Ответы пользователя по тегу VPN
  • Высокие потери пакетов на маршруте через магистральные узлы (twelve99) — как устранить проблему?

    @asmelnik
    Дабы "железо" не убивали ДДОС-ом icmp, есть обычная практика -- на магистральном железе резать icmp полисером.
    Т.к. на конечном узле потерь нет, есть высокая вероятность того, что промежуточные вам просто не отвечают в должном объеме.

    Подробности описывать -- трактат наваять надо.
    В двух словах -- icmp запрос магистральному маршрутизатору напрягает CPU, а транзитный трафик обрабатывают отдельные ASIC-и в объемах на порядки выше, чем это делает CPU. Поэтому icmp ограничивают.

    Проверяйте iperf -ом например связь точка-точка.
    И поиграйтесь с размерами пакетов.
    Ответ написан
    Комментировать
  • Как настроить OpenVPN для 1 устройства?

    @asmelnik
    Средствами только OpenVPN эта задача НЕ РЕШАЕМА! Совсем. Никак.
    Эта задача решается использованием фичи "маршрутизация по source адресу" (обычная - только по destination) на роутере и от openVPN не зависит.

    Если ваш роутер такое умеет -- теоретически у вас может получиться.
    Ответ написан
    Комментировать
  • Можно ли настроить wireguard для маршрутизации по определенным доменным именам?

    @asmelnik
    "В лоб" - нет.
    С костылями (может самодельными, может "чужими") и для относительно небольшого количества узлов - технически да.
    Дело в том, что на DNS запрос по имени вы можете получить или алрес, или несколько адресов, или насколько адресов IPv4+IPv6, или псевдоним.
    И вам надо будет сценарий, который правильно разберет это все и запишет в систему правильные маршруты.
    Кроме того, т.к. DNS оперирует понятием "адрес" , а маршрутизация "подсеть", и для каждого имени будет создаваться от 1 до N маршрутов.
    Кроме того сейчасто часто используются "служебные" домены,
    Например при обращении к exs.com картинки могут грузиться с img.exs.com, а некоторые данные с api.exs.com ит.д.
    И такую ситуацию вы нормально автоматически не отловите.
    Ответ написан
    Комментировать
  • Какое нужно оборудование для объединение трёх локальных сетей в одну с выводом трансляции IP- камер на рабочее место?

    @asmelnik
    Сколько камер надо "прокинуть" в третью сеть? При потоке до 10-15 тыс пакетов/сек. (не путать с мегабитами):
    Концептуально -- wireguard или OpenVPN на белом IP, можно вообще без участия роутера непосредственно в VPN-е, на сервере все организовать.
    "Чистый" IPsec - не ваш вариант скорее всего, там придется связку из 2-х протоколов накручивать.

    Какой-то роутер "на сейчас" у вас там скорее всего есть, а порты пробрасывать умеют нынче даже "мыльницы", что хорошо для OpenVPN/wireguard, т.к. IPSec -- (если мне память не изменяет) НЕ tcp и НЕ
    udp, через NAT работать может, но с оговорками.

    И 50К - это на все 3 точки или по 50К на каждую?
    Наилучшее соотношение цена-возможности у железок с перепрошивкой на OpenWRT, но тут вопрос в сопровождении, решение не типовое.

    кинетики-микротики в теории дороже обойдутся, проще сопровождать, вроде как, но можно упереться в некие концептуальные ограничения.
    Пару лет назад так и удалось по OpenVPN подружить 2 микротика и диагностика была сильно творческим занятием.
    Ответ написан
  • Как мне транслировать трафик сети на другой пк?

    @asmelnik
    На работе мой пк подключен к датчику через патчкорд. Адрес пк в сети 10.49.210.30, маска 255.255.0.0. Сам датчик пингуется по адресу 10.49.23.1

    Решение 1.
    а) На датчике должен быть прописан "шлюз" для сети 10.7.0.0/24 (или шлюз по умолчанию), и этот "шлюз" должен быть ваш рабочий ПК 10.49.210.30. (без этого никак)
    б) На рабочем ПК разрешить маршрутизацию IP пакетов (как-то такhttps://remont-comp-pomosh.ru/otvet_mastera/vopros-otvet/v... )
    в)
    На рабочем пк интерфейс с адресом 10.7.0.2 и я установил разрешенные адреса только 10.7.0.0/24,
    это ошибка, убрать. Вам с домашнего ПК на этот интерфейс будут приходить пакеты для датчика с ip 10.49.23.1, а вы их запретили.
    г)
    На рабочем пк route add 10.49.23.0 mask 255.255.255.0 10.7.0.3
    УБРАТЬ
    На Домашнем ПК "route add 10.49.0.0 mask 255.255.0.0 10.7.0.2"
    Маршрутизация работает только по адресу назначения, а не по источнику (по источнику тоже можно, но это явно не ваш уровень)
    Когда с Домашнего ПК начнет пинговаться ip 10.49.210.30 (рабочего ПК) тогда можно продолжить искать что не так.

    Решение 2:
    a)
    На рабочем пк route add 10.49.23.0 mask 255.255.255.0 10.7.0.3
    УБРАТЬ
    На Домашнем ПК "route add 10.49.0.0 mask 255.255.0.0 10.7.0.2"
    Маршрутизация работает только по адресу назначения, а не по источнику (по источнику тоже можно, но это явно не ваш уровень)
    Когда с Домашнего ПК начнет пинговаться ip 10.49.210.30 (рабочего ПК)
    б) На рабочем ПК разрешить маршрутизацию IP пакетов (как-то такhttps://remont-comp-pomosh.ru/otvet_mastera/vopros-otvet/v... )
    в) на рабочем ПК настраиваем NAT на интерфейсе с 10.49.210.30
    https://pc.ru/articles/internet-connection-sharing раздел "Настройка шлюза"

    Решение 3:
    Выяснить какие TCP и UDP порты вам реально нужны для датчика (ping не нужен)
    и пробросить порты на рабочем ПК.
    т.е. будете вы обращаться к датчику по ip 10.7.0.2,
    как пример
    https://winitpro.ru/index.php/2014/12/23/nastrojka...
    Ответ написан
    2 комментария
  • Не могу понять почему ikev2 на роутере keenetic постоянно рвется?

    @asmelnik
    [I] Dec 12 09:05:29 ipsec: 10[CFG] selected proposal: ESP:AES_CBC=128/HMAC_SHA1_96/NO_EXT_SEQ
    [I] Dec 12 09:05:29 ipsec: 10[IKE] inbound CHILD_SA VirtualIPServerIKE2{129} established with SPIs c77a5cd1_i ceba567a_o and TS 0.0.0.0/0 === 192.168.20.7/32
    [W] Dec 12 09:05:29 ndm: IpSec::CryptoMapInfo: "VirtualIPServerIKE2": crypto map remote client "timerman" @ "192.168.12.98" from "94.73.250.34" disconnected.
    [W] Dec 12 09:05:29 ndm: IpSec::CryptoMapInfo: "VirtualIPServerIKE2": crypto map is up: remote client "timerman" @ "192.168.12.98" with IP "192.168.20.7" connected.

    И что тут не понятно???
    Клиент ходил с одного IP "94.73.250.34", и вдруг решил заглянуть с "192.168.20.7".
    Естественно все переинициализировалось.

    Ищите почему ваши клиенты прыгают по IP как зайцы.

    Кстати, если "192.168.20.7" -- IP "внутри" туннеля, то вы трафик туннельный "заворачиваете" опять же в туннель.
    А Бутылка клейна в сетях плохой вариант.
    Ответ написан
    8 комментариев