win 342, options [nop,nop,TS val 203675927 ecr 2230898011], length 0
Předem díky za nakopnutí
LinuxWay | blog |  LiCo

Odpovědi

4.9.2018 20:40 V.
Rozbalit Rozbalit vše Re: openvpn - náhodná (ne)propustnost
Jak moc je ta vaše vpn a konektivita stabilní, nepadá něco v síti poskytovatele (třeba v MPLS)? Nebo je to fakt čistý internet, nezávislý a negarantovaný?
H0ax avatar 4.9.2018 20:50 H0ax | skóre: 36 | blog: Odnikud_nikam
Rozbalit Rozbalit vše Re: openvpn - náhodná (ne)propustnost
Řekl bych, že stabilní. PC2 je v datacentru v Německu, PC3 je v DC v ČR a PC1 je v Azure v EU. Přenosy velkých objemů bez vpn nejsou problém.
LinuxWay | blog |  LiCo
4.9.2018 22:57 PetebLazar
Rozbalit Rozbalit vše Re: openvpn - náhodná (ne)propustnost
Byl zkoušen iperf v obráceném směru (v době zámrzu)?
5.9.2018 02:07 Andrej | skóre: 46 | blog: Republic of Mordor | Zürich
Rozbalit Rozbalit vše Re: openvpn - náhodná (ne)propustnost
Ahoj. Zkouším vyladit ovpn tak, aby měla co nejvyšší propustnost.

Pak potřebuješ skutečnou VPN, nikoliv OpenVPN. Skutečná VPN se jmenuje IPSec a sada utilit a démonů pro konfiguraci se jmenuje (například) StrongSwan.

OpenVPN lidé často omylem nasazují jen podle názvu, který vyvolává mylnou představu, že jde o nějaké standardní VPN řešení. Je to ubohá jednovláknová hračka běžící v userspace.

Za normálních okolností má ovpn tak 1/10 pásma.

Tolik? To mě překvapuje. Od OpenVPN bych čekal mnohem horší "výkony". Skutečná VPN (IPSec) samozřejmě využívá všech možností kernelového síťového stacku, který je vícevláknový a který nebude mít problém saturovat třeba 10 Gb/s.

ǑǦŹǓǕǙǞǺǨȞȬḔḦḰḾṊṎṸẄẌỖ
5.9.2018 14:26 Kolemjdouci
Rozbalit Rozbalit vše Re: openvpn - náhodná (ne)propustnost

Pak potřebuješ skutečnou VPN, nikoliv OpenVPN. Skutečná VPN se jmenuje IPSec a sada utilit a démonů pro konfiguraci se jmenuje (například) StrongSwan.

Urcite mas na mysli IPsec s l2tp, ktery je podle nekterych zdroju kompromitovan NSA

OpenVPN lidé často omylem nasazují jen podle názvu, který vyvolává mylnou představu, že jde o nějaké standardní VPN řešení. Je to ubohá jednovláknová hračka běžící v userspace.

A prave proto neni tak HW narocny jako L2TP/IPsec

Tolik? To mě překvapuje. Od OpenVPN bych čekal mnohem horší "výkony". Skutečná VPN (IPSec) samozřejmě využívá všech možností kernelového síťového stacku, který je vícevláknový a který nebude mít problém saturovat třeba 10 Gb/s.

Tak to bych chtel vazne videt. Nedavno jsem testoval a nasazoval vpn - Mikrotik proti Linuxu a to jak OpenVPN tak L2TP/IPsec. Uz si napamatuju presna cisla a bohuzel jsem si je nikde nepoznacil, ale vyhral OpenVPN. I pres tcp protokol byla propustnost vyssi nez pres l2tp/ipsec.
Max avatar 5.9.2018 15:22 Max | skóre: 66 | blog: Max_Devaine
Rozbalit Rozbalit vše Re: openvpn - náhodná (ne)propustnost
L2TP už pár let postrádá smysl, když je všude funkční implementace IKEv2.
Tzn. pro klienty, ale i pro Site2site tunely jedině IKEv2. OpenVPN je pak na několika frontách v háji, protože :
  • nemá něco jako MOBIKE u IKEv2 (prostě přepínáš se z wifi na LTE a zpátky a tunel funguje dál, always on apod.)
  • není to single thread jako OpenVPN, které jde při masivních počtech spojení do kytek (příklad propojení mezi pobočkama)
  • ipsec je implementován přímo v kernelu, takže další výkonností bonus
  • OpenVPN není multiplatformní, resp. není ve spoustě věcí naimplementováno, kdežto IKEv2 funguje všude, případně fallback v podobě IKEv1+L2TP
  • ipsec dokáže tunelovat spoustu věcí/protokolů, spoustu subnetů, nebo i vlany (přes L3 jako např. VXLAN,NVGRE apod.)
ipsec/IKEv2 je ve všem lepší a openvpn v tomto kontextu vypadá jak hračka pro děti, ale zase nelze brát Andreje úplně vážně, on nepřipouští žádné kompromisy.
Já s OpenVPN pro domácí použití nemám problém, i v práci ho ještě na pár notebookářů používáme (ač chci postupně vše zmigrovat na IKEv2).

Každopádně pokud jsi dělal nějaký test, tak je docela pravděpodobný, že jsi ho dělal špatně, jelikož maximální datový tok přes tunel je nicneříkající údaj.
Zdar Max
Měl jsem sen ... :(
25.10.2018 01:57 Andrej | skóre: 46 | blog: Republic of Mordor | Zürich
Rozbalit Rozbalit vše Re: openvpn - náhodná (ne)propustnost

Sorry jako :-D, ale jestli zmiňuješ L2TP, nejspíš jsi byl cca od roku 2000 v hibernaci a teď po probuzení by bylo vhodné aktualizovat si data o IPSec protokolech. ;-) Co je mi do toho, že něco z roku 1999 bylo prý kdysi kontaminované (nejspíš ovšem pouze v Shitdows) backdoory pro NSA? Kde přesně má StrongSwan v dnešních IPSec protokolech ten backdoor pro NSA? Ten kousek (open-source) kódu bych opravdu moc rád viděl.

ǑǦŹǓǕǙǞǺǨȞȬḔḦḰḾṊṎṸẄẌỖ
5.9.2018 18:37 ewew | skóre: 37 | blog: ewewov_blog
Rozbalit Rozbalit vše Re: openvpn - náhodná (ne)propustnost

Pak potřebuješ skutečnou VPN, nikoliv OpenVPN. Skutečná VPN se jmenuje IPSec a sada utilit a démonů pro konfiguraci se jmenuje (například) StrongSwan.

Naozaj ? V podstate je to isté. Taktiež dochádza k obalovaniu paketov do ďalších hlavičiek.

OpenVPN lidé často omylem nasazují jen podle názvu, který vyvolává mylnou představu, že jde o nějaké standardní VPN řešení. Je to ubohá jednovláknová hračka běžící v userspace.

Mylna predstave je aj to, že všetko vyrieši automatika.

Tolik? To mě překvapuje. Od OpenVPN bych čekal mnohem horší "výkony". Skutečná VPN (IPSec) samozřejmě využívá všech možností kernelového síťového stacku, který je vícevláknový a který nebude mít problém saturovat třeba 10 Gb/s.

Myslím, že to pomalé len ak máš TCP v TCP. Ďalej namiesto toho aby niektoré veci bežali v ringu 3 budú bežať v ringu 0 a asi vieme si predstaviť čo to znamená.

5.9.2018 19:44 debian+
Rozbalit Rozbalit vše Re: openvpn - náhodná (ne)propustnost
Myslím, že to pomalé len ak máš TCP v TCP. Ďalej namiesto toho aby niektoré veci bežali v ringu 3 budú bežať v ringu 0 a asi vieme si predstaviť čo to znamená.
Defaulne je konfigurovane OpenVPN pouzivajuce UDP.
Jendа avatar 5.9.2018 20:47 Jendа | skóre: 75 | blog: Výlevníček | JO70FB
Rozbalit Rozbalit vše Re: openvpn - náhodná (ne)propustnost
Naozaj ? V podstate je to isté. Taktiež dochádza k obalovaniu paketov do ďalších hlavičiek.
Jenže v kernelu se pakety umí zpracovávat na více procesorech současně.
Myslím, že to pomalé len ak máš TCP v TCP.
Ne, je to pomalé jakmile to jedno vlákno neustíhá. Andrej má tentokrát pravdu.
25.10.2018 01:58 Andrej | skóre: 46 | blog: Republic of Mordor | Zürich
Rozbalit Rozbalit vše Re: openvpn - náhodná (ne)propustnost

Ale jenom tentokrát, jinak rozhodně ne. :-D :-D :-D

ǑǦŹǓǕǙǞǺǨȞȬḔḦḰḾṊṎṸẄẌỖ
25.10.2018 02:02 Andrej | skóre: 46 | blog: Republic of Mordor | Zürich
Rozbalit Rozbalit vše Re: openvpn - náhodná (ne)propustnost
Jenže v kernelu se pakety umí zpracovávat na více procesorech současně.

I v userspace. To jenom OpenVPN to zcela dobrovolně neumí. OpenVPN je pro VPN tím, čím je OpenBSD pro operační systémy: Myslí si, že 1 procesor je zkrátka dost pro všechny.

A ano, do 100 Mb/s to asi byla pravda.

ǑǦŹǓǕǙǞǺǨȞȬḔḦḰḾṊṎṸẄẌỖ
25.10.2018 03:09 xxl | skóre: 21
Rozbalit Rozbalit vše Re: openvpn - náhodná (ne)propustnost
Podle mých zcela nesystematických testů je wirequard rychlejší, než ipsec (strongSwan).

Založit nové vláknoNahoru

Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

ISSN 1214-1267   www.czech-server.cz
© 1999-2015 Nitemedia s. r. o. Všechna práva vyhrazena.