OVH Community, your new community space.

Verschlüsselte Verbindung zwischen Server


TF_SChw@rZl!cht
22.08.14, 06:29
hmpf ... das doch wieder son unnötiges Ding von ovh ... ich meine vpn über TCP funzt ist aber eigentlich total bescheuert ...

nur strange das es bei mir noch nicht aufgefallen ist ... habe immer full-speed zwischen meinen servern hmmmm
EvilMoe
21.08.14, 15:25
Problem konnte mit dem Störungsticket gelöst werden.
OVH drosselt UDP Packete, Umstellung auf TCP löste das Problem.
TF_SChw@rZl!cht
14.08.14, 14:21
hmmmm also einfallen tut mir da gerade nichts um ehrlich zu sein .... wie gesagt ich kann mich über keine Geschwindigkeitsprobleme beklagen
EvilMoe
12.08.14, 13:33
Leider das selbe Resultat:
root@xxxxx:/usr/src# wget http://10.0.0.1:8080/1Gio.dat
--2014-08-12 14:33:42-- http://10.0.0.1:8080/1Gio.dat
Connecting to 10.0.0.1:8080... connected.
HTTP request sent, awaiting response... 200 OK
Length: 1073741824 (1.0G) [application/x-ns-proxy-autoconfig]
Saving to: `1Gio.dat'

0% [ ] 1,956,827 128K/s eta 2h 24m
Ich weiß auch nicht was ich da noch probieren könnte...


EDIT: Das Problem besteht übrigens auch auf einer KVM Maschine die darauf läuft, obwohl bridged.
TF_SChw@rZl!cht
12.08.14, 07:03
hmmmm nunja ich habe nur Server in GRA RBX und SBG, weshalb ich das schlecht so testen kann aber hast du auch mal andere Dinge getestet wie z.B. nen simplen FTP upload/download?
EvilMoe
11.08.14, 14:12
Ich habe aktuell folgendes Problem. Ich habe mehrere Server in EU und Canada. Innerhalb Canada alles OK, auch innerhalb EU.
Das Problem ist der Upload von CA -> EU.
root@xxx:~# iperf -i 1 -P 1 -c 10.0.0.10 -r
------------------------------------------------------------
Server listening on TCP port 5001
TCP window size: 85.3 KByte (default)
------------------------------------------------------------
------------------------------------------------------------
Client connecting to 10.0.0.10, TCP port 5001
TCP window size: 22.0 KByte (default)
------------------------------------------------------------
[ 5] local 10.0.0.2 port 44303 connected with 10.0.0.10 port 5001
[ ID] Interval Transfer Bandwidth
[ 5] 0.0- 1.0 sec 256 KBytes 2.10 Mbits/sec
[ 5] 1.0- 2.0 sec 0.00 Bytes 0.00 bits/sec
[ 5] 2.0- 3.0 sec 128 KBytes 1.05 Mbits/sec
[ 5] 3.0- 4.0 sec 128 KBytes 1.05 Mbits/sec
[ 5] 4.0- 5.0 sec 0.00 Bytes 0.00 bits/sec
[ 5] 5.0- 6.0 sec 128 KBytes 1.05 Mbits/sec
[ 5] 6.0- 7.0 sec 128 KBytes 1.05 Mbits/sec
[ 5] 7.0- 8.0 sec 0.00 Bytes 0.00 bits/sec
[ 5] 8.0- 9.0 sec 128 KBytes 1.05 Mbits/sec
[ 5] 9.0-10.0 sec 128 KBytes 1.05 Mbits/sec
[ 5] 0.0-11.9 sec 1.12 MBytes 790 Kbits/sec
[ 4] local 10.0.0.2 port 5001 connected with 10.0.0.10 port 41416
[ 4] 0.0- 1.0 sec 2.01 MBytes 16.8 Mbits/sec
[ 4] 1.0- 2.0 sec 4.25 MBytes 35.7 Mbits/sec
[ 4] 2.0- 3.0 sec 4.94 MBytes 41.4 Mbits/sec
[ 4] 3.0- 4.0 sec 5.42 MBytes 45.5 Mbits/sec
[ 4] 4.0- 5.0 sec 5.50 MBytes 46.1 Mbits/sec
[ 4] 5.0- 6.0 sec 5.42 MBytes 45.5 Mbits/sec
[ 4] 6.0- 7.0 sec 5.56 MBytes 46.7 Mbits/sec
[ 4] 7.0- 8.0 sec 5.70 MBytes 47.8 Mbits/sec
[ 4] 8.0- 9.0 sec 5.54 MBytes 46.4 Mbits/sec
[ 4] 9.0-10.0 sec 5.48 MBytes 45.9 Mbits/sec
[ 4] 0.0-10.2 sec 51.0 MBytes 42.0 Mbits/sec
Das habe ich von beiden CA Servern zu den SBG Server. Ne Idee? Das ist nur über tinc so.
TF_SChw@rZl!cht
11.08.14, 13:36
Was meinst du? Durch die Encryption über den userspace benötigt es natürlich ein wenig mehr Leistung als natives IPSec usw. bei den heutigen CPUs aber eigentlich zu vernachlässigen (es sei denn man hat extrem langsame CPUs ^^). Tja und mit Compression braucht es natürlich noch mehr CPU ... nutze es aber eigentlich ohne bisher recht gut.

Selbst auf meinen 3,99 € Kimsufi kann ich mit vollen 100 Mbit/s zugreifen.
EvilMoe
10.08.14, 17:28
Hast du vielleicht ein paar Tipps zu performance? Ich bekomme knapp 1/4 der Leistung ohne tinc.
Ich spiele gerade mit der Komprimierung rum.
EvilMoe
09.08.14, 19:52
Die Verbindung klappt schon mal zwischen allen Servern, nun schauen wir uns das mal an wie es im Langzeittest ausschaut.
EvilMoe
08.08.14, 09:07
Zitat Zitat von TF_SChw@rZl!cht
Das was du suchst nennt sich Tinc und ist bei mir schon seit Ewigkeiten im Einsatz ... Damit habe ich mein privates LAN unter all meinen Servern aufgebaut
http://www.tinc-vpn.org/
Danke! Das sieht doch schonmal gut aus. Ich werde mich am Wochenende bzw. nächste Woche daran versuchen.
TF_SChw@rZl!cht
08.08.14, 07:15
Das was du suchst nennt sich Tinc und ist bei mir schon seit Ewigkeiten im Einsatz ... Damit habe ich mein privates LAN unter all meinen Servern aufgebaut
http://www.tinc-vpn.org/
uisge
07.08.14, 20:39
Zitat Zitat von EvilMoe
EDIT: Es gibt auch P2P VPN, schonmal davon gehört?
Von einem Produkt diesen Namens? Leider nein.

Mein Ansatz oben ist aber eine P2P-Anbindung meiner beiden Rechner, verschlüsselt mittels IPSec. Darüber kann ich alles mögliche verschlüsselt hin- und herschieben. IIRC kann man den Tunnel auch über tun-Interfaces (oder wie diese bei Linux genannt werden) anbinden.

Sorry, bin keine große Hilfe, aber vielleicht kommt ja noch weiterer Input.
EvilMoe
07.08.14, 19:51
Das hast du schon richtig verstanden, ich möchte also ein privates LAN ohne es umständliche zu gestalten. Dieses sollte am besten als eigenes interface erscheinen.
Deine Möglichkeit, falls dieses funktionieren sollte, scheint mir doch etwas aufwändig^^

EDIT: Es gibt auch P2P VPN, schonmal davon gehört? Ich habe leider noch keinen guten client/Server dafür finden können.
uisge
07.08.14, 19:45
Zitat Zitat von EvilMoe
hat jemand Erfahrung mit dem verschlüssel mehrerer Server untereinander? Ich meine damit aber kein normales VPN, denn die Server sollen auch Sternförmig kommunizieren können, auch wenn der "Master" Server ausfällt.
Nur damit ich das richtig verstehe: der Master ist sternförmig mit allen Slaves verknüpft, fällt er aus, wird ein Slave zum Master und kommuniziert nun ebenfalls sternmäßig mit allen verbleibenden Slaves? D.h., jeder Rechner müßte sternförmig mit allen anderen verbunden sein, und das hieße, jeder Rechner bräuchte eine verschlüsselte Verbindung zu jedem anderen Rechner, richtig?

Unter der Annahme, daß das so richtig verstanden wurde, und eingedenk des Umstandes, daß mir kein Produkt einfällt, das dieses out-of-the-box bereitstellt, kann ich nur einen mir spontan einfallenden Ansatz einbringen, der auf meiner Realisierung zur verschlüsselten Verbindung zweier Rechner basiert: IPSec/Racoon-Tunnel über zwei IPv6-Adressen und speziellen Port, der zusätzlich noch per Firewall vom Zugriff anderer Rechner geschützt ist.

In deinem Fall müsstest Du jeden Partnerrechner per eigenem IPSec-Tunnel anbinden. Wie's mit dem sternförmigen Routing aussieht, bzw. ob das IPSec/Racoon bordmäßig hinbekommen, weiß ich nicht.

Ich habe das allerdings über nur zwei FreeBSD-Rechner realisiert, mit Linux kenn ich mich nicht mehr so gut aus. IPSec/Racoon sollte es aber auch bei Debian geben. Über meinen Tunnel synchronisiere ich seit langer Zeit zwei Dovecot-Server ohne Probleme. Einmal eingerichtet läuft der Tunnel wartungsfrei.

Falls ich das alles falsch verstanden haben sollte, dann nix für ungut
dabla
07.08.14, 18:38
sorry mit erfahrungen in dem bereich kann ich nicht mit dienen. ich weiß nur das es da techniken gibt die read only sind und welche die read/write sind. da musst du halt drauf achten. mehr kann ich dazu leider nicht sagen. sorry
EvilMoe
07.08.14, 16:41
Nicht glusterfs, aber ähnlich. Und was für P2P Möglichkeiten gibt es? Erfahrungen?
dabla
07.08.14, 16:38
schätze mal du redest von glusterfs. aber es gibt nur 2 möglichkeiten: entweder mit spof also über einen Server oder p2p.
EvilMoe
07.08.14, 15:58
Hallo,

hat jemand Erfahrung mit dem verschlüssel mehrerer Server untereinander? Ich meine damit aber kein normales VPN, denn die Server sollen auch Sternförmig kommunizieren können, auch wenn der "Master" Server ausfällt. Ich habe damit aber bisher keine Erfahrungen.

Kennt dort jemand eine gute Methode(am besten natürlich mit Boardmitteln; alles Debian Systeme)?
Ich habe bisher etwas von P2P VPN lesen können, allerdings weiß ich nicht ob dies so stabil ist.

VLAN kommt leider nicht in Frage.

EDIT: Vergessen, es geht dabei nicht um FTP oder ein ähnlichen Dienst, es geht um ein Dateisystem das sich über mehrere Systeme verteilt ist, dieses bietet bisher keine eingebaute Verschlüsselung.
Sven