Πρόβλημα Cyta & Openvpn over udp

[shownyourtrueself]

Γεια σας ..

Εδω και 3 εβδομαδες εχω βαλει cyta και αντιμετωπιζω προβλημα με το openvpn,να μπω απεθειας στο θεμα λοιπον..
Τρεχω λοιπον σε ενα linux pc openvpn server,το δουλευω αρκετα χρονια με 8 clients(Η clients εχουν διαφορους ISP) χωρις κανενα προβλημα,βαζοντας cyta ομως ενω κανω connect στον server περω ip κτλ μπενω π.χ με ssh κανονικα στον server μεσω vpn και την ωρα που παω να πληκτρολογησω καποια εντολη στην κονσολα παγωνει και τελος..η αν παω να ανοιξω απο web browser τον web server που εχω σηκωμενο στον ιδιο server παει να φορτωσει αλλα ποτε δεν φορτωνει..αυτο συμβαινει μονο μεσω cyta,με το ιδιο laptop μεσω αλλου παρχου ολα δουλευουν τελεια(ακομη και μεσω 3g εχω δοκιμασει).

Εχει κανεις αντιστοιχη εμπειρια η καποια λυση ?

Φυσικα εχω μιλησει με το τεχνικο τμημα της cyta αλλα δεν λενε να καταλαβουν..περιγραφω το προβλημα και αυτοι λενε για port forward κτλ..τρεις λαλουν και δυο χορευουν..

ευχαριστω..

[elsar]

Ενεργοποίησε την επιλογή DMZ (κατηγορία firewall) στο ρούτερ κ κάνε αποθήκευση. Λογικά πρέπει να παίξει μόνο με αυτό.
Κοίτα και λίγο τις αντιστοιχίες στον πίνακα NAT, νομίζω θα βρεις που κολλούσε το πράμα.

http://www.adslgr.com/forum/showthread.php?p=4200836

[silegav]

Μια μικρή διευκρίνηση, πιο πολύ για σιγουριά ότι έχουμε καταλάβει καλά, όταν λες ότι μπαίνεις στο server, εννοείς ότι βάζεις username/pass, σωστά; Γιατί αν απλά ανοίγει μια μαύρη οθόνη και δε σε κάνει prompt for credentials, δεν έχεις συνδεθεί, οπότε όντως πρέπει να δεις τις πόρτες και αν πράγματι μιλάς με τον server που πας να συνδεθείς.

[shownyourtrueself]

Ενεργοποίησε την επιλογή DMZ (κατηγορία firewall) στο ρούτερ κ κάνε αποθήκευση. Λογικά πρέπει να παίξει μόνο με αυτό.
Κοίτα και λίγο τις αντιστοιχίες στον πίνακα NAT, νομίζω θα βρεις που κολλούσε το πράμα.

http://www.adslgr.com/forum/showthread.php?p=4200836

Εχω δοκιμασει και με dmz αλλα και παλι τιποτα ..

........Auto merged post: shownyourtrueself πρόσθεσε 5 λεπτά και 12 δευτερόλεπτα αργότερα ........

Μια μικρή διευκρίνηση, πιο πολύ για σιγουριά ότι έχουμε καταλάβει καλά, όταν λες ότι μπαίνεις στο server, εννοείς ότι βάζεις username/pass, σωστά; Γιατί αν απλά ανοίγει μια μαύρη οθόνη και δε σε κάνει prompt for credentials, δεν έχεις συνδεθεί, οπότε όντως πρέπει να δεις τις πόρτες και αν πράγματι μιλάς με τον server που πας να συνδεθείς.

Ναι κανει κανονικα login..οταν παω να γραψω π.χ ifconfig,ps η οτιδηποτε αλλο κανω και πατησω enter..τελος ! δεν μπορει να ειναι θεμα port απο την στιγμη που κανω connect και περνω vpn ip ...μου φαινεται πολυ περιεργο, υπαρχει περιπτωση να παει κατι στραβα με το udp στην cyta ??

p.s: Eνας φιλος με το ιδιο προβλημα γυρισε τον σερβερ σε TCP και δουλευει κανονικα ..εγω δεν εχω αυτην την δυνατοτητα γιατι απαιτεi αλλαγη και σε ολους τους clients ..

[cajoline]

Παλιότερα στη NetOne είχα αντιμετωπίσει ακριβώς αυτό το πρόβλημα. Ψάχνοντας διαπίστωσα ότι είχα μικρότερο MTU, 1452 αντί 1492 bytes ως συνήθως στο PPPoE. Η εξήγηση του προβλήματος με το OpenVPN ήταν ότι το CPE (ST780wl) έκανε μεν TCP MSS clamping, παράλληλα με το ΝΑΤ, ως είθισται, έτσι το μειωμένο MTU συνήθως δε γινόταν αντιληπτό, π.χ. κατά το σερφάρισμα στο web. Στο OpenVPN όμως, πακέτα TCP που στέλνονται μέσα στο tunnel τελικά ενθυλακώνονται σε πακέτα UDP, για τα οποία δεν υπήρχε μηχανισμός αντίστοιχος με το MSS clamping. Επίσης ο OpenVPN client (σε MacOS 10.5) δεν έκανε path MTU discovery. Έτσι παρουσιάζονταν συμπτώματα παρόμοια με αυτά που προαναφέρθηκαν: ανοίγοντας ένα ssh και εκτελώντας ls -lR / σχεδόν αμέσως κόλλαγε το session.

Στη NetOne είχα βρει το πραγματικό MTU κάνοντας ping/traceroute με πακέτα μεγάλου μεγέθους και DF (don't fragment) bit set, από μέσα (πίσω από το CPE) προς τα έξω και ανάποδα. Προχθές που συνδέθηκα στην Cyta με το Thomson TG782 (καινούρια σύνδεση) προσπάθησα να κάνω τους ίδιους ελέγχους, αλλά διαπίστωσα ότι by default, με το provisioned configuration της Cyta, υπάρχει ενεργοποιημένο firewall που κόβει α) από έξω προς τη διεύθυνση του PPP πρακτικά τα πάντα (icmp, udp, tcp) και β) από μέσα προς τα έξω πακέτα ICMP μεγαλύτερα από 512 bytes.

Από το CLI απενεργοποίησα το firewall (firewall config state disabled) και έτσι μπόρεσα να κάνω ping από έξω στο PPP με πακέτα μεγέθους μέχρι 1462 bytes.. Προσοχή όμως, με απενεργοποιημένο το firewall είναι προσβάσιμο από το internet τα CLI και web interface του TG782. Για τον άλλο περιορισμό (icmp > 512 bytes) δε βρήκα κάτι.

$ ping -M do -s 1434 xxx.dynamic.cyta.gr
PING xxx.dynamic.cyta.gr (178.59.xxx.xxx) 1434(1462) bytes of data.
1442 bytes from 178.59.xxx.xxx: icmp_seq=1 ttl=58 time=40.0 ms

$ ping -M do -s 1435 xxx.dynamic.cyta.gr
PING xxx.dynamic.cyta.gr (178.59.xxx.xxx) 1435(1463) bytes of data.
From 78.87.2.218 icmp_seq=10 Frag needed and DF set (mtu = 1462)

Από τα παραπάνω το MTU φαίνεται να είναι περιορισμένο στα 1462 bytes. Επίσης σαφής ένδειξη είναι το TCP MSS, μετά το clamping. Όπως φαίνεται στο http://www.speedguide.net/analyzer.php είναι 1411 bytes, από το οποίο προκύπτει ότι η Cyta το έχει ρυθμίσει για MTU 1451 bytes, ακόμα μικρότερο από το τρέχον.

Παρόλα αυτά εγώ δεν αντιμετωπίζω πρόβλημα με το OpenVPN, μάλλον γιατί, σε αντίθεση με το παρελθόν, δουλεύει το path MTU discovery στο setup μου. Αν κάτι τέτοιο δε συνέβαινε πάντως, είμαι σίγουρος ότι θα υπήρχε το ίδιο πρόβλημα. Το workaround που είχα εφαρμόσει παλιότερα, αντιμετωπίζοντας εν μέρει το πρόβλημα χωρίς να πειράξω το server configuration, ήταν να προσθέσω στο client configuration την παράμετρο "fragment 1452" (υπάρχει και το mssfix αλλά έπρεπε να προστεθεί και στο server).

Γενικότερα πιστεύω ότι το περιορισμένο MTU είναι σοβαρό θέμα, δύσκολο όμως να αντιμετωπιστεί γιατί συνδέεται με την τοπολογία του δικτύου του παρόχου, ιδίως το transport που χρησιμοποιείται για το backhauling των DSLAMs μέχρι τον LNS.

Αυτό το φαινόμενο λογικά θα παρατηρείται στους περισσότερους συνδρομητές Cyta, τουλάχιστον στην Αθήνα, ωστόσο θα είχε ενδιαφέρον να δούμε αν υπάρχουν εξαιρέσεις.

[shownyourtrueself]

Πως θα αναιβασω το mtu ? στο ρουτερ μέγιστη τιμή έχει 1492.. κάνοντας το τεστ στο site που έδωσες βγαζει :


MTU = 1451
MTU is not fully optimized for broadband. Consider increasing your MTU to 1500 for better throughput. If you are using a router, it could be limiting your MTU regardless of Registry settings.



MSS = 1411
MSS is not optimized for broadband. Consider increasing your MTU value.

[cajoline]

Δε νομίζω ότι έχεις πρόσβαση στο router να αλλάξεις το MTU στο PPP interface, τουλάχιστον όχι στο TG782.

Σύμφωνα με τα αποτελέσματα του test, το MSS clamping φαίνεται να έχει οριστεί στα ίδια με αυτά που έγραψα νωρίτερα.

Μπορείς να βρεις το actual MTU πάντως χωρίς να απενεργοποιήσεις το firewall κ.λπ, στέλνοντας απλά μεγάλα πακέτα UDP με DF set:

$ traceroute -F www.cyta.gr 1500

traceroute to dias1.cyta.gr (78.87.0.8), 64 hops max, 1500 byte packets
1 192.168.10.254 (192.168.10.254) 94.806 ms 99.060 ms 100.027 ms
2 192.168.10.254 (192.168.10.254) 99.976 ms !F-1462 98.933 ms !F-1462 99.934 ms !F-1462

Το παραπάνω παίζει σε linux ή mac os, αλλά όχι σε windows (tracert, mturoute στέλνουν πακέτα ICMP που όπως έγραψα γίνονται drop από το TG782 αν > 512 bytes).

[shownyourtrueself]

Το ρουτερ ειναι pirelli ..και εχει επιλογη για αλλαγη mtu.To firewall το εχω disable τωρα αλλα παλλι τα ιδια κανει..υπαρχει περιπτωση να ειναι θεμα ρουτερ και οχι απο config του provider? εσυ δλδ με cyta και thomson δεν εχεις προβλημα με openvpn ?

[cajoline]

Μπορείς να ορίσεις μικρότερο MTU αν θέλεις, αλλά μάλλον δε θα αλλάξει κάτι καθώς όπως είδες ο router ήδη κάνει MSS clamping αρκετά παρακάτω από το πραγματικό MTU σου.

Εγώ δεν έχω πρόβλημα γιατί φαίνεται να δουλεύει (πλέον, σε αντίθεση με το παρελθόν) το path MTU discovery, και όχι λόγω διαφορετικού router.

Αν έχεις πρόσβαση στο OpenVPN server, μπορείς να εξακριβώσεις ότι όντως αντιμετωπίζεις το πρόβλημα που ανέφερα νωρίτερα, εκτελώντας κάτι σαν:

Κώδικας:

# tcpdump -pn -v -i <interface του vpn endpoint> host <διεύθυνση IP του CPE σου στο PPP interface> and greater 1350

Δοκίμασε ό,τι προκαλεί το "πάγωμα" στη σύνδεση και θα δεις το tcpdump να καταγράφει μεγάλα πακέτα:

20:38:07.406565 IP (tos 0x0, ttl 64, id 0, offset 0, flags [DF], proto UDP (17), length 1457)
v.p.n.e.1194 > c.y.t.a.63990: UDP, length 1429

Αν στην πρώτη γραμμή το length δείχνει τιμή μεγαλύτερη από το πραγματικό MTU στο PPP interface (το οποίο βρίσκεις με traceroute όπως έγραψα στο προηγούμενο μήνυμα), τότε είναι σαφές ότι δε λειτουργεί το path MTU discovery και σε "δαγκώνει" το μειωμένο MTU.

[iaberis]

Και γω αντιμετωπίζω το ίδιο ακριβώς πρόβλημα, έχω πάρει τηλ στους τεχνικούς και δε μπορούν να βρουν λύση... Παλιότερα είχα πάλι θέμα, αλλά έφτιαξε η κατάσταση απλά με αλλαγή του MTU. Τώρα όμως δε γίνεται τπτ.

[kanonias]

καταρχάς τρέξε αυτό
σημείωσε τo MTU και το MSS που θα σου βγάλει .

Η Cyta έχει συνήθως 1462 MTU δοκίμασε να βάλεις στο PC MTU 1342 και κάτω και λογικά θα παίξει

[ZhenXlogic]

Να σημειωθεί ότι, ότι αλλαγή κ να κάνεις εσύ στο GUI του CPE γίνεται Ignore μιας και ο BRAS του ISP σου ορίζει αυτός το Default MTU του ISP.

[NexTiN]

Πάρε τηλέφωνο ξανά και ζήτα να σου βάλουνε το καινούργιο Firmware 1.45.Το 1.45 λύνει πρόβληματα με VPN και Port Forward.Απο το screenshot βλέπω πως έχεις πολύ παλιά έκδοση (Δεν έπρεπε να έχει το δεξί Access logo).Μετά το Reboot του Upgrade πρέπει να γίνει οπωσδήποτε και RTFD για να πάρει καινούργιο Configuration απο TR69 (διορθώσεις για την τηλεφωνία και κάτι ψιλοπράγματα).Τα admin credentials μπορείς να τα βρεις στο forum.Νομίζω πως με το f/w upgrade θα λύσεις το πρόβλημά σου.

[iaberis]

Μου κάνανε και update, μου παν και MTU μικρότερο να βάλω και πάλι τίποτα...

[kanonias]

To MTU θα το αλλάξεις στο PC σου όχι στο Router και θα βάλεις μικρότερο απο 1342