Проблемы с работой туннеля, пока не пингуешь какой нибудь яндекс. Поможете?

Question

[Евгений Воробьев]

Добрый день. Имеется сеть компании. В ней работает виртуальная машина с Debian 10 и openvpn-сервером. UDP. Наружу смотрит порт пятизначный с пробросом на эту машину.
К openvpn коннектится сотрудник. Пинг до терминала внутри сети компании через туннель скачет сильно. 50-100-400. Работать сложно порой из-за этого.
Но парадокс в том, что если начать пинговать какой нибудь яндекс (ping ya.ru -t) - туннель начинает работать хорошо и пинги стабильные очень.
Вопрос мой состоит вот в чем: это однозначно провайдер? Может быть что-то в операционной системе? У пользователя Windows 10. Провайдер beeline. IPoE.

На TCP туннель переводил, mtu менял, с шифрованием игрался.
В логах openvpn в момент когда пинги начинают скакать - "Decrypt error bad packet id" (красным цветом).

Comments

[rPman]

вы пингуете яндекс через этот туннель который лагает или напрямую?

все выглядит как косяк провайдера, в россии dpi ставят самодельный каждый провайдер как может выкручивается.

другие настройки и типы vpn пробовали? через tcp? порты до 1024? wireguard?

[Евгений Воробьев]

rPman, шифрование менял. TCP пробовал. Пингую просто через билайн (туннель дает доступ только к сетям .1.0/24, .2.0/24 корпоративным). Интернет у юзеров через дефолт гейтвей.
Вайргард нельзя (стандартизация).
Выглядит это как триггер у провайдера (о.. пакеты к яндексу/гуглу/прочей шняге - СРОЧНО УЛУЧШАЕМ СОЕДИНЕНИЕ).

[rPman]

Евгений Воробьев, тогда однозначно вам топать в поддержку к провайдеру, это их косяк.
вам еще повезло, запустил пинги и все работает

Answer 1

[Drno]

Попробуйте на tcp перейти

Comments

[Евгений Воробьев]

пробовал. Шифрование так же менял. Толку нет.

Answer 2

[ky0]

Поставьте в опенвпне кипалайв покороче с обеих сторон. UDP-сессии могут быстро закрываться при отсутствии передачи данных.

Comments

[Евгений Воробьев]

неее. Тут разговор о секундах. То есть пингую ya - пинги в туннель (до адреса в корпоративной сети) - 25-26-27 стабильно (!!!), CTRL+C в окне пинга яндекс - 3-4 секунды и пинг стал скакать зашкаливая. Снова запускаю в соседнем окне пинги - сразу же до корпоративной сети пинги нормализуются.

[Евгений Воробьев]

keepalive стоит 60.
И кстати юзеров еще 3-4 есть. У всех остальных все отлично работает (в том числе лично у меня).

[res2001]

Евгений Воробьев, у keepalive 2 параметра: https://openvpn.net/community-resources/reference-...
Второй оставьте 60, а первый можете и в 1 сек. поставить. Если эффект будет можете поиграть значением, подберете максимальное, которое будет давать нужный эффект.
На TCP переходить бесполезно - UDP лучше у них работает.
Первые ссылки в гугле по тексту ошибки:
https://www.adamintech.com/how-to-fix-aead-decrypt...
proubuntu.ru/628990/oshibka-rasshifrovki-aead-neve...

Это не похоже на злой умысел провайдера/роскомнадзора. Они вполне в состоянии отличить ВПН трафик от открытых пингов яндекса.

[Евгений Воробьев]

res2001, оба варианта по ссылкам пробовал.
keepalive ТОЧНО не причем. У минимум 5 человек все идеально при ТЕХ же настройках. Причем сертификат с профилем чужой использовал - бесполезно.

[ky0]

Евгений Воробьев, ну, вы же понимаете, что протухание UDP-сессий - это сугубо на провайдерской совести? Где-то они могут висеть и по пять, и по десять минут - а у какого-нибудь мобильного оператора мало того, что через 10 секунд неактивности всё отвалится, так потом ещё и IP-адрес будет другой.

[Евгений Воробьев]

ky0, почему при пинге яндекса того же становится все норм?

[res2001]

Евгений Воробьев,

оба варианта по ссылкам пробовал.

Какие конкретно значения mtu и mssfix вы выставляли?
Вы тестировали реальный MTU, как показано в первой ссылке?

Причем сертификат с профилем чужой использовал

Сертификат тут точно не при делах

почему при пинге яндекса того же становится все норм?

Это, конечно, странно. Лечебные пинги яндекса запускаете с клиента или сервера?

[Евгений Воробьев]

res2001,
mssfix от 1400 до 1200 пробовал разные.
MTU реальный 1472. Пробовал разные вплоть до 1200 опускал.

Пинги запускают ОТ КЛИЕНТА через ЕГО ИНТЕРНЕТ.
То есть:
"пингую внутренний IP фирмы = пинги большие" ... начинаю ПАРАЛЛЕЛЬНО пинговать ya.ru через гейтвей провадера (не связано с VPN никак) - и пинги В ТУННЕЛЕ становятся идеальными. Прекращаю пинговать - через 2-3 сек снова через туннель пинги становятся хаотично большими.

Это пинг внутренней сетки фирмы БЕЗ запущенного пинга до яндекса:


Слева запускаю пинг ya.ru:


Смотрим на правое окно с пингом терминального сервера в сетке фирмы через OpenVPN)

[res2001]

Посмотрите traceroute до сервера, до яндекса без пингов. И то же самое с пингами. Сравните.
Предполагаю, что с появлением пакетов до яндекса провайдер направляет ваш трафик другим маршрутом.

[Евгений Воробьев]

res2001, ну да, логично что это надо сделать. Кстати "яндекс" как пример. Пинги до гугла, до какого нибудь 3dnews.ru тоже прокатывают. До 8.8.8.8 опять же