[VPN] UDP Flood ?

bort_83 · 07-03-2006, 15:34

Ho 2 reti collegate tra loro tramite una VPN CIPE su linux,
http://sites.inka.de/sites/bigred/devel/cipe.html

CIPE crea un tunnel IP over UDP e stabilisce la connessione tra le porte 6061 dei due pc.

I miei 2 pc che stabiliscono il tunnel hanno 2 connessioni ad internet differenti.

Quando provo a trasferire un file dal pc con connessione 1Mbit a quello con connessione 640Kbit con scp su CIPE, dopo circa 30 secondi il tunnel va in stallo con tutte le connessioni che transitano sulla vpn, compreso il trasferimento scp.

Se invece provo a trasferire dal pc più "lento" a quello più "veloce" il problema non si pone.

Il traffico reale su internet è tutto udp e quando la vpn va in "stallo" non vi è nessun transito di pacchetti.

E' possibile che il pc + veloce fiaccia un flood udp a quello + lento ?

http://sites.inka.de/bigred/archive/.../msg00000.html

ilsensine · 07-03-2006, 15:42

Quote:

Originariamente inviato da bort_83

Quando provo a trasferire un file dal pc con connessione 1Mbit a quello con connessione 640Kbit con scp su CIPE, dopo circa 30 secondi il tunnel va in stallo con tutte le connessioni che transitano sulla vpn, compreso il trasferimento scp.

Puoi fare in modo di aprire temporaneamente un altro canale (ad es. una connessione ssh diretta, che non transita per la VPN) tra i due PC e verificare se va in stallo anch'essa oppure no?
Altro traffico tramite la adsl (che non passa per il PC "bersaglio" o la vpn) è affetto o no?

bort_83 · 07-03-2006, 16:05

uhm.. ho provato a fare i test che mi hai consigliato ed effettivamente anche se trasferisco tramite scp un file, sia se attraverso il tunnel che direttamente scp va in stallo, e con esso tutte le altre connessioni (anche un semplice ping a google diventa prima lentissimo poi inizio a perdere i pacchetti)

a questo punto direi che si può escludere un problema della vpn, che ne dici ilsensine ?

ilsensine · 07-03-2006, 16:07

Mi sembra ovvio.

Puoi ripetere il test trasferendo con sftp/scp direttamente, senza passare per la vpn, e verificare che lo stallo ricompare?

bort_83 · 07-03-2006, 16:22

ho verificato ripetendo di nuovo i trasferimenti scp fuori dal tunnel VPN

ed effettivamente

Codice:

file.grosso                                     2% 1776KB   3.4KB/s - stalled -

la connessione parte a 155KB/s e poi degrada fino a fermarsi

ho notato che il degrado è più rapido se la connessione "dall'altra parte" è + veloce... ho fatto il test sia con una controparte megabit che con una adsl 640... e quando trasferisco verso la 640 ci mette una decina di secondi in + ad andare in stallo

... questo è da prendere un po "as-is" perchè è + una sensazione che un test "scientifico"

ma potrebbe chiamare in causa il router che mi connette ad internet, vero ?

marco.r · 07-03-2006, 20:17

Se la connessione da 1MBit è ADSL, prova a sentire il fornitore della connettività. Ho avuto un problema analogo in cui se saturavo la banda in upload (ad esempio via ftp) dopo una decina di secondi si piantava tutto e non trasmettevo più un singolo byte. Alla fine si trattava di un problema di configurazione da parte del provider (almeno così mi hanno detto).

gurutech · 07-03-2006, 20:56

Quote:

Originariamente inviato da marco.r

Se la connessione da 1MBit è ADSL, prova a sentire il fornitore della connettività. Ho avuto un problema analogo in cui se saturavo la banda in upload (ad esempio via ftp) dopo una decina di secondi si piantava tutto e non trasmettevo più un singolo byte. Alla fine si trattava di un problema di configurazione da parte del provider (almeno così mi hanno detto).

in questo caso il test da fare può essere mettere un server web da un lato e scaricare con il wget limitando il transfer rate per vedere se si inchioda

gurutech · 07-03-2006, 21:02

comunque una cosa interessante da leggere sull'argomento (anche se non è questo il caso) è:
Why TCP Over TCP Is A Bad Idea

ilsensine · 08-03-2006, 07:59

Quote:

Originariamente inviato da bort_83

ho verificato ripetendo di nuovo i trasferimenti scp fuori dal tunnel VPN

ed effettivamente

Codice:

file.grosso                                     2% 1776KB   3.4KB/s - stalled -

la connessione parte a 155KB/s e poi degrada fino a fermarsi

Una volta raggiunto lo stallo, vanno in stallo anche altre connessioni o solo questo trasferimento? Ovvero, puoi aprire un'altra connessione verso un altro computer? (l'ideale sarebbe se qualcuno "dall'altra parte" fa la stessa prova sul secondo computer, mentre il trasferimento è in stallo)

bort_83 · 08-03-2006, 09:43

Quote:

Originariamente inviato da ilsensine

Una volta raggiunto lo stallo, vanno in stallo anche altre connessioni o solo questo trasferimento? Ovvero, puoi aprire un'altra connessione verso un altro computer? (l'ideale sarebbe se qualcuno "dall'altra parte" fa la stessa prova sul secondo computer, mentre il trasferimento è in stallo)

Una volta che il trasferimento va in stallo, anche le altre connessioni vanno in stallo, sia le vpn, sia le connessioni sulla vpn che un semplice ping verso google (host irraggiungibile)

ho provato anche altri tipi di trasferimento (ftp) in upload e il problema è uguale.

devo provare ancora a trasferire in download ma devo aspettare che non ci sia nessuno che si stia collegando (i clienti altrimenti mi sparano )

marco.r puoi dirmi che provider era il tuo, anche in pvt e come hai risolto?

ilsensine · 08-03-2006, 10:03

Quote:

Originariamente inviato da bort_83

Una volta che il trasferimento va in stallo, anche le altre connessioni vanno in stallo, sia le vpn, sia le connessioni sulla vpn che un semplice ping verso google (host irraggiungibile)

Ok quindi il problema è sulla scheda di rete o sul router. Devi fare un pò di prove per stabilire di chi è la colpa (ad es. se hai una LAN connessa al router e il router è il colpevole, allora le comunicazioni interne alla LAN con il computer "bersaglio" devono funzionare, ma tutti i PC devono aver problemi ad uscire su internet; se la colpa è della scheda di rete devi osservare il comportamento opposto).

bort_83 · 08-03-2006, 16:44

Quote:

Originariamente inviato da bort_83

...
devo provare ancora a trasferire in download ma devo aspettare che non ci sia nessuno che si stia collegando (i clienti altrimenti mi sparano )

...

ho provato a trasferire in download ma pare il problema non ci sia!

ilsensine · 09-03-2006, 08:17

Se il computer da dove hai scaricato ha una connessione più lenta, hai ulteriormente ridotto il cerchio dei sospetti sul tuo lato.

Come ti hanno consigliato sul forum cipe, elimina anche qualsiasi filtraggio sui pacchetti icmp.

07-03-2006, 15:34	#1
bort_83 Senior Member Iscritto dal: Oct 2003 Città: Turin Messaggi: 746	[VPN] UDP Flood ? Ho 2 reti collegate tra loro tramite una VPN CIPE su linux, http://sites.inka.de/sites/bigred/devel/cipe.html CIPE crea un tunnel IP over UDP e stabilisce la connessione tra le porte 6061 dei due pc. I miei 2 pc che stabiliscono il tunnel hanno 2 connessioni ad internet differenti. Quando provo a trasferire un file dal pc con connessione 1Mbit a quello con connessione 640Kbit con scp su CIPE, dopo circa 30 secondi il tunnel va in stallo con tutte le connessioni che transitano sulla vpn, compreso il trasferimento scp. Se invece provo a trasferire dal pc più "lento" a quello più "veloce" il problema non si pone. Il traffico reale su internet è tutto udp e quando la vpn va in "stallo" non vi è nessun transito di pacchetti. E' possibile che il pc + veloce fiaccia un flood udp a quello + lento ? http://sites.inka.de/bigred/archive/.../msg00000.html __________________ LiNUX User: 371384 "Bort_83 @ jabber.linux.it" LaKRiKKADiBoRT_SeTi@HoMe_GRouP .:: Vendo Cerchioni in lega peugeot 205 GT, 309 GT, 405, 106 Rally + Pirelli P600 185/55R16 ::.

07-03-2006, 16:05	#3
bort_83 Senior Member Iscritto dal: Oct 2003 Città: Turin Messaggi: 746	uhm.. ho provato a fare i test che mi hai consigliato ed effettivamente anche se trasferisco tramite scp un file, sia se attraverso il tunnel che direttamente scp va in stallo, e con esso tutte le altre connessioni (anche un semplice ping a google diventa prima lentissimo poi inizio a perdere i pacchetti) a questo punto direi che si può escludere un problema della vpn, che ne dici ilsensine ? __________________ LiNUX User: 371384 "Bort_83 @ jabber.linux.it" LaKRiKKADiBoRT_SeTi@HoMe_GRouP .:: Vendo Cerchioni in lega peugeot 205 GT, 309 GT, 405, 106 Rally + Pirelli P600 185/55R16 ::.

07-03-2006, 16:07	#4
ilsensine Senior Member Iscritto dal: Apr 2000 Città: Roma Messaggi: 15625	Mi sembra ovvio. Puoi ripetere il test trasferendo con sftp/scp direttamente, senza passare per la vpn, e verificare che lo stallo ricompare? __________________ 0: or %edi, %ecx; adc %eax, (%edx); popf; je 0b-22; pop %ebx; fadds 0x56(%ecx); lds 0x56(%ebx), %esp; mov %al, %al andeqs pc, r1, #147456; blpl 0xff8dd280; ldrgtb r4, [r6, #-472]; addgt r5, r8, r3, ror #12

07-03-2006, 16:22	#5
bort_83 Senior Member Iscritto dal: Oct 2003 Città: Turin Messaggi: 746	ho verificato ripetendo di nuovo i trasferimenti scp fuori dal tunnel VPN ed effettivamente Codice: file.grosso 2% 1776KB 3.4KB/s - stalled - la connessione parte a 155KB/s e poi degrada fino a fermarsi ho notato che il degrado è più rapido se la connessione "dall'altra parte" è + veloce... ho fatto il test sia con una controparte megabit che con una adsl 640... e quando trasferisco verso la 640 ci mette una decina di secondi in + ad andare in stallo ... questo è da prendere un po "as-is" perchè è + una sensazione che un test "scientifico" ma potrebbe chiamare in causa il router che mi connette ad internet, vero ? __________________ LiNUX User: 371384 "Bort_83 @ jabber.linux.it" LaKRiKKADiBoRT_SeTi@HoMe_GRouP .:: Vendo Cerchioni in lega peugeot 205 GT, 309 GT, 405, 106 Rally + Pirelli P600 185/55R16 ::.

07-03-2006, 20:17	#6
marco.r Senior Member Iscritto dal: Dec 2005 Città: Istanbul Messaggi: 1816	Se la connessione da 1MBit è ADSL, prova a sentire il fornitore della connettività. Ho avuto un problema analogo in cui se saturavo la banda in upload (ad esempio via ftp) dopo una decina di secondi si piantava tutto e non trasmettevo più un singolo byte. Alla fine si trattava di un problema di configurazione da parte del provider (almeno così mi hanno detto). __________________ One of the conclusions that we reached was that the "object" need not be a primitive notion in a programming language; one can build objects and their behaviour from little more than assignable value cells and good old lambda expressions. —Guy Steele

07-03-2006, 21:02	#8
gurutech Senior Member Iscritto dal: Jun 2000 Città: S.Giuliano (MI) Messaggi: 1046	comunque una cosa interessante da leggere sull'argomento (anche se non è questo il caso) è: Why TCP Over TCP Is A Bad Idea __________________ “No te tomes tan en serio la vida, al fin y al cabo no saldrás vivo de ella”

09-03-2006, 08:17	#13
ilsensine Senior Member Iscritto dal: Apr 2000 Città: Roma Messaggi: 15625	Se il computer da dove hai scaricato ha una connessione più lenta, hai ulteriormente ridotto il cerchio dei sospetti sul tuo lato. Come ti hanno consigliato sul forum cipe, elimina anche qualsiasi filtraggio sui pacchetti icmp. __________________ 0: or %edi, %ecx; adc %eax, (%edx); popf; je 0b-22; pop %ebx; fadds 0x56(%ecx); lds 0x56(%ebx), %esp; mov %al, %al andeqs pc, r1, #147456; blpl 0xff8dd280; ldrgtb r4, [r6, #-472]; addgt r5, r8, r3, ror #12

Strumenti
Mostra una versione stampabile Invia questa pagina per email