The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]




Версия для распечатки Пред. тема | След. тема
Новые ответы [ Отслеживать ]
Дублирование трафика внутри l2tp, !*! Vova, 18-Мрт-15, 15:16  [смотреть все]
Доброго всем времени суток.

Имеется прозрачный L2TP туннель построенный поверх интернета для соединения двух точек в одну сеть. Сконструировано всё на двух цисках 2801. Туннель работает исправно, но есть одно НО.

Поскольку как я описал выше канал построен поверх интернета (~7 хопов по дороге), зачастую, в особенности в дневные часы пакеты периодически теряются внутри туннеля, что крайне негативно сказывается на терминальных сессиях и IP телефонии.

Суть вопроса: возможно ли средствами циски настроить дублирование трафика туннельного ? т.е. пусть всё отсылает друг на друга в двойном количестве, интернет каналы широкие, полоса свободна. Здесь важна не столько скорость внутри туннеля, сколько качество.

  • Дублирование трафика внутри l2tp, !*! cant, 15:37 , 18-Мрт-15 (1)
    > Суть вопроса: возможно ли средствами циски настроить дублирование трафика туннельного
    > ? т.е. пусть всё отсылает друг на друга в двойном количестве,
    > интернет каналы широкие, полоса свободна. Здесь важна не столько скорость внутри
    > туннеля, сколько качество.

    Идея здравая, но ширпотребного решения не имеет.

    Некоторые делают tcp-туннели, в них loss почти отсутствует, но появляется джиттер.

    А так теоретически можно mirrir-порт на свиче дополнительно выплевывать наружу. Выглядеть эта конструкция будет конечно странно.

    Майнстрим же такой: предоставлять только те сервисы, которые позволяет имеющийся по качеству транспорт.
    Или под требования сервисов, строить новый транспорт.

    • Дублирование трафика внутри l2tp, !*! fantom, 16:54 , 18-Мрт-15 (2)
      >[оверквотинг удален]
      >> ? т.е. пусть всё отсылает друг на друга в двойном количестве,
      >> интернет каналы широкие, полоса свободна. Здесь важна не столько скорость внутри
      >> туннеля, сколько качество.
      > Идея здравая, но ширпотребного решения не имеет.
      > Некоторые делают tcp-туннели, в них loss почти отсутствует, но появляется джиттер.
      > А так теоретически можно mirrir-порт на свиче дополнительно выплевывать наружу. Выглядеть
      > эта конструкция будет конечно странно.
      > Майнстрим же такой: предоставлять только те сервисы, которые позволяет имеющийся по качеству
      > транспорт.
      > Или под требования сервисов, строить новый транспорт.

      Поднимаете 2 тунеля и роутмапом отправлять пакеты сразу в 2 интерфейса.

      • Дублирование трафика внутри l2tp, !*! Vova, 16:56 , 18-Мрт-15 (3)
        >[оверквотинг удален]
        >>> интернет каналы широкие, полоса свободна. Здесь важна не столько скорость внутри
        >>> туннеля, сколько качество.
        >> Идея здравая, но ширпотребного решения не имеет.
        >> Некоторые делают tcp-туннели, в них loss почти отсутствует, но появляется джиттер.
        >> А так теоретически можно mirrir-порт на свиче дополнительно выплевывать наружу. Выглядеть
        >> эта конструкция будет конечно странно.
        >> Майнстрим же такой: предоставлять только те сервисы, которые позволяет имеющийся по качеству
        >> транспорт.
        >> Или под требования сервисов, строить новый транспорт.
        > Поднимаете 2 тунеля и роутмапом отправлять пакеты сразу в 2 интерфейса.

        Увы, но физически аплинк с провадйерами только один с одним внешним IP

        • Дублирование трафика внутри l2tp, !*! fantom, 17:00 , 18-Мрт-15 (4)
          >[оверквотинг удален]
          >>>> туннеля, сколько качество.
          >>> Идея здравая, но ширпотребного решения не имеет.
          >>> Некоторые делают tcp-туннели, в них loss почти отсутствует, но появляется джиттер.
          >>> А так теоретически можно mirrir-порт на свиче дополнительно выплевывать наружу. Выглядеть
          >>> эта конструкция будет конечно странно.
          >>> Майнстрим же такой: предоставлять только те сервисы, которые позволяет имеющийся по качеству
          >>> транспорт.
          >>> Или под требования сервисов, строить новый транспорт.
          >> Поднимаете 2 тунеля и роутмапом отправлять пакеты сразу в 2 интерфейса.
          > Увы, но физически аплинк с провадйерами только один с одним внешним IP

          Так поднимите второй внутри первого и отправляйте туда только критический трафик.
          Оверхед получите конечно некислый, но если туда только терминалки с голосом отправить то может в mtu нормально и поместитесь.


  • Дублирование трафика внутри l2tp, !*! eek, 21:32 , 18-Мрт-15 (7)
    Посредством ISR вы такое не сделаете.

    Для правильного функционирования всей системы вам понадобиться еще одни уровень инкапсуляции + движок который знает что на другой стороне вы пакету продублировали + имеет возможности по отслеживанию последовательностей и борбы с джиттером и дилеем.

    Т.е. мы говорим про движок который позволяет вам доставить в приложение уже нормальзованную tcp сессию без зависимости от каналов.

    Решение которое это делает уже продается (velocloud), правда не знаю доступно оно в России или нет. Нужно купить его или подождать пока их купит Cisco и продаст вам под своим брендом.

    • Дублирование трафика внутри l2tp, !*! Andy1e, 11:30 , 04-Апр-18 (28)
      > Посредством ISR вы такое не сделаете.
      > Решение которое это делает уже продается (velocloud), правда не знаю доступно оно
      > в России или нет. Нужно купить его или подождать пока их
      > купит Cisco и продаст вам под своим брендом.

      Здравствйте. Кто-нибудь может подсказать, воз и ныне там, или такая возможность все же появилась к 2018му на цисках? Или, прости г-поди, на чем-нибудь импортозаместительном@сертифицированном?
      Стоит аналогичная задача, не могу даже придумать, какое умное слово гуглить, чтобы поиск выдавал что-нибудь, кроме обычной агрегации каналов.

      • Дублирование трафика внутри l2tp, !*! Vova, 12:13 , 04-Апр-18 (29) +1
        >> Посредством ISR вы такое не сделаете.
        >> Решение которое это делает уже продается (velocloud), правда не знаю доступно оно
        >> в России или нет. Нужно купить его или подождать пока их
        >> купит Cisco и продаст вам под своим брендом.
        > Здравствйте. Кто-нибудь может подсказать, воз и ныне там, или такая возможность все
        > же появилась к 2018му на цисках? Или, прости г-поди, на чем-нибудь
        > импортозаместительном@сертифицированном?
        > Стоит аналогичная задача, не могу даже придумать, какое умное слово гуглить, чтобы
        > поиск выдавал что-нибудь, кроме обычной агрегации каналов.

        Насчёт кошек не подскажу, а так на линухе отлично работает. Уже 3 года серваки коптят, трафик летает отлично. По скорости при 300 МБит/с 4 ядра Core i5 грузятся процентов на 30, не более. Зеркалируется в сумме двумя тунелями без шифрования.

        • Дублирование трафика внутри l2tp, !*! Andy1e, 07:16 , 05-Апр-18 (30)
          > Насчёт кошек не подскажу, а так на линухе отлично работает. Уже 3
          > года серваки коптят, трафик летает отлично. По скорости при 300 МБит/с
          > 4 ядра Core i5 грузятся процентов на 30, не более. Зеркалируется
          > в сумме двумя тунелями без шифрования.

          Меня мучает непонимание сути происходящего при разных скоростях на каналах (да, забыл уточнить, вопрос не в том, чтобы пихать дубли в один канал, а чтобы распихивать их по разным, как предлагалось выше). Нужно будет принудительно занизить bandwith? Или пакеты будут спокойно дропаться даже если один канал будет условной медью на 100мбс, а второй - узкой радиорелейкой? Скорости вряд ли будут большими (но все же не хочется резать на постоянку потенциально более широкий канал... ), вопрос скорее в том, что туннелей в центре будет целая пачка, в сторону разных точек, да и хотелось бы [нужно] чтобы все это счастье работало значительно дольше, чем 3 года. Напихать таких мини-серваков с избытком в ЗИП на все площадки?)

          • Дублирование трафика внутри l2tp, !*! Vova, 07:52 , 05-Апр-18 (31)
            >[оверквотинг удален]
            > уточнить, вопрос не в том, чтобы пихать дубли в один канал,
            > а чтобы распихивать их по разным, как предлагалось выше). Нужно будет
            > принудительно занизить bandwith? Или пакеты будут спокойно дропаться даже если один
            > канал будет условной медью на 100мбс, а второй - узкой радиорелейкой?
            > Скорости вряд ли будут большими (но все же не хочется резать
            > на постоянку потенциально более широкий канал... ), вопрос скорее в том,
            > что туннелей в центре будет целая пачка, в сторону разных точек,
            > да и хотелось бы [нужно] чтобы все это счастье работало значительно
            > дольше, чем 3 года. Напихать таких мини-серваков с избытком в ЗИП
            > на все площадки?)

            bandwith занижать не придётся, первый пришедший пакет успешно пойдёт дальше, все остальные (задублированные) корректно дропнутся. Конкретно в одном из моих случаев такая схема построена из двух каналов: АОЛС и радиорелейка. В другом случае такая схема работает между двумя объектами на двух каналах 100 Мбит и 10 Мбит, когда 100 отваливается, люди ощущают лишь уменьшение скорости до 10 без каких-либо перебоев и разрывов открытых сессий.
            Идея из центральной точки разбросаться задублированными туннелями - хорошая, у самого также работает. Работать будет пока серваки не помрут :)

            • Дублирование трафика внутри l2tp, !*! Andy1e, 10:25 , 05-Апр-18 (32)
              > bandwith занижать не придётся, первый пришедший пакет успешно пойдёт дальше, все остальные
              > (задублированные) корректно дропнутся.

              Так ээ... дропнутся-то они уже на том конце, у получателя. А чтобы дропнуться - им нужно сначала туда долететь. А они еще не долетели, они в очереди стоят на стороне отправителя (или на маршрутизаторе по дороге, L3 каналы-то в схеме точно присутствуют) из-за низкой пропускной способности. В моем понимании они должны тупо забить буфер на отправку (и возможно сдыхать по таймауту? Но таймаут все равно достаточно большой)... или как?

              • Дублирование трафика внутри l2tp, !*! Vova, 11:14 , 05-Апр-18 (33)
                >> bandwith занижать не придётся, первый пришедший пакет успешно пойдёт дальше, все остальные
                >> (задублированные) корректно дропнутся.
                > Так ээ... дропнутся-то они уже на том конце, у получателя. А чтобы
                > дропнуться - им нужно сначала туда долететь. А они еще не
                > долетели, они в очереди стоят на стороне отправителя (или на маршрутизаторе
                > по дороге, L3 каналы-то в схеме точно присутствуют) из-за низкой пропускной
                > способности. В моем понимании они должны тупо забить буфер на отправку
                > (и возможно сдыхать по таймауту? Но таймаут все равно достаточно большой)...
                > или как?

                Бесспорно, на стороне отправителя (да и принимающей стороны) мощности надо рассчитывать так чтобы не создавалось очередей.
                Например зеркалируя канал в 300 Мбит, мы рассчитали так чтобы 600мбит система обрабатывала без перегрузок. По дороге конечно пакеты могут затерятся и не долететь, но в этом случае как раз дублирование спасает. Чтобы затерялись по двум разным провайдерам, такого у нас ещё не было. А так можно и тройное зеркалирование сделать :)

  • Дублирование трафика внутри l2tp, !*! ShyLion, 09:22 , 19-Мрт-15 (8)
    > прозрачный L2TP туннель ... всё на двух цисках 2801

    Не роутинг чтоли? x-connect?

    > зачастую, в особенности в дневные часы пакеты периодически теряются внутри
    > туннеля
    > интернет каналы широкие, полоса свободна

    Противоречие тут вижу я.
    Нужно выносить мозг (или вообще менять) оператору или делать обрезание доступной пользователю полосы для интернта.

    В свете L2TP не исключено что вообще CPU не справляется. 2801 по нынешним каналам - тупенькие.

    • Дублирование трафика внутри l2tp, !*! fantom, 10:14 , 19-Мрт-15 (9)
      >> прозрачный L2TP туннель ... всё на двух цисках 2801
      > Не роутинг чтоли? x-connect?
      >> зачастую, в особенности в дневные часы пакеты периодически теряются внутри
      >> туннеля
      >> интернет каналы широкие, полоса свободна
      > Противоречие тут вижу я.
      > Нужно выносить мозг (или вообще менять) оператору или делать обрезание доступной пользователю
      > полосы для интернта.

      Никакого противоречия - оператор предоставляет "доступ к сети интернет на скорости ххх" а НЕ "канал из точки А в точку В с оговоренными характеристиками".
      В часы "пик" могут быть перегружены транзитные каналы стороннего оператора, при этом доступ к прочим ресурсам будет с нужной скоростью...

      Более-менее гарантированные транзиты стоят на порядок дороже "доступа в инет".


      > В свете L2TP не исключено что вообще CPU не справляется. 2801 по
      > нынешним каналам - тупенькие.

      • Дублирование трафика внутри l2tp, !*! ShyLion, 16:53 , 19-Мрт-15 (13)
        > Никакого противоречия - оператор предоставляет "доступ к сети интернет на скорости ххх"
        > а НЕ "канал из точки А в точку В с оговоренными
        > характеристиками".

        Это значит оператор - г..но и его нужно поменять.

        • Дублирование трафика внутри l2tp, !*! Vova, 17:08 , 19-Мрт-15 (15)
          >> Никакого противоречия - оператор предоставляет "доступ к сети интернет на скорости ххх"
          >> а НЕ "канал из точки А в точку В с оговоренными
          >> характеристиками".
          > Это значит оператор - г..но и его нужно поменять.

          Насчёт операторов не согласен. С двух сторон чистый интернет, а потери действительно появляются по дороге.

          • Дублирование трафика внутри l2tp, !*! ShyLion, 20:05 , 19-Мрт-15 (18)
            >>> Никакого противоречия - оператор предоставляет "доступ к сети интернет на скорости ххх"
            >>> а НЕ "канал из точки А в точку В с оговоренными
            >>> характеристиками".
            >> Это значит оператор - г..но и его нужно поменять.
            > Насчёт операторов не согласен. С двух сторон чистый интернет, а потери действительно
            > появляются по дороге.

            Ну раз чистый, нет проблем. Хотя о чем тогда тема?

    • Дублирование трафика внутри l2tp, !*! Vova, 14:09 , 19-Мрт-15 (12)
      >> прозрачный L2TP туннель ... всё на двух цисках 2801
      > Не роутинг чтоли? x-connect?
      >> зачастую, в особенности в дневные часы пакеты периодически теряются внутри
      >> туннеля
      >> интернет каналы широкие, полоса свободна
      > Противоречие тут вижу я.
      > Нужно выносить мозг (или вообще менять) оператору или делать обрезание доступной пользователю
      > полосы для интернта.
      > В свете L2TP не исключено что вообще CPU не справляется. 2801 по
      > нынешним каналам - тупенькие.

      x-connect, он самый. Задача - отдать прозрачный L2 канал.

      Насчёт оператора была идея что проблема по дороге, но связь не в тунеле идёт без потерь. Что полосу зажирают с излишком - тут в точку, это я уже выяснил :)

      с CPU всё номр, при загрузке канала на 80 Mbps процессор больше 70% не поднимается

      • Дублирование трафика внутри l2tp, !*! ShyLion, 16:56 , 19-Мрт-15 (14)
        с единичными потерями легко должен справляться протокол верхнего уровня

        от x-connect никак не уйти? а если хорошенько подумать?

        • Дублирование трафика внутри l2tp, !*! Vova, 17:08 , 19-Мрт-15 (16)
          > с единичными потерями легко должен справляться протокол верхнего уровня
          > от x-connect никак не уйти? а если хорошенько подумать?

          Вариант, а подскажите как её сконфигурировать для прозрачного L2 канала другим способом ?

          • Дублирование трафика внутри l2tp, !*! ShyLion, 20:01 , 19-Мрт-15 (17)
            >> с единичными потерями легко должен справляться протокол верхнего уровня
            >> от x-connect никак не уйти? а если хорошенько подумать?
            > Вариант, а подскажите как её сконфигурировать для прозрачного L2 канала другим способом ?

            Вопрос был в том, на сколько так необходим L2 канал через инет? Как правило такие решения вот именно так, как у вас и "работают". Приложения написаные под L2 обычно ожидают неких характеристик от среды, которых проброс по интернету не может дать впринципе.

            • Дублирование трафика внутри l2tp, !*! fantom, 10:30 , 20-Мрт-15 (19)
              >>> с единичными потерями легко должен справляться протокол верхнего уровня
              >>> от x-connect никак не уйти? а если хорошенько подумать?
              >> Вариант, а подскажите как её сконфигурировать для прозрачного L2 канала другим способом ?
              > Вопрос был в том, на сколько так необходим L2 канал через инет?
              > Как правило такие решения вот именно так, как у вас и
              > "работают". Приложения написаные под L2 обычно ожидают неких характеристик от среды,
              > которых проброс по интернету не может дать впринципе.

              Можно openvpn попробовать поверх tcp, джиттер вырастет, но в теории потерь быть не должно.

  • Дублирование трафика внутри l2tp, !*! cant, 10:47 , 19-Мрт-15 (10)
    > Поскольку как я описал выше канал построен поверх интернета (~7 хопов по
    > дороге), зачастую, в особенности в дневные часы пакеты периодически теряются внутри
    > туннеля, что крайне негативно сказывается на терминальных сессиях и IP телефонии.

    По территории, например, России loss больше 1% это ненормально сегодня. (мои наблюдения по видеоконференц-связи между различным регионам, это тоже типа voip).

    Вы точно локализовали место и причину потерь пакетов?
    Можете показать src-ip и dst-ip, хотябы с точностью операторских префиксов.

  • Дублирование трафика внутри l2tp, !*! cant, 13:17 , 20-Мрт-15 (20)
    >[оверквотинг удален]
    > в особенности в дневные часы пакеты периодически теряются внутри туннеля...
    >
    > ...интернет каналы широкие, полоса свободна. Здесь важна не столько скорость внутри туннеля, сколько качество.
    >
    > ...С двух сторон чистый интернет, а потери действительно появляются по дороге.
    >
    > Насчёт оператора была идея что проблема по дороге, но связь не в тунеле идёт без потерь. Что полосу зажирают с излишком - тут в точку, это я уже выяснил :)
    >
    > с CPU всё номр, при загрузке канала на 80 Mbps процессор больше 70% не поднимается
    >

    Весь этот перечень проблем, которые присутствуют одновременно и в разной степени,
    диагностируем и решаем.

    Можете начать и с этой очевидной - кратковременные исчерпания полосы, ограничив некритичный трафик.
    Потом ковырять более изощренные, типа: мгновенные всплески мелко-пакетной скорости (из-за L2 особенно), небольших по объему в полосе, но на пару секунд убивающих cpu насмерть, а на 1мин усреднении cpu не заметны.

    А можете и пойти переделкой всего дизайна, и технологий, и оборудования, и каналов операторов.

  • Дублирование трафика внутри l2tp, !*! Vova, 11:16 , 25-Мрт-15 (21)
    >[оверквотинг удален]
    > Имеется прозрачный L2TP туннель построенный поверх интернета для соединения двух точек
    > в одну сеть. Сконструировано всё на двух цисках 2801. Туннель работает
    > исправно, но есть одно НО.
    > Поскольку как я описал выше канал построен поверх интернета (~7 хопов по
    > дороге), зачастую, в особенности в дневные часы пакеты периодически теряются внутри
    > туннеля, что крайне негативно сказывается на терминальных сессиях и IP телефонии.
    > Суть вопроса: возможно ли средствами циски настроить дублирование трафика туннельного
    > ? т.е. пусть всё отсылает друг на друга в двойном количестве,
    > интернет каналы широкие, полоса свободна. Здесь важна не столько скорость внутри
    > туннеля, сколько качество.

    Уважаемые коллеги, проблема решена.

    Пришлось уйти от оборудования циски и построить всё на двух обычных линуксовых машинах.

    В итоге: 2 компа с 3мя сетевухами в каждом. Одна - внутрь смотрит, 2е другие на разных провайдеров. Строится 2 openvpn туннеля, на каждом направлении + один общий. Настраивается маршрутизация через iptables с дублированием трафика в каждый отдельный туннель. И с другой стороны трафик корректно собирается. Далее туннельный интерфейс и eth[смотрящий в локалку] объединяется в бридж интерфейс и L2 стабильно работает.

    3ий день полёт нормальный.

    В итоге вместо 5% потерь, 0% + не одной порванной сессии

    P.S. Можно наплодить туннелей для дублирования сколько угодно внутри одного физического интерфейса. Главное просчитать запас скорости.

    Реализацию сей схемы нашли на заграничном ресурсе, не помню адрес, но если кому понадобится, могу выложить/выслать статью.

    • Дублирование трафика внутри l2tp, !*! fantom, 11:24 , 25-Мрт-15 (22)
      >[оверквотинг удален]
      > каждом направлении + один общий. Настраивается маршрутизация через iptables с дублированием
      > трафика в каждый отдельный туннель. И с другой стороны трафик корректно
      > собирается. Далее туннельный интерфейс и eth[смотрящий в локалку] объединяется в бридж
      > интерфейс и L2 стабильно работает.
      > 3ий день полёт нормальный.
      > В итоге вместо 5% потерь, 0% + не одной порванной сессии
      > P.S. Можно наплодить туннелей для дублирования сколько угодно внутри одного физического
      > интерфейса. Главное просчитать запас скорости.
      > Реализацию сей схемы нашли на заграничном ресурсе, не помню адрес, но если
      > кому понадобится, могу выложить/выслать статью.

      "Тренированный инвалид на костылях бегает быстрее зажравшегося клерка"
      Фразу выдал один мой знакомый после замены cisco ASA на линуховый сервак.

      • Дублирование трафика внутри l2tp, !*! Vova, 11:28 , 25-Мрт-15 (23)
        >[оверквотинг удален]
        >> собирается. Далее туннельный интерфейс и eth[смотрящий в локалку] объединяется в бридж
        >> интерфейс и L2 стабильно работает.
        >> 3ий день полёт нормальный.
        >> В итоге вместо 5% потерь, 0% + не одной порванной сессии
        >> P.S. Можно наплодить туннелей для дублирования сколько угодно внутри одного физического
        >> интерфейса. Главное просчитать запас скорости.
        >> Реализацию сей схемы нашли на заграничном ресурсе, не помню адрес, но если
        >> кому понадобится, могу выложить/выслать статью.
        > "Тренированный инвалид на костылях бегает быстрее зажравшегося клерка"
        > Фразу выдал один мой знакомый после замены cisco ASA на линуховый сервак.

        :)))))))

        Циска - хорошая и стабильная железяка, но линукс своё берёт и прежде всего ценой железа относительно кошатины

  • Дублирование трафика внутри l2tp, !*! cant, 12:34 , 25-Мрт-15 (24)
    > В итоге: 2 компа с 3мя сетевухами в каждом. Одна - внутрь смотрит, 2е другие на разных провайдеров. Строится 2 openvpn туннеля, на каждом направлении + один общий.

    +1
    Сразу бы сказали, что не ограничены в выборе провайдеров, в религии железа, и у вас стаж в ИТ десятки лет.

    Даже вспомнился multilink ppp почуму-то.

    Ещё интересны были бы решения (именно для L2) с более тонкой логикой, чем просто дублирование.
    Типа, четыре туннеля L3 (крест-накрест между провайдерами) -- связаны ospf fast -- (тут нехватает логики выбора bestpath по качеству) -- через этот L3 делается tcp-туннель L2.

    Киньте пожалуйста ссылку, чисто их академичекого интереса.

    • Дублирование трафика внутри l2tp, !*! Vova, 14:53 , 25-Мрт-15 (25)
      >[оверквотинг удален]
      > +1
      > Сразу бы сказали, что не ограничены в выборе провайдеров, в религии железа,
      > и у вас стаж в ИТ десятки лет.
      > Даже вспомнился multilink ppp почуму-то.
      > Ещё интересны были бы решения (именно для L2) с более тонкой логикой,
      > чем просто дублирование.
      > Типа, четыре туннеля L3 (крест-накрест между провайдерами) -- связаны ospf fast --
      > (тут нехватает логики выбора bestpath по качеству) -- через этот L3
      > делается tcp-туннель L2.
      > Киньте пожалуйста ссылку, чисто их академичекого интереса.

      Как всегда сперва хочется пойти простым путём :)
      А шаманский бубен и немного фантазии рождают новые идеи

      Ссылку увы не сброшу, т.к. она не сохранилась, а вот авторский текст с контентом я скопировал к себе в блокнот, его ниже и выкладываю:

      "
      (Ab)using OpenVPN to make two unrealiable Internet connections act asone reliable connection (Success!)


      Hi, I'm Troy McClure. You might remember me from such posts as Failure #1 and Failure #2. Today I'm here to tell you about "OpenVPN inside OpenVPN".


      Some time ago I was asked if it's possible to bond multiple 3G mobile wireless links from different operators together for one reliable connection. Bit later there was need to stream live video over 3G network from moving vehicle. Another age old question is how to make reliable low-latency VPN over public Internet by utilizing more than one provider. At that time I didn't have solution to any of these. Now I have something. It's still going to need testing and fine tuning, but at least something to try.

      Say you got two Internet connections and both are equally bad with varying latency, bandwidth and packet loss. Perhaps you have two wireless links between buildings but due nature of unlicensed wireless – all those baby-monitors, video links, microwave ovens and other crap around – there’s some packet loss. Don’t worry, there’s way to make connections like these bit more reliable.

      Proper solution would be of course implementing FEC. There’s few papers on subject, but no code to use so we resort to hacks. Ugly hacks. Hacks that send all traffic both ways thru all available links. Result is lesser probability for packet loss and whatever link was fastest transferring packet gets used. Downsides include large number out-of-order packets when fastest link loses packet. Duplicates are dropped early by OpenVPN’s replay protection feature and therefore they’re not visible to applications.

      After banging my head against wall with horrible hacks I came to my senses. Since I already knew this was working fine between two computers connected using L2 network why not create L2 network over Internet with OpenVPN? Result will be OpenVPN inside OpenVPN. Some overhead and reduction of MTU size are downsides.

      So far all my testing has been with virtual machines connected to each other. That doesn't exactly match real world situation where this hack might be needed. I'll do another post some day with real world results using multiple uplinks utilizing different technologies and different operators. Likely DSL, couple USB 3G dongles and maybe even adding Flash OFDM to the mix.

      Notes below assume that you already have required packages installed and working L3 network between Client and Server. To keep things simple I'm not posting how to selectively route traffic over three different interfaces based on source/destination ports. There's plenty of documentation available on Internet for how to do it.

      P.S. You can get similar results with Linux broadcast mode bonding. It's not good solution since you need to encrypt traffic twice and also end up with significant number of duplicate packets playing havoc with various applications.

      •Configure OpenVPN on server side.

      # Server
      mkdir -p /etc/openvpn
      cd /etc/openvpn

      # 1st link is named 101
      openvpn --genkey --secret openvpn101.key
      cat > openvpn101.conf <<__END__
      port 20101
      dev tap101
      ifconfig 172.31.101.1 255.255.255.0
      verb 4
      secret openvpn101.key
      cipher none
      __END__

      # 2nd link is named 102
      openvpn --genkey --secret openvpn102.key
      cat > openvpn102.conf <<__END__
      port 20102
      dev tap102
      ifconfig 172.31.102.1 255.255.255.0
      verb 4
      secret openvpn102.key
      cipher none
      __END__

      # 3rd link is named 103
      openvpn --genkey --secret openvpn103.key
      cat > openvpn103.conf <<__END__
      port 20103
      dev tap103
      ifconfig 172.31.103.1 255.255.255.0
      verb 4
      secret openvpn103.key
      cipher none
      __END__

      # main link is named 088
      openvpn --genkey --secret openvpn088.key
      cat > openvpn088.conf <<__END__
      local 172.31.255.1
      port 20088
      dev tap088
      ifconfig 172.31.88.1 255.255.255.0
      verb 4
      secret openvpn088.key
      mute-replay-warnings
      replay-window 512 10
      tun-mtu 1500
      fragment 1372
      mssfix 1282
      passtos
      comp-lzo
      __END__


      •Configure OpenVPN on client side.

      # Client
      mkdir -p /etc/openvpn
      cd /etc/openvpn
      scp 172.16.0.1:/etc/openvpn/openvpn*.key .

      # 1st
      cat > openvpn101.conf <<__END__
      remote 172.16.0.1 20101
      port 20101
      dev tap101
      ifconfig 172.31.101.2 255.255.255.0
      verb 4
      secret openvpn101.key
      cipher none
      __END__

      # 2nd
      cat > openvpn102.conf <<__END__
      remote 172.16.0.1 20102
      port 20102
      dev tap102
      ifconfig 172.31.102.2 255.255.255.0
      verb 4
      secret openvpn102.key
      cipher none
      __END__

      # 3rd
      cat > openvpn103.conf <<__END__
      remote 172.16.0.1 20103
      port 20103
      dev tap103
      ifconfig 172.31.103.2 255.255.255.0
      verb 4
      secret openvpn103.key
      cipher none
      __END__

      # main
      cat > openvpn088.conf <<__END__
      local 172.31.255.2
      remote 172.31.255.1 20088
      port 20088
      dev tap088
      ifconfig 172.31.88.2 255.255.255.0
      verb 4
      secret openvpn088.key
      mute-replay-warnings
      replay-window 512 10
      tun-mtu 1500
      fragment 1372
      mssfix 1282
      passtos
      comp-lzo
      __END__


      •Launch OpenVPN and add required iptables rules to server.

      # SERVER
      cd /etc/openvpn; openvpn --config openvpn101.conf --daemon
      cd /etc/openvpn; openvpn --config openvpn102.conf --daemon
      cd /etc/openvpn; openvpn --config openvpn103.conf --daemon

      # Magic starts here. We need "always on" connection and dummy0 does exactly that
      modprobe dummy
      ifconfig dummy0 down
      ifconfig dummy0 172.31.255.1 netmask 255.255.255.255 up
      ip route add 172.31.255.2 dev dummy0

      # Create three copies of OpenVPN packets
      # Would be nice to discard original but doing so sends false icmp unreachables even with -j DROP
      iptables -t mangle -A OUTPUT -d 172.31.255.2 -o dummy0 -j TEE --gateway 172.31.101.2
      iptables -t mangle -A OUTPUT -d 172.31.255.2 -o dummy0 -j TEE --gateway 172.31.102.2
      iptables -t mangle -A OUTPUT -d 172.31.255.2 -o dummy0 -j TEE --gateway 172.31.103.2

      # Launch actual encrypting OpenVPN process
      cd /etc/openvpn; openvpn --config openvpn088.conf


      •Launch OpenVPN and add required iptables rules to client.

      # CLIENT
      cd /etc/openvpn; openvpn --config openvpn101.conf --daemon
      cd /etc/openvpn; openvpn --config openvpn102.conf --daemon
      cd /etc/openvpn; openvpn --config openvpn103.conf --daemon

      # Magic starts here. We need "always on" connection and dummy0 does exactly that
      modprobe dummy
      ifconfig dummy0 down
      ifconfig dummy0 172.31.255.2 netmask 255.255.255.255 up
      ip route add 172.31.255.1 dev dummy0

      # Create three copies of OpenVPN packets
      # Would be nice to discard original but doing so sends false icmp unreachables even with -j DROP
      iptables -t mangle -A OUTPUT -d 172.31.255.1 -o dummy0 -j TEE --gateway 172.31.101.1
      iptables -t mangle -A OUTPUT -d 172.31.255.1 -o dummy0 -j TEE --gateway 172.31.102.1
      iptables -t mangle -A OUTPUT -d 172.31.255.1 -o dummy0 -j TEE --gateway 172.31.103.1

      # Launch actual encrypting OpenVPN process
      cd /etc/openvpn; openvpn --config openvpn088.conf

      That's it.

      About parameters, 'mute-replay-warnings' is mandatory to avoid flooding logs with error message for every duplicated packet - and with this setup there is going to be no shortage of those.

      You might want to tune 'replay-window' setting depending on your link speed and latency. It's currently set to accept up to 512 packets out-of-order but no packets that are more than 10 seconds late. It might be best to shorten timeout as I don't think kernel nor applications really expect packet that is normally received in 10ms to come after 10 seconds.

      Since different paths can have different MTU sizes we're limiting main OpenVPN process (one that does encryption) to maximum of 1372 bytes including any OpenVPN added headers. Hopefully this is small enough to pass thru any uplinks we might have. If not reduce values of both 'fragment' and 'mssfix' by same amount. Assuming I've interpreted OpenVPN docs correctly settings above allow transferring full 1500 byte IP packet but "recommend" that clients limit packet size to 1280 bytes. Anything that will be after compression, encryption and adding headers over 1372 byte limit will be fragmented to two approximately equal sized packets. Reason for allowing fragmentation with large packets is to make OpenVPN link as transparent as possible.

      If you're CPU bound or have fast uplinks disabling adaptive compression (comp-lzo) is probably good idea. Passing TOS bits ('passtos') gives no performance improvements in typical setup. However by keeping TOS bits "public" you can use them to prioritize encrypted packets per-uplink when they're leaving your router. For this just follow your favourite QoS document to mark packets when they enter your router and then apply policing to those OpenVPN connections going out over your ISP links.

      To test above setup try sending some traffic between 172.31.88.1 (server) and 172.31.88.2 (client). All packets, both ways, will be sent three times but apps only see one of them.

      I tried applying 5% input and 5% output packet loss on VMware Workstation settings. Result was ping going directly without OpenVPN tunneling showed 17% packet loss after 12 hours. One using three tunnels showed 0,07% packet loss. Very un-scientific test, but at least I know that it's doing what I'm expecting.
      "




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2025 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру