Indice del forum www.zeroshell.net
Distribuzione Linux ZeroShell
 
 FAQFAQ   CercaCerca  GruppiGruppi   RegistratiRegistrati 
 ProfiloProfilo  Log inLog in   Messaggi privatiMessaggi privati 

Connessione Vpn molto instabile

 
Nuovo argomento   Rispondi    Indice del forum -> Reti
Precedente :: Successivo  
Autore Messaggio
giuseppe



Registrato: 12/12/08 10:09
Messaggi: 96

MessaggioInviato: Gio Apr 16, 2009 3:50 pm    Oggetto: Connessione Vpn molto instabile Rispondi citando

Salve a tutti,
ho configurato OpenVpn seguendo al documentazione nel sito per accedere da remoto con alcuni client Windows xp. Ho notato una cosa molto molto strana, la connessione è instabile ogni 4-5 minuti si disconnette e poi si riconnette in automatico.

L'unica cosa che ho aggiunto rispetto alla configurazione indicata nel documento è il source nat con due subnet.
C'e' qualche indicazione in merito?

Ciao
Top
Profilo Invia messaggio privato
giuseppe



Registrato: 12/12/08 10:09
Messaggi: 96

MessaggioInviato: Gio Apr 16, 2009 8:14 pm    Oggetto: Rispondi citando

Salve a tutti, posso aggiungere che sul sistema è avviato il proxy in content filtering e l'antivirus su http.
Tutto su alix 2d3
Ciao
Top
Profilo Invia messaggio privato
martino87r



Registrato: 22/06/08 22:44
Messaggi: 67

MessaggioInviato: Ven Apr 17, 2009 1:05 pm    Oggetto: Rispondi citando

Ciao, potresti postare i log di OpenVPN (Server e Client)?

Non credo che il Natting abbia molto a che fare con l'instabilita'...
Al massimo direi che se usi UDP questo potrebbe essere il problema... Ma di default ZS usa connessioni TCP... Quindi non saprei...
Top
Profilo Invia messaggio privato
giuseppe



Registrato: 12/12/08 10:09
Messaggi: 96

MessaggioInviato: Ven Apr 17, 2009 9:35 pm    Oggetto: Rispondi citando

CIao Grazie per la risposta,
questi i log dopo la disconnessione del Server:

22:30:08 Utente/81.125.168.197:11153 [Utente] Inactivity timeout (--ping-restart), restarting

e del Client:

Fri Apr 17 22:28:30 2009 Connection reset, restarting [-1]
Fri Apr 17 22:28:30 2009 TCP/UDP: Closing socket
Fri Apr 17 22:28:30 2009 SIGUSR1[soft,connection-reset] received, process restarting
Fri Apr 17 22:28:30 2009 Restart pause, 5 second(s)
Fri Apr 17 22:28:35 2009 WARNING: No server certificate verification method has been enabled. See http://openvpn.net/howto.html#mitm for more info.
Fri Apr 17 22:28:35 2009 NOTE: OpenVPN 2.1 requires '--script-security 2' or higher to call user-defined scripts or executable

Adesso provo a modificare in Udp.

ciao
Top
Profilo Invia messaggio privato
martino87r



Registrato: 22/06/08 22:44
Messaggi: 67

MessaggioInviato: Ven Apr 17, 2009 10:32 pm    Oggetto: Rispondi citando

Prova a modificare nelle opzioni server di OpenVPN il valore:

keepalive 10 60

(che significa - ping ogni 10 secondi e in caso di non risposta disconnetti entro 60 secondi)

Come valore di test prova a mettere il seguente

keepalive 10 600

Cosi se un ping di verifica non viene risposto, il client ha 10 minuti prima di essere disconnesso...
Top
Profilo Invia messaggio privato
giuseppe



Registrato: 12/12/08 10:09
Messaggi: 96

MessaggioInviato: Sab Apr 18, 2009 11:43 am    Oggetto: Rispondi citando

CIao Grazie per la risposta,
Ho provato ad utilizzare il protocollo UDP, ma il risuptato è peggiore, la disconnessione avviene ancora prima, inutilizzabile.

Per quanto riguarda il parametro Keepalive, potresti essere più preciso? dove va immesso? in ZS o nella configurazione del client?
CIao
Top
Profilo Invia messaggio privato
giuseppe



Registrato: 12/12/08 10:09
Messaggi: 96

MessaggioInviato: Dom Apr 19, 2009 9:20 am    Oggetto: Rispondi citando

Salve a tutti,
ma c'e' qualcuno che utilizza una alix 2d3 con la Cf da 1Gb ed i seguenti servizi attivi:
1) il balance attivo per due adsl,
2)il proxy il content Filtering/Antivirus Http
3) OpenVpn Server.

Riguardo OpenVpn VI funziona alla perfezione? Io continuo ad avere problemi, la connessione cade continuamente.

CIao
Top
Profilo Invia messaggio privato
martino87r



Registrato: 22/06/08 22:44
Messaggi: 67

MessaggioInviato: Dom Apr 19, 2009 5:27 pm    Oggetto: Rispondi citando

Si scusami, il parametro puoi inserirlo dall'interfaccia web (nella voce VPN).
C'e' uno spazio (casella di testo) con scritto Command Line Parameters, aggiungici questo:

--keepalive 20 600
Top
Profilo Invia messaggio privato
giuseppe



Registrato: 12/12/08 10:09
Messaggi: 96

MessaggioInviato: Mar Apr 21, 2009 12:45 pm    Oggetto: Rispondi citando

Ragazzi, mi dispiace ma le modifiche al keep alive non hanno sortito l'effetto sperato.
Mi date qualche info?
possibile che la vpn non funzona bene?

Ciao
Top
Profilo Invia messaggio privato
Arioch



Registrato: 22/07/08 14:33
Messaggi: 38

MessaggioInviato: Mar Apr 21, 2009 1:32 pm    Oggetto: Rispondi citando

Io ho 3 sedi con vpn host-to-lan attive, su tutte 2 adsl e il net balance attivo, e proprio per il net balance ho dovuto fre il bind della connessione tramite una sola adsl, quindi credo tu debba forzare il traffico in ingresso sulla porta della vpn su di un solo gateway.
Top
Profilo Invia messaggio privato
giuseppe



Registrato: 12/12/08 10:09
Messaggi: 96

MessaggioInviato: Mar Apr 21, 2009 1:36 pm    Oggetto: Rispondi citando

Ciao Arioch,
scusami non ho ben capito a cosa ti riferisci. Cmq in ingresso i client puntano sempre allo stesso ip ed alla stessa adsl. che significa "e proprio per il net balance ho dovuto fre il bind della connessione tramite una sola adsl, quindi credo tu debba forzare il traffico in ingresso sulla porta della vpn su di un solo gateway."

Grazie
Top
Profilo Invia messaggio privato
Arioch



Registrato: 22/07/08 14:33
Messaggi: 38

MessaggioInviato: Mar Apr 21, 2009 3:28 pm    Oggetto: Rispondi citando

Io ho messo una regola nelle balancing rules, in cui alla porta xxxx che ho assegnato alla vpn sia in ingresso che in uscita i pacchetti devono usare il gateway impostato e non in "auto".
Sennò succede che alla connessione iniziale i pacchetti vadano avanti e indietro sullo stesso gw, ma poi ti ritrovi che escono dall'altro rispetto a quello da cui sono entrati,e allora il client prede la connessione.
Top
Profilo Invia messaggio privato
giuseppe



Registrato: 12/12/08 10:09
Messaggi: 96

MessaggioInviato: Mar Apr 21, 2009 3:57 pm    Oggetto: Rispondi citando

Ciao Grazie per la Tua risposta, efettivamente la cosa potrebbe essere logica.

Mi aiuteresti a creare una regola nel Balancing Rules?
la scheda di rete esterna di zs che accetta la connessone sulla porta 1194 TCP è la eth1.
A questo punto dovrei creare una regola del genere:
ETH01 * MARK tcp opt -- in ETH01 out * 0.0.0.0/0 -> 0.0.0.0/0 tcp dpt:1194 MARK set 0x64

Giusto??

la regola è unica!!!
Top
Profilo Invia messaggio privato
Arioch



Registrato: 22/07/08 14:33
Messaggi: 38

MessaggioInviato: Mer Apr 22, 2009 11:28 am    Oggetto: Rispondi citando

Si mi sembra corretta, ti copio la mia cosi verifichi, tieni conto che io non l'ho fatta sull'interfaccia ma sul gateway.

MARK tcp opt -- in * out * 0.0.0.0/0 -> 0.0.0.0/0 tcp spt:xxxx(porta VPN) MARK set 0x65

Io non ho posto limiti sull'ip entrante, perchè i collegamenti da casa di solito hanno ip dinamici.
Se sai quali IP entrano puoi farli sul singolo.
Top
Profilo Invia messaggio privato
giuseppe



Registrato: 12/12/08 10:09
Messaggi: 96

MessaggioInviato: Gio Apr 23, 2009 1:34 pm    Oggetto: Rispondi citando

Grazie Arioch,
con il TUo aiuto, pare funzionare bene la vpn.
Ti aggiorno .
Grazie
Top
Profilo Invia messaggio privato
giuseppe



Registrato: 12/12/08 10:09
Messaggi: 96

MessaggioInviato: Ven Apr 24, 2009 5:54 pm    Oggetto: Problema Risolto Rispondi citando

Confermo in pieno,
il problema è stato risolto,
Grazie
Top
Profilo Invia messaggio privato
alexfr



Registrato: 30/09/11 13:35
Messaggi: 20

MessaggioInviato: Ven Giu 29, 2012 5:37 pm    Oggetto: Rispondi citando

martino87r ha scritto:
Si scusami, il parametro puoi inserirlo dall'interfaccia web (nella voce VPN).
C'e' uno spazio (casella di testo) con scritto Command Line Parameters, aggiungici questo:

--keepalive 20 600


Ciao, ho fatto anche io questa modifica dall'interfaccia Web.
Pero' se lancio dalla shell un

ps -ef |grep openvpn

vedo che lo script mantiene due parametri di keepalive:

-keepalive 1 11 --script-security 3 --management 127.0.0.1 34000 --daemon VPN00_L2L -ping 41 --keepalive 10 600

quale dei due viene preso in considerazione?
Grazie
Ale
Top
Profilo Invia messaggio privato
Mostra prima i messaggi di:   
Nuovo argomento   Rispondi    Indice del forum -> Reti Tutti i fusi orari sono GMT + 1 ora
Pagina 1 di 1

 
Vai a:  
Non puoi inserire nuovi argomenti
Non puoi rispondere a nessun argomento
Non puoi modificare i tuoi messaggi
Non puoi cancellare i tuoi messaggi
Non puoi votare nei sondaggi


Powered by phpBB © 2001, 2005 phpBB Group
phpbb.it