shafiev Posted November 17, 2011 Posted November 17, 2011 Встала задача организации vpn от клиента к серверу. Клиенты сидят на 3g(2100 мгц) , и некоторые при работе из-за нестабильного канала часть пакетов отсылается и принимается битыми. В данный момент все работает по ipsec/isakmp и из-за битых пакетов выскакивает проблема с invalid isakmp type . Думаю как из этих технологий лучше всего подойдет для этого 1 Openvpn TCP 2 OpenVPN UDP 3 PPTP 4 L2Tp 5. Что то другое(типа gre) . P.S Насколько я понимаю надо смореть в сторону tcpшных решений для обеспечения связи. Вставить ник Quote
Saab95 Posted November 17, 2011 Posted November 17, 2011 SSTP, есть клиент для винды XP и семерки есть. Микротик его тоже понимает. Можно в RB411U вставить 3G модем и поднимать туннель на нем, а по лану будут подключаться клиенты. Ну а в центре сети вы всегда придумаете что поставить. Так же можно создавать соединения без сертификатов. Про организацию на винде можно почитать тут - http://www.xakep.ru/magazine/xa/116/122/1.asp Вставить ник Quote
Ainy Posted November 17, 2011 Posted November 17, 2011 TCP решения наоборот будут при высоких потерях замирать и дохнуть по Connection Reset. Надо смотреть на решения на базе UDP с мелкими пакетами или скажем туннель поверх SCTP. Вставить ник Quote
Gold-Coin Posted November 17, 2011 Posted November 17, 2011 Кстати о VPN возможно ли подключиться к VPN интернету если у меня IDSL WiFi модем? Вставить ник Quote
YuryD Posted November 18, 2011 Posted November 18, 2011 2 OpenVPN UDP 3 PPTP pptp при потерях на канале в 10% практически неработоспособны внутри. А некоторые провайдеры сильно не любят много мелких udp Вставить ник Quote
SSD Posted November 18, 2011 Posted November 18, 2011 Кстати о VPN возможно ли подключиться к VPN интернету если у меня IDSL WiFi модем? Можно. Вставить ник Quote
Saab95 Posted November 18, 2011 Posted November 18, 2011 Я как раз пробовал SSTP на канале с потерями, при сильных потерях пинги через туннель вырастают до 500-800, при сильных потерях могут и до 2000-5000. Если настроить большой таймаут на туннеле, рваться он не будет. Но все же высокая задержка лучше чем потери. Только надо знать как приложения отнесутся к такой задержке. Вставить ник Quote
shafiev Posted November 18, 2011 Author Posted November 18, 2011 2 OpenVPN UDP 3 PPTP pptp при потерях на канале в 10% практически неработоспособны внутри. А некоторые провайдеры сильно не любят много мелких udp Откуда дровишки? Вставить ник Quote
shafiev Posted November 18, 2011 Author Posted November 18, 2011 SSTP, есть клиент для винды XP и семерки есть. Микротик его тоже понимает. Можно в RB411U вставить 3G модем и поднимать туннель на нем, а по лану будут подключаться клиенты. Ну а в центре сети вы всегда придумаете что поставить. Так же можно создавать соединения без сертификатов. Про организацию на винде можно почитать тут - http://www.xakep.ru/magazine/xa/116/122/1.asp Ок,но я как там понял нужно чтобы у клиента изначально был инет(что в данном случае не подходит, в виду того что 3g карты на специальном APN и с них трафф заворачивается прямо к нам , а потом от нас идет в инет) ,чтобы проверить сертификат( можно форсировать его проверку на клиенте? ) Вставить ник Quote
Saab95 Posted November 18, 2011 Posted November 18, 2011 Чтобы соединится по SSTP нужно иметь IP канал между клиентом и вашим сервером. Если пинг с клиента до сервера проходит, то и SSTP уже можно устанавливать. То есть если вы можете установить соединение по VPN при ваших сегодняшних настройках, то ничего переделывать не надо. Сертификат по отношении с виндой я не знаю. Возможно ей тоже можно подключаться без сертификата. Микротик 100% разрешает подключаться без сертификата. Вставить ник Quote
shafiev Posted November 18, 2011 Author Posted November 18, 2011 Я как раз пробовал SSTP на канале с потерями, при сильных потерях пинги через туннель вырастают до 500-800, при сильных потерях могут и до 2000-5000. Если настроить большой таймаут на туннеле, рваться он не будет. Но все же высокая задержка лучше чем потери. Только надо знать как приложения отнесутся к такой задержке. Ну тут смори - если потери больщие то при аутефикации может придти битый пакет и тогда все( у нас и вот такая проблема - vpnc: expected xauth packet; rejected: (ISAKMP_N_PAYLOAD_MALFORMED)(16) . Прошу меня поправить если я не прав( в данном случае очень хочу быть неправым ) Вставить ник Quote
Saab95 Posted November 18, 2011 Posted November 18, 2011 У вас есть сейчас под рукой такой терминал через 3G? если найдете как установитьт соединение на винде я могу дать вам адрес сервера логин/пароль для подключения по SSTP без сертификата, получите доступ в интернет и сможете попробовать как работает. Вставить ник Quote
shafiev Posted November 18, 2011 Author Posted November 18, 2011 У вас есть сейчас под рукой такой терминал через 3G? если найдете как установитьт соединение на винде я могу дать вам адрес сервера логин/пароль для подключения по SSTP без сертификата, получите доступ в интернет и сможете попробовать как работает. Да есть . Причем несколько. Буду премного благодарен . :) Вставить ник Quote
Saab95 Posted November 18, 2011 Posted November 18, 2011 У вас есть сейчас под рукой такой терминал через 3G? если найдете как установитьт соединение на винде я могу дать вам адрес сервера логин/пароль для подключения по SSTP без сертификата, получите доступ в интернет и сможете попробовать как работает. Да есть . Причем несколько. Буду премного благодарен . :) Отписал в личку адрес и логин с паролем. Ограничения на скорость нет. Вставить ник Quote
shafiev Posted November 18, 2011 Author Posted November 18, 2011 У вас есть сейчас под рукой такой терминал через 3G? если найдете как установитьт соединение на винде я могу дать вам адрес сервера логин/пароль для подключения по SSTP без сертификата, получите доступ в интернет и сможете попробовать как работает. Да есть . Причем несколько. Буду премного благодарен . :) Отписал в личку адрес и логин с паролем. Ограничения на скорость нет. Ок. Получил. Щас попытаюсь покамесь в офисе(он в центре города) через wanem заэмулировать плохой коннект( на днях надеюсь с нашими инженерами выберусь в дикие *беня) ю. Так что если возможно не выключайте. Вставить ник Quote
Saab95 Posted November 18, 2011 Posted November 18, 2011 Ок. Только сначала надо при нормальных условиях коннект сделать чтобы определить все ли с винды корректно работает. Я винду ни разу по SSTP не подключал=) Вставить ник Quote
YuryD Posted November 18, 2011 Posted November 18, 2011 Откуда дровишки? Из опыта pptp. при потерях на физике (говномедь) в 10% на больших пакетах, vpn-соединение от winxx до 7206 устанавливается и не рвется, вот только траффик внутри ходит с дикими тормозами... Вставить ник Quote
shafiev Posted November 18, 2011 Author Posted November 18, 2011 Откуда дровишки? Из опыта pptp. при потерях на физике (говномедь) в 10% на больших пакетах, vpn-соединение от winxx до 7206 устанавливается и не рвется, вот только траффик внутри ходит с дикими тормозами... На маленьких я полагаю ситуация сильно лучше? Честно говоря ipsec udp тоже маленькие пакеты отдает. У меня потери на плохих от 15% до 50-60% (вот такой пи) Вставить ник Quote
shafiev Posted November 18, 2011 Author Posted November 18, 2011 Ок. Только сначала надо при нормальных условиях коннект сделать чтобы определить все ли с винды корректно работает. Я винду ни разу по SSTP не подключал=) Отваливается по ошибке получено непредвиденное собщение или оно имеет неправильный формат. ошибка 0x80090326 Вставить ник Quote
Saab95 Posted November 18, 2011 Posted November 18, 2011 Вы через какую операционку пытаетесь подключиться? Снимаете галочку "требуется шифрование данных"? Вставить ник Quote
shafiev Posted November 19, 2011 Author Posted November 19, 2011 Вы через какую операционку пытаетесь подключиться? Снимаете галочку "требуется шифрование данных"? Винда 7 . Все виды шифрации я вырубил. Попытаюсь щас поставить сюда дамп сниффера Вставить ник Quote
Saab95 Posted November 19, 2011 Posted November 19, 2011 Сейчас попробовал подключиться семеркой, оказывается винда не может подключаться без сертификата. Поэтому соединение и не устанавливается. В логах пишет: handshake timed out Такой же SSTP сервер можно сделать на винде server2008. Или как вариант использовать микротик в качестве 3G модема, но ему внешнее питание 12 вольт нужно. Вставить ник Quote
shafiev Posted November 19, 2011 Author Posted November 19, 2011 Сейчас попробовал подключиться семеркой, оказывается винда не может подключаться без сертификата. Поэтому соединение и не устанавливается. В логах пишет: handshake timed out Такой же SSTP сервер можно сделать на винде server2008. Или как вариант использовать микротик в качестве 3G модема, но ему внешнее питание 12 вольт нужно. Ну блин сертификат как я понимаю нужно проверять, а в моем случае это сделать не получится. На чем подымать это второй вопрос. Вставить ник Quote
Saab95 Posted November 19, 2011 Posted November 19, 2011 Сертификат можно как-то получить. Но опять же это актуально только для винды. Они последнее время слишком много закрытых решений начинают разрабатывать. Вставить ник Quote
server801 Posted November 19, 2011 Posted November 19, 2011 comodo можно получить бесплатно на три месяца. Вставить ник Quote
.png.5d2afa2996cc6a85d0f2c09b92dd0a28.png)
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.