Nefunguje nahrávání souborů přes FTP a VPN

[Adam Chyský]

Dobrý den,

máme na firemní servery omezené FTP připojení podle IP adresy, takže se připojuji přes VPN. Nedávno mi na kabelovém internetu přestalo fungovat nahrávání souborů. Vždy se to zasekne ve 100 % a konec, po chvilce upload timeoutuje.

Nahrávání s VPN přes jiné připojení, např. hotspot z telefonu, normálně funguje.

Nahrávání na FTP bez VPN funguje.

Zkoušel jsem jak wifi, tak se připojit kabelem do modemu, bez úspěchu.

Zkoušel jsem změnit port, na kterém VPN komunikuje, bez úspěchu.

Zkoušel jsem úplně jinou VPN (OpenVPN místo WireGuardu) a na jiném místě, abych eliminoval, že by to mohlo být mým serverem, bez úspěchu.

Všechno ostatní mi přes tu VPN funguje. Tohle je, jak kdyby se někde po cestě blokoval uplink většího množství dat přes to UDP, které VPN používá.

Prosím, nějaký nápad, co s tím?

Díky.

[Ondrej1]

Pokud to doběhne vždycky ke sto procentům (bez ohledu na velikost přenášeného souboru), tak to na mě dělá dojem, že něco mezitím zavře řídicí spojení  FTP a nedojde potvrzení od serveru. Asi bych začal tím, že bych se pokusil použít nějaký normálnější protokol (SFTP, SMB/CIFS), který pro svůj provoz nepotřebuje dvě spojen a FTP poslal kam patří (na smetiště dějin).

Pokud je podezření na UDP protokol, tak OpenVPN lze provozovat jako TCP (sám to tak mám).

Ještě dotaz - Vodafone Station WiFi 6 je v módu modem nebo router?

[Adam Chyský]

Jiný protokol by byl bezva, ale tady to nelze. Máme hromadu zákazníků, co to FTP používá a potřebuji to mít funkční. Každopádně přesně takhle to vypadá, že se uzavře ten řídící socket. OVPN přes TCP zkusím, ale moc se mi takové řešení nelíbí. My ten WG přes UDP používáme na hromadu věcí a nerad bych v budoucnu přišel na to, že něco dalšího nejde ve chvíli, kdy to zrovna potřebuji. Nevíte, jestli tu reaguje nějaký síťař z VF, který by se na to dokázal podívat? Jde to případně někam eskalovat?

Krabička je zatím v režimu router.

Díky za reakci.

[Veronika - Vodafone]

@Adam ChyskýPěkné odpoledne, kontaktujte prosím technickou podporu na lince 800 77 00 77 přes volbu v menu 2, ideálně přímo od zařízení, aby to s vámi mohli projít. Kolegové jsou na telefonu každý den do 22 hod. 

[r2d2]

@Adam ChyskýU OpenVPN si zkontrolujte, že máte:

• MTU vpořádku (můžete zkusit zníčit, měla by být minimálně zapnuta detekce pomocí mtu-test),
• keep alive zapnutý s malým intervalem (max. minuta až dvě) - keepalive 20 60 např.

U WG:

• PersistentKeepalive = 20 pro quick, jinak něco jako wg set <iface> peer <public key> persistent-keepalive 20

V obou případech doporučuji zkontrolovat stabilitu připojení pomocí iperf/iperf3, zda tam nedochází k packet loss při přenosu / vytížení linky (ping na tohle nemusí stačit), potom bych zkusil persistentní spojení - třeba jen přes nc otevřit socket a nechat ho pár minut bez dat, zda se spojení samo rozpadne (předpokládám, že ano). Pravděpodobně ten problém bude v některé NAT po cestě (nebo je jich tam víc, případně jste za CGNAT, nebo máte veřejnou IP?).

[Adam Chyský]

Díky za tip s iperf3, neznal jsem. Tady je možná vidět ten problém. 2 stejná měření, první na hotspotu v telefonu, druhé přes VF kabel. Testováno směrem na můj server, který mám na té síti, ke které se připojuji přes WG. Jak si to interpretovat? Veřejnou IP u VF nemám, na té druhé straně ano.

 

 

Upraveno 26. června uživatelem Adam Chyský

[r2d2]

@Adam ChyskýTak pokud nemáte veřejnou IP, tak to znamená, že jste minimálně za jedním NAT, ale dost možná za dvěma (router a CGNAT), takže tam bude velmi pravděpodobně nutný keepalive u WG.

A zkusil bych i jiného FTP klienta (ono je nutné u té control connection nastavit SO_KEEPALIVE či jeho obdobu, je otázkou zda to ten klient dělá).

[Standa]

před 8 hodinami, Adam Chyský napsal:

.... Veřejnou IP u VF nemám, na té druhé straně ano. ...

 

No u VF máte veřejnou ip vždycky . Modem slouží jako router, takže na na NB vidíte adresu 192.168.x.y ..

[Adam Chyský]

Tak zřejmě vyřešeno. Zjistil jsem nefragmentovaným pingem, že existuje timeoutovací mezera, kdy ještě ping jde, a kdy už se vrací zpráva o nutné fragmentaci. Něco po cestě u Vodafonu zahazuje rámce s velikostí nad skutečnou MTU (1392), ale pod očekávanou MTU (1420). Viz ping, k těm velikostem je potřeba přičítat 28b režii. Ve WG jsem explicitně nastavil MTU na 1392 a lítá to jak za mlada. Slušné WTF. Díky za podněty a pomoc.