Ситуация:
- Есть сервер windows 2003 server - располагается в локальной сети предприятия. Из ролей запущенна RDP.
- Есть интернет сервер - OS CentOS 6.4: прокси, dhcp, dns, ftp, openvpn,samba, dr'web сервер.
- Есть клиент в другом городе: необходим доступ к RDP серверу.
Интернет канал: беспроводной - WiMax - скорость не очень быстрая.
Для того чтобы клиентам из другого города позволить работать в RDP сервере, а так же сделать это более менее безопасно, было настроенно:
- OpenVPN сервер
- iptables разрешает через openvpn исключительно работу с FTP и RDP.
Проблема:
Очень сильно тормозит картинка RDP: подвисания (на 5-6 секунд любого действия), пропадание картинки (черный экран) и так далее.
Конфиги:
конфиг OpenVPN на сервере:
Код: Выделить всё
cat /etc/openvpn/openvpn.conf
port 1195
proto udp
dev tun
tls-server
server 10.1.1.0 255.255.255.0
#keepalive 10 120
persist-key
persist-tun
status /var/log/openvpn-status.log
log-append /var/log/openvpn.log
client-config-dir /etc/openvpn/ccd
push "route 10.1.1.0 255.255.255.0"
#push «route 192.168.0.201 255.255.255.255»
#push «route-gateway 10.1.1.1»
#duplicate-cn
ca /etc/openvpn/keys/ca.crt
cert /etc/openvpn/keys/server.crt
key /etc/openvpn/keys/server.key
dh /etc/openvpn/keys/dh1024.pem
comp-lzo yes
#tun-mtu 1500
#tun-mtu-extra 32
mssfix
keepalive 15 120
fragment 1100конифг клиента:
Код: Выделить всё
client
tls-client
verb 3
dev tun
proto udp
remote xx.xx.xx.xx 1195
nobind
persist-key
persist-tun
ca "C:\\Program Files (x86)\\OpenVPN\\config\\ca.crt"
cert "C:\\Program Files (x86)\\OpenVPN\\config\\vsafonin.crt"
key "C:\\Program Files (x86)\\OpenVPN\\config\\vsafonin.key"
fragment 1100
mssfix
comp-lzo yesв iptables простое правило по пробросу портов (так и не разобрался с маршрутами в OpenVPN на Windows 7 64 бита при включенном UAC очень много ошибок было по добавлению OpenVPN маршрутов в Windows)
Код: Выделить всё
iptables -A FORWARD -i tun0 -p tcp --dport 3389 -j ACCEPT
#iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
#Проброс (старый вариант, чтобы клиентов не переучивать...а то у них паника начнется)
iptables -t nat -A PREROUTING -d $OVPN_IP -p tcp --dport 4666 -j DNAT --to-destination $RDP_SRV:3389
iptables -t nat -A POSTROUTING -d $RDP_SRV -p tcp --dport 3389 -j SNAT --to-source $OVPN_IPДля решения данной проблемы уже было выполнено:
игрался с параметрами fragment (повышал, понижал), убирал, добавлял mssfix и comp-lzo, Переводил с UDP на TCP и обратно.
После некоторых манипуляций был получен положительный эффект, но как выяснилось не на долго. (1 - 2 дня).
Собственно прошу помощи, советов, возможно заменить данную конструкцию на другую не менее безопасную (если более то лучше будет)? или же все таки возможно от OpenVPN добится результата?
P.S: точно такой же конфиг (да и сервер практически клон), в другой организации - таких проблем нет. Единственное отличие - проводной скоростной интернет. По этому мне кажется проблема все таки в интернет канале.
