[Berlin-wireless] Paketverluste im Tunnel

Philipp Borgers borgers
So Jun 14 23:38:46 CEST 2015 

Es ist keine gute Idee auf TCP umzusteigen! Ev. erklärt der folgenden Link
warum:

http://sites.inka.de/bigred/devel/tcp-tcp.html

Langfristig würde ich TCP auf den Server gerne abschalten...

On Sun, Jun 14, 2015 at 11:24:28PM +0200, Marc Kura wrote:
> Hallo zusammen,
> 
> Ich habe hier einen VDSL-Anschluss mit einem WDR3500 unter Kathleen
> 0.1.1 (die Ergebnisse mit 0.1.0 waren gleich) dahinter.
> 
> Im Grunde genommen funktioniert alles, nur ist die Internetverbindung
> manchmal extrem langsam.
> 
> Beim Debuggen habe ich festgestellt, dass im Tunnel immer wieder dann
> Paketverluste sind, wenn die Probleme auftreten. Die normale
> Internetverbindung über die Fritzbox funktioniert einwandfrei.
> Paketverluste vom WDR ins Internet treten nicht auf, nur der Tunnel ist
> davon betroffen.
> 
> root at 10-230-96-1:/etc/config# ping -Iffvpn 172.31.240.1
> PING 172.31.240.1 (172.31.240.1): 56 data bytes
> 64 bytes from 172.31.240.1: seq=1 ttl=64 time=33.594 ms
> [...]
> ^C
> --- 172.31.240.1 ping statistics ---
> 366 packets transmitted, 354 packets received, 3% packet loss
> round-trip min/avg/max = 17.951/25.516/173.580 ms

Es gibt auch keine Paketverluste vom WDR zur öffentlichen IP des VPN-Servers?

Was sagt denn ein traceroute? Wo verlieren wir die Päckchen?

> Die openvpn-Config ist Standard:
> config openvpn 'ffvpn'
>         option client '1'
>         option nobind '1'
>         option dev 'ffvpn'
>         option dev_type 'tun'
>         option persist_key '1'
>         option keepalive '10 60'
>         option ns_cert_type 'server'
>         option comp_lzo 'no'

Du musst die Kompression einschalten, wenn du TCP verwenden willst.

>         option script_security '2'
>         option cipher 'none'

Und einen passend Cipher (AES-256-CBC) wählen.

>         option status '/var/log/openvpn-status-ffvpn.log'
>         option up '/etc/openvpn/ffvpn-up.sh'
>         option route_nopull '1'
>         option enabled '1'
>         option proto 'udp'
>         option remote 'vpn03.berlin.freifunk.net 1194 udp'
>         option ca '/lib/uci/upload/cbid.openvpn.ffvpn.ca'
>         option cert '/lib/uci/upload/cbid.openvpn.ffvpn.cert'
>         option key '/lib/uci/upload/cbid.openvpn.ffvpn.key'
> 
> Die TCP-Config funktioniert irgendwie gar nicht (es kommt lt. logread
> keine Verbindung zu Stande). In den Beispielen ist noch der
> Backup-Server vpn03-backup.berlin.freifunk.net erwähnt, der reagiert
> aber irgendwie weder auf TCP noch UDP-Tunnel. Eine Änderung dediziert
> auf den 03a oder 03b ergibt auch keine Änderung.

Der Backup-Server funktioniert nur, wenn vpn03{a,b,c} ausfallen.

> Hat jemand eine Idee, woran das liegen könnte? Gibts evtl. noch andere,
> die davon betroffen sind?
> 
> Für eine TCP-Verbindung müssen lt. den Beispielen diese beiden Zeilen
> geändert werden:
>         option proto 'udp'
>         option remote 'vpn03.berlin.freifunk.net 1194 udp
> Und danach ein /etc/init.d/openvpn restart
> Leider funktioniert dies nicht, lt. Log bleibt openvpn beim
> Verbindungsaufbau stehen. Habe ich etwas übersehen?
> 
> 
> Verzweifelnd,
> Marc
> 
> _______________________________________________
> Berlin mailing list
> Berlin at berlin.freifunk.net
> http://lists.berlin.freifunk.net/cgi-bin/mailman/listinfo/berlin
-------------- nächster Teil --------------
Ein Dateianhang mit Binärdaten wurde abgetrennt...
Dateiname   : nicht verfügbar
Dateityp    : application/pgp-signature
Dateigröße  : 819 bytes
Beschreibung: nicht verfügbar
URL         : <http://lists.berlin.freifunk.net/pipermail/berlin/attachments/20150614/a7fc5959/attachment.pgp>

Mehr Informationen über die Mailingliste Berlin