[MASOCH-L] Openvpn lenta

Welkson Renny de Medeiros welkson at focusautomacao.com.br
Thu Dec 17 11:51:33 -03 2009 

Fabio Catunda escreveu:
> Rejaine,
>
> Não são todos meus usuários que estão usando a VPN, o problema é que 
> tem gente demais num link muito pequeno, acho que é por isso que a VPN 
> fica caindo toda hora.
>
> Eu até teria como fazer controle de tráfego na saída, mas controle na 
> entrada é algo curioso para se discutir. Ainda não testei, mas acho 
> que daria o mesmo problema que já tenho.
>
> A banda é bem gerenciada, os usuário reclamam mas todo mundo consegue 
> trabalhar, mas ainda assim acho que fica muito pouca banda disponível 
> para o OpenVPN.
>
> Enquanto escrevia este e-mail tive a idéia de dar uma olhada na 
> quantidade de retrans que estou tendo no servidor de VPN, dá pra ver o 
> motivo da VPN cair toda hora, hehe, o número de ocorrências é muito 
> superior ao normal.
>
> Continuei testando o OpenVPN com TCP hoje, me parece que o que está 
> escrito na página do man é bem verdade, o resultado tem sido pior do 
> que com UDP.
>
> Grato,
>
> Catunda.

Só uma correção que lembrei:

O que me fez migrar para TCP não foi questão de QUEDA, e sim uma falha 
que existe no route-to do firewall PF (FreeBSD)! Tentei usar 2 links 
(redundância) na minha vpn, e quando fiz a regra para UDP não 
funcionava... procurei na internet e vi alguém falando sobre a falha, 
apenas mudei o protocolo para TCP, mudei no firewall, e funciona até 
hoje... quando um link cai, o client tem uma configuração que procura 
por OUTRO link.

Realmente acredito que o desempenho com TCP deve cair um pouco, tem a 
questão da checagem do pacote, etc... coisa que UDP não faz. Pra mim tem 
atendido com TCP, mas realmente o desempenho com UDP é melhor.

Nesse seu caso com certeza é algum client da VPN que está 
sobrecarregando o link, você vai ter que aplicar um QoS...

Uma outra opção é incluir na configuração do client da VPN um parâmetro 
de controle de banda:

(...)
local 192.168.0.150
remote feilner-it.net
remote ultrino.de
remote openvpn.dyndns.org
remote-random
float
resolv-retry 86400
proto tcp-client
lport 22222
rport 22223
connect-retry 86400
shaper 10000 <----- em BYTES por segundo, somente saída (out)

Abraço,

-- 
Welkson Renny de Medeiros
Desenvolvimento / Gerência de Redes
Focus Automação Comercial
FreeBSD Community Member

More information about the masoch-l mailing list