Форум Сайтостроение Администрирование серверов

Openvpn (как вы оцените конфигурацию) ?

12
PS
На сайте с 25.11.2009
Offline
36
project-s
1281

Openvpn настроен и работает, хотелось бы услышать мнение профессионалов о конфигурационных файлах.

чтобы Вы добавили, удалили, изменили, что бы ускорить, улучшить работу туннеля и снизить нагрузку на ресурсы сервера?

спасибо. 

client

proto udp

remote IP SERVER

port 1194

dev tap



redirect-gateway def1

route-method exe



tls-client

tls-auth ta.key 1

dh dh1024.pem

ca ca.crt

cert client.crt

key client.key



persist-tun

persist-key



cipher AES-128-CBC # AES

comp-lzo

proto udp

dev tap

port 1194

tls-server

tls-auth ta.key 0

ca ca.crt

cert server.crt

key server.key

dh dh1024.pem

mode server

ifconfig 192.168.231.5 255.255.255.0

ifconfig-pool 192.168.231.6 192.168.231.200

push "route-gateway 192.168.231.5"

push "dhcp-option DNS 208.67.222.222"

push "dhcp-option DNS 208.67.220.220"

user nobody

group nobody

cipher AES-128-CBC # AES

comp-lzo

persist-tun

persist-key

при загрузке выполняется: 

/sbin/modprobe ip_tables

/sbin/modprobe iptable_filter

/sbin/modprobe iptable_mangle

/sbin/modprobe iptable_nat

echo 1 > /proc/sys/net/ipv4/ip_forward

sysctl -p

iptables -I FORWARD 1 -i tap0 -p udp -j ACCEPT

iptables -I FORWARD 1 -i tap0 -p tcp -j ACCEPT

iptables -t nat -A POSTROUTING -s 192.168.231.0/24 -o eth0 -j SNAT --to-source IP SERVER

iptables -A INPUT -p udp --dport 1194 -j ACCEPT
M
На сайте с 24.10.2011
Offline
173
michaek
#1

раз работает, значит все ок. вопрос-то в чем?

esetnod
На сайте с 16.07.2009
Offline
134
esetnod
#2

aes можно 256 битный.

Быстрый хостинг на SSD от $0.99 (http://just-hosting.ru/) | OpenVZ (http://just-hosting.ru/vds.html) и KVM (http://just-hosting.ru/vds-kvm.html) VDS от $7.95
Оптимизайка
На сайте с 11.03.2012
Offline
396
Оптимизайка
#3
esetnod:
aes можно 256 битный.

Это повысит нагрузку на сервер. Для снятия нагрузки сжатие уберите (comp-lzo).

⭐ BotGuard (https://botguard.net) ⭐ — защита вашего сайта от вредоносных ботов, воровства контента, клонирования, спама и хакерских атак!
Andreyka
На сайте с 19.02.2005
Offline
822
Andreyka
#4

Нормальный у вас конфиг

Не стоит плодить сущности без необходимости
PS
На сайте с 25.11.2009
Offline
36
project-s
#5
Для снятия нагрузки сжатие уберите (comp-lzo).

понял!

раз работает, значит все ок. вопрос-то в чем?

а вдруг, можно улучшить... )

Нормальный у вас конфиг

Спасибо!

а если переделать на dev tun?

не? ))

---------- Добавлено 08.06.2013 в 14:47 ----------

Openvpn на облочном сервере, где оплата за ресурсы. 

Потребление памяти

Диск: запросов на чтение

Диск: запросов на запись

Сеть: получено	

Сеть: отправлено

хочется получить максимальное снижение нагрузки на сервер и при этом иметь:

быстрый и зашифрованный канал! )

Как удалить несколько млн. Все вопросы по бирже куда уйти с вордпресс?
Andreyka
На сайте с 19.02.2005
Offline
822
Andreyka
#6

Чем выше уровень шифрования тем больше нагрузка и меньше канала

HM
На сайте с 14.01.2012
Offline
253
hakuna matata
#7

процессор на сервере скорее всего с аппаратной поддержкой AES-NI, так что можно и 256-битный AES использовать

Artjom77
На сайте с 11.09.2007
Offline
75
Artjom77
#8

fast-io еще, только почитайте ман, оно еще в Experimental.

Проверить сайт на доступность из разных стран (http://check-host.net)
HM
На сайте с 14.01.2012
Offline
253
hakuna matata
#9
project-s:

а если переделать на dev tun?
не? ))

если нет необходимости в tap, то лично я предпочел бы tun

PS
На сайте с 25.11.2009
Offline
36
project-s
#10

Еще вопрос:

Замечал, что иконка подключения в трее зеленая (и я думаю, что интернет у меня через зашифрованный тоннель)

проверяю свой IP http://whoer.net/, а он мой реальный! (((

Что добавить в конфиги, что бы ни в коем случае трафик не шел по открытому каналу? без моего ведома!

Что бы инет не переключался на впн провайдера интернета.

---------- Добавлено 08.06.2013 в 17:13 ----------

если нет необходимости в tap, то лично я предпочел бы tun

ок

изменил в обоих конфигах dev tap на dev tun - трафика нет (

что еще забыл изменить или добавить?

спасибо.

Помощь в работе с Нужна помощь с роутами Лицензии на продукты ISP
12

Авторизуйтесь или зарегистрируйтесь, чтобы оставить комментарий