Kleines OpenVPN Problem

[Alternativende]

Hallo zusammen,
ich habe ein kleines Problem mit einem OpenVPN Server und der Leitungsgeschwindigkeit.

Wir haben mehrere Mitarbeiter die sich mit der Zentrale C verbinden müssen (alles Windows-Clients). In der Zentrale C steht ein Debianserver mit OpenVPN. Das funktioniert auch alles sehr gut, nun habe ich aber das Problem das ich im selben Subnetz, an Standort A, sitze wie C. Bisher habe ich es immer so gemacht das ich mich über ein anderes Netz, B, zu C verbunden habe. Hat auch super funktioniert, nur leider ist die Verbindung seit kurzem unerträglich langsam geworden und ich finde nicht heraus woran das liegen könnte.

A = 192.168.1.0
B = 192.168.0.0
C = 192.168.1.0

Hier mal die Configs:

A.ovpn

Code: Alles auswählen

#OpenVPN Client conf
tls-client
client
nobind
dev tun
proto udp
tun-mtu 1500
remote verwaltung.no-ip.org 1194
pkcs12 VIPFIRE.p12
cipher AES-256-CBC
comp-lzo
verb 3
ns-cert-type server
tls-remote verwaltung.no-ip.org

C.ovpn

Code: Alles auswählen

#OpenVPN Client conf
#tls-client
client
dev tun
proto tcp-client
tun-mtu 1500
remote lw.no-ip.org 8080
pkcs12 certs.p12
cipher BF-CBC
comp-lzo
verb 3
ns-cert-type server
#route-delay 5
auth-nocache
http-proxy 192.168.0.1 8080 #Proxy 

c server.conf

Code: Alles auswählen

port 8080

proto tcp
dev tun
tun-mtu 1500
ca /etc/openvpn/keys/ca.crt
cert /etc/openvpn/keys/server.crt
key /etc/openvpn/keys/server.key
dh /etc/openvpn/keys/dh1024.pem
server 10.200.0.0 255.255.255.0
ifconfig-pool-persist ipp.txt
push "route 192.168.1.0 255.255.255.0"
client-to-client
keepalive 10 60
comp-lzo
max-clients 100
user nobody
group nogroup
persist-key
persist-tun
status /etc/openvpn/openvpn-status.log
log /etc/openvpn/openvpn.log
log-append /etc/openvpn/openvpn.log
verb 3

Die Pingzeiten zum Netz B liegen bei 30ms, nach C schon bei 700ms! Ich kann es mir leider nicht richtig erklären. In der Firewall im Netz B sehe ich das die Verbindung über den Proxy (Squid im IPFire) korrekt aufgebaut wurde und auch keine Pakete abgewiesen werden.

[eggy]

[qoute]proto tcp[/qoute]
TCP over TCP ist in der Regel ne blöde Idee.
Versuch mal, obs besser wird, wenn Du UDP nimmst.

[Alternativende]

Standort B läuft mit UDP, nur C mit TCP.

Soll ich den gesamten OpenVPN Server auf UDP umstellen?

[catdog2]

Soll ich den gesamten OpenVPN Server auf UDP umstellen?

Wenn das möglich ist ja, sagt auch die Dokumentation:

OpenVPN is designed to operate optimally over UDP, but TCP capability is provided for situations where UDP cannot be used. In comparison with UDP, TCP will usually be somewhat less efficient and less robust when used over unreliable or congested networks.

[Alternativende]

Theoretisch wäre das machbar, dann müsste ich dies aber auch bei allen Clients umstellen.

Wird dies denn auch was bringen? Ich hatte Standort B bis vorhin auch auf TCP laufen und eigentlich keine Probleme damit gehabt.

Edit:
Habe mir damit gerade den Ast abgeschnitten auf dem ich sitze. Mit UDP funktioniert der Proxyconnect nicht. Jetzt kann ich leider keine Verbindung mehr von hier aus aufbauen.

[eggy]

Die (technisch nicht 100% korrekte) Kurzfassung:
TCP ändert die übertragende Datenmenge anhand der Datenmenge, die es auf der Leitung zu sehen glaubt.
Die Übertragung fängt langsam an und wird dann solange schneller bis es zu einem Fehler kommt, dann wird sehr weit runtergedreht und wieder langsam aufgedreht bis es zu einem Fehler kommt und dann... Du ahnst es, so geht es immer weiter. Das Prinzip funktioniert seit Jahrzehnten (mehr oder weniger) super. Lustig wirds nur, wenn man in diese Pakete Protokolle steckt, die nach dem gleichen System funktionieren: die Fehler schaukeln sich hoch. Es wird laaaaangsam.

Wenn UDP nicht geht, gehts halt nicht, dann muss man damit leben, dass es nicht optimal schnell ist. Wenn es aber vorher für Dich ok war: was hast Du den seit $vorher geändert? Wie sehen die Routen aus?

[catdog2]

Habe mir damit gerade den Ast abgeschnitten auf dem ich sitze. Mit UDP funktioniert der Proxyconnect nicht. Jetzt kann ich leider keine Verbindung mehr von hier aus aufbauen.

Vieleicht ist ja auch dieser Proxy das Problem. Wenn du den entfernen kannst tus, der macht doch keinen Sinn.

[Alternativende]

Ja das würde ich ja auch gerne, aber das Problem weshalb ich ihn überhaupt erst installiert hatte war ja das ich A und C im selben Subnetz sind. Leider lässt sich dies auch nicht mehr ändern.

Edit:
Scheint in der VM mit der ich mich hauptsächlich verbinde derzeit zu laufen mit UDP. Hatte bis jetzt keine schweren IP-Konflikte. Wenn das so bleibt stelle ich dann mal alle Clients auf UDP um.

Danke erst mal soweit!