Openvpn connessione ad internet lenta

[francescodesiderio]

Buongiorno,
ho installato un ubuntu 17 su un server in una rete in cui abbiamo una connessione ad internet con 30MB in download e 30MB circa in upload.

IP del server 192.168.178.254

Codice: Seleziona tutto

network:
 version: 2
 renderer: networkd
 ethernets:
  enp3s0:
   dhcp4: no
   dhcp6: no
   addresses: [192.168.178.254/24]
   gateway4: 192.168.178.1
   nameservers:
    addresses: [192.168.178.1,8.8.8.8]

IP del router 192.168.178.1

Ho installato openvpn e la connessione al server funziona madal client non va più internet. Quindi ho installato bind9 sotto la configurazione:

Codice: Seleziona tutto

options {
        directory "/var/cache/bind";
        recursion yes;
        forwarders {
                192.168.178.1;
                8.8.8.8;
        };
        forward only;
        dnssec-enable yes;
        dnssec-validation yes;

        auth-nxdomain no;    # conform to RFC1035
        listen-on-v6 { any; };
};

Nel file rc.local ho aggiunto

Codice: Seleziona tutto

#!/bin/sh -e
iptables -t nat -A POSTROUTING -s 10.8.0.0/24 ! -d 10.8.0.0/24 -j SNAT --to 192.168.178.254
/sbin/iptables -P FORWARD ACCEPT
/sbin/iptables --table nat -A POSTROUTING -o enp3s0 -j MASQUERADE
/sbin/iptables --append FORWARD --in-interface enp3s0 -j ACCEPT

exit 0

File openvpn server

Codice: Seleziona tutto

port 9511
proto udp
dev tun
sndbuf 0
rcvbuf 0
ca ca.crt
cert server.crt
key server.key
dh dh.pem
auth SHA512
tls-auth ta.key 0
topology subnet
server 10.8.0.0 255.255.255.0
ifconfig-pool-persist ipp.txt
push "redirect-gateway def1 bypass-dhcp"
push "dhcp-option DNS 192.168.178.254"
keepalive 10 120
cipher AES-256-CBC
comp-lzo
user nobody
group nogroup
persist-key
persist-tun
status openvpn-status.log
verb 3
crl-verify crl.pem

mentre nel client

Codice: Seleziona tutto

client
dev tun
proto udp
sndbuf 0
rcvbuf 0
remote IP 9511
resolv-retry infinite
nobind
persist-key
persist-tun
remote-cert-tls server
auth SHA512
cipher AES-256-CBC
comp-lzo
setenv opt block-outside-dns
key-direction 1
verb 3
redirect-gateway def1
dhcp-option DNS 192.168.178.254
tun-mtu 1400 
mssfix 1360
<ca>eccc ecc ecc</ca>

Come mai collegandomi alla vpn da una rete con down 95MB e up 30MB vado a 2MB in down e up?
Il server funge solo da file server per i pochi pc in rete mentre dall'esterno serve che le persone possano accedere ai file presenti sul server. Non ha altri ruoli tipo dhcp o simile

dove sbaglio?
Grazie

[thece]

la prima osservazione che ti posso fare è: se i client della VPN non devono necessariamente far transitare tutte le loro connessioni in uscita verso Internet dentro la VPN, ma solamente raggiungere una LAN posta dietro la VPN, oppure altre risorse disponibili direttamente sul server VPN, allora la direttiva redirect-gateway nella configurazione del server e del client è del tutto inutile.
Ma perchè hai duplicato la direttiva redirect-gateway? Va inserita una volta sola: o sulla configurazione del server o sulla configurazione del client a seconda delle proprie necessità.

Una connessione di rete passa per diversi nodi di una rete e la sua velocità è limitata dalla velocità del segmento più lento. La tua connessione VPN quale percorso fa? Qual'è il segmento più lento attraversato in questo percorso?

Dell'installazione di bind non ne ho capito la necessità.

Le regole per IPTables, che immagino tu abbia dato sul server VPN, buttate lì così lasciano un pò il tempo che trovano. Serve un quadro più ampio. Era più utile l'output di

Codice: Seleziona tutto

iptables-save

oppure in forma più prolissa

Codice: Seleziona tutto

iptables -t filter -L -n --line-numbers
iptables -t nat -L -n --line-numbers
iptables -t mangle -L -n --line-numbers
iptables -t raw -L -n --line-numbers

[francescodesiderio]

Ciao,
grazie mille della risposta. Come avrai immaginato non sono molto pratico.

La mia esigenza è molto semplice: quando le persone sono nella stessa rete dove ho messo il server, poter accedere alle cartelle condivise tramite samba (e questo l'ho fatto). Quando sono fuori ufficio, la VPN mi serve solo per accedere ai file. L'utente collegato in VPN se usa i DNS della connessione che ha in quel momento mi va bene comunque. Il problema è che installando la vpn utilizzando questo script https://github.com/Nyr/openvpn-install, quando poi mi collegavo alla vpn non andavo in internet. Al che ho pensato di risolvere con bind, ma probabilmente non è giusto.

Ecco gli output che mi hai chiesto:

Codice: Seleziona tutto

innov@server:~$ sudo iptables -t filter -L -n --line-numbers
[sudo] password di innov:
Chain INPUT (policy ACCEPT)
num  target     prot opt source               destination

Chain FORWARD (policy ACCEPT)
num  target     prot opt source               destination
1    ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0

Chain OUTPUT (policy ACCEPT)
num  target     prot opt source               destination


sudo iptables -t nat -L -n --line-numbers
Chain PREROUTING (policy ACCEPT)
num  target     prot opt source               destination

Chain INPUT (policy ACCEPT)
num  target     prot opt source               destination

Chain OUTPUT (policy ACCEPT)
num  target     prot opt source               destination

Chain POSTROUTING (policy ACCEPT)
num  target     prot opt source               destination
1    SNAT       all  --  10.8.0.0/24         !10.8.0.0/24          to:192.168.178.254
2    MASQUERADE  all  --  0.0.0.0/0            0.0.0.0/0

sudo iptables -t mangle -L -n --line-numbers
Chain PREROUTING (policy ACCEPT)
num  target     prot opt source               destination

Chain INPUT (policy ACCEPT)
num  target     prot opt source               destination

Chain FORWARD (policy ACCEPT)
num  target     prot opt source               destination

Chain OUTPUT (policy ACCEPT)
num  target     prot opt source               destination

Chain POSTROUTING (policy ACCEPT)
num  target     prot opt source               destination

sudo iptables -t raw -L -n --line-numbers
Chain PREROUTING (policy ACCEPT)
num  target     prot opt source               destination

Chain OUTPUT (policy ACCEPT)
num  target     prot opt source               destination

grazie

[thece]

Diamogli due mazzate ... mi posti gli output di questi comandi dati sul server VPN

Codice: Seleziona tutto

cat /proc/sys/net/ipv4/ip_forward
ifconfig
route -a

[francescodesiderio]

Codice: Seleziona tutto

sudo cat /proc/sys/net/ipv4/ip_forward
1

enp3s0: flags=4163<UP,BROADCAST,RUNNING,MULTICAST>  mtu 1500
        inet 192.168.178.254  netmask 255.255.255.0  broadcast 192.168.178.255
        inet6 fe80::cacb:b8ff:feca:f167  prefixlen 64  scopeid 0x20<link>
        ether c8:cb:b8:ca:f1:67  txqueuelen 1000  (Ethernet)
        RX packets 51904  bytes 21572036 (21.5 MB)
        RX errors 0  dropped 0  overruns 0  frame 0
        TX packets 40856  bytes 18719914 (18.7 MB)
        TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0
        device interrupt 18

lo: flags=73<UP,LOOPBACK,RUNNING>  mtu 65536
        inet 127.0.0.1  netmask 255.0.0.0
        inet6 ::1  prefixlen 128  scopeid 0x10<host>
        loop  txqueuelen 1000  (Loopback locale)
        RX packets 253  bytes 22072 (22.0 KB)
        RX errors 0  dropped 0  overruns 0  frame 0
        TX packets 253  bytes 22072 (22.0 KB)
        TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0

tun0: flags=4305<UP,POINTOPOINT,RUNNING,NOARP,MULTICAST>  mtu 1500
        inet 10.8.0.1  netmask 255.255.255.0  destination 10.8.0.1
        inet6 fe80::3d1b:8514:a1ee:d55b  prefixlen 64  scopeid 0x20<link>
        unspec 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00  txqueuelen 100  (UNSPEC)
        RX packets 14765  bytes 2284748 (2.2 MB)
        RX errors 0  dropped 0  overruns 0  frame 0
        TX packets 17375  bytes 13503698 (13.5 MB)
        TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0


 sudo route
Tabella di routing IP del kernel
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
default         fritz.box       0.0.0.0         UG    0      0        0 enp3s0
10.8.0.0        0.0.0.0         255.255.255.0   U     0      0        0 tun0
192.168.178.0   0.0.0.0         255.255.255.0   U     0      0        0 enp3s0

grazie

[thece]

Non hai chiuso correttamante il tag [ /code ]


Nel file /etc/rc.local , delle regole per IPTables riportate, lascia solamente questa riga

Codice: Seleziona tutto

iptables -t nat -A POSTROUTING -s 10.8.0.0/24 ! -d 10.8.0.0/24 -j SNAT --to 192.168.178.254

Disinstalla bind e riavvia il server VPN



Ti faccio una piccola digressione sull'inizializzazione di IPTables

Per inizializzare in modo comodo IPTables sarebbe meglio prepararsi due script , da memorizzare ad esempio nella directory /scripts o qualunque altra directory tu voglia.
Il primo script (es: iptablesResetRules.sh) dovrebbe essere fatto in modo da resettare completamente IPTables.
Il secondo script (es: iptablesSetRules.sh) dovrebbe essere fatto in modo da impostare IPTables secondo le tue necessità. Questo script dovrebbe essere poi richiamato dallo script /etc/rc.local per l'inizializzazione automatica di IPTables all'avvio del PC.

Cotti e mangiati ...

iptablesResetRules.sh

Codice: Seleziona tutto

#!/bin/bash

IPTABLES="/sbin/iptables"

echo "Resetting IPTables rules ..."

$IPTABLES -t filter -X
$IPTABLES -t filter -F
$IPTABLES -t filter -Z

$IPTABLES -t nat -X
$IPTABLES -t nat -F
$IPTABLES -t nat -Z

$IPTABLES -t mangle -X
$IPTABLES -t mangle -F
$IPTABLES -t mangle -Z

$IPTABLES -t raw -X
$IPTABLES -t raw -F
$IPTABLES -t raw -Z

$IPTABLES -t filter -P INPUT ACCEPT
$IPTABLES -t filter -P FORWARD ACCEPT
$IPTABLES -t filter -P OUTPUT ACCEPT

$IPTABLES -t nat -P PREROUTING ACCEPT
$IPTABLES -t nat -P POSTROUTING ACCEPT
$IPTABLES -t nat -P OUTPUT ACCEPT

$IPTABLES -t mangle -P PREROUTING ACCEPT
$IPTABLES -t mangle -P INPUT ACCEPT
$IPTABLES -t mangle -P FORWARD ACCEPT
$IPTABLES -t mangle -P OUTPUT ACCEPT
$IPTABLES -t mangle -P POSTROUTING ACCEPT

$IPTABLES -t raw -P PREROUTING ACCEPT
$IPTABLES -t raw -P OUTPUT ACCEPT

exit 0

iptablesSetRules.sh

Codice: Seleziona tutto

#!/bin/bash

IPTABLES="/sbin/iptables"

echo "Setting IPTables rules ..."

$IPTABLES -t nat -A POSTROUTING -s 10.8.0.0/24 ! -d 10.8.0.0/24 -j SNAT --to 192.168.178.254

exit 0

[francescodesiderio]

Ciao,
grazie per la spiegazione di iptables, mi sembra ottima come cose.

Per il resto, se lascio solo quella riga nel rc.local, tolgo bind e riavvio server vpn tornerà a non funzionare. vuole che lo faccio comunque per farmi poi eseguire dei comandi?

Grazie

[thece]

Si

Ma perchè mi stai dando del lei?

[francescodesiderio]

Fatto, sto riavviando il server. Step dopo?

[francescodesiderio]

Ora se mi collego con la vpn, skype va, ma se provo a navigare in internet mi da

DNS_PROBE_FINISHED_BAD_CONFIG

[thece]

Aspetta non abbiamo finito

C'è un motivo particolare per il quale hai spostato la porta del servizio OpenVPN da 1194 (standard) a 9511 ?

Sul router hai impostato una regola di port forwarding per esporre su Internet il servizio OpenVPN?

Nel file di configurazione del server commenta, ossia anteponi un ; alle righe

Codice: Seleziona tutto

push "redirect-gateway def1 bypass-dhcp"
push "dhcp-option DNS 192.168.178.254"

in questo modo i client non saranno costretti a passare per la VPN, e inserisci la riga

Codice: Seleziona tutto

push "route 192.168.178.0 255.255.255.0"

in questo modo i client saranno in grado di raggiungere tramite la VPN tutti gli host posti sulla LAN 192.168.178.0/24

Fatte le modifiche al file di configurazione del server, riavvia il servizio OpenVPN

[francescodesiderio]

fatto,
nel client ho lasciato come sotto:

Codice: Seleziona tutto

client 
dev tun
proto udp
sndbuf 393216
rcvbuf 393216
push "sndbuf 393216"
push "rcvbuf 393216"
remote IP 9511
resolv-retry infinite
nobind
persist-key
persist-tun
remote-cert-tls server
auth SHA512
cipher AES-256-CBC
comp-lzo
setenv opt block-outside-dns
key-direction 1
verb 3
redirect-gateway def1
dhcp-option DNS 192.168.178.254
tun-mtu 1400 
mssfix 1360
push "route 192.168.178.0 255.255.255.0"

le righe
redirect-gateway def1
dhcp-option DNS 192.168.178.254

le lascio? Sia che le tolgo che lascio, skype va, ma internet no

[francescodesiderio]

la porta l'ho cambiata solo per una questione di sicurezza... anche se chissà quante altre cose non avrò gestito... cmq sul router ho fatto il nat della porta da ip esterno porta 9511 a ip interno porta 9511

[thece]

fatto,

OK. Mi riporti la configurazione aggiornata del server?

... cmq sul router ho fatto il nat della porta da ip esterno porta 9511 a ip interno porta 9511

Sulla regola di Port Forwarding hai impostato il protocollo UDP vero?

[francescodesiderio]

Si UDP.

Purtroppo non riesco più a collegarmi via ssh dopo le modifiche. La vpn va ma non raggiungo più il server. Devo vedere come fare

[thece]

Hai accesso fisico al server? Attendo che tu riesca a riavviare il tuo server ...

[francescodesiderio]

fortunatamente avevo installato teamviewer.

sul server ho questo

Codice: Seleziona tutto

port 9511
proto udp
dev tun
sndbuf 0
rcvbuf 0
ca ca.crt
cert server.crt
key server.key
dh dh.pem
auth SHA512
tls-auth ta.key 0
topology subnet
server 10.8.0.0 255.255.255.0
ifconfig-pool-persist ipp.txt
push "redirect-gateway def1 bypass-dhcp"
push "dhcp-option DNS 127.0.0.53"
keepalive 10 120
cipher AES-256-CBC
comp-lzo
user nobody
group nogroup
persist-key
persist-tun
status openvpn-status.log
verb 3
crl-verify crl.pem

se commento

push "redirect-gateway def1 bypass-dhcp"
push "dhcp-option DNS 127.0.0.53"

non riesco a collegarmi via ssh

[francescodesiderio]

Se vuoi ti passo il file della vpn e user e password di root... mi sembri una brava persona e poi non facendo sistemi per la nasa, se anche sbirgi non moriamo

[thece]

se commento

push "redirect-gateway def1 bypass-dhcp"
push "dhcp-option DNS 127.0.0.53"

non riesco a collegarmi via ssh

Scusa, ma cosa c'entra. Il servizio SSH è indipendente dal servizio OpenVPN. Mi spieghi come ti stai collegando al server per impostarlo?

[francescodesiderio]

quando mi dici di fare una modifica, mi connetto alla vpn, accedo via ssh e faccio le modifiche. Dopo le ultime fatte non riuscivo più a collegarmi via ssh.