Поздравляем)

Спасибо 🙏🏻

Добрый вечер, подскажите, есть проблема с сервером open vpn на windows 2012r2.
Пинг с клиента на Ip vpn сервера в туннеле:
Ответ от 10.8.0.1: число байт=32 время=2мс TTL=128
Ответ от 10.8.0.1: число байт=32 время=661мс TTL=128
Ответ от 10.8.0.1: число байт=32 время=1мс TTL=128
Превышен интервал ожидания для запроса.
Ответ от 10.8.0.1: число байт=32 время=1мс TTL=128
Ответ от 10.8.0.1: число байт=32 время=1мс TTL=128
Ответ от 10.8.0.1: число байт=32 время=1мс TTL=128
Ответ от 10.8.0.1: число байт=32 время=2мс TTL=128

эта потеря пакетов происходит стабильно, раз в 30-40 секунд,
при этом в логах open vpn сервера на винде появляются строчки с ошибками:

Wed Apr 29 20:27:51 2020 client02/5.167.5.235:55961 MULTI: Outgoing TUN queue full, dropped packet len=60
Wed Apr 29 20:27:51 2020 client02/5.167.5.235:55961 MULTI: Outgoing TUN queue full, dropped packet len=60

до этого работали на удп протоколе скорость была низкая, терялись пакеты, поменяли на tcp и скорость стала получше, но потери пакетов остались.

Конфиг сервера:
mode server
port 1194
proto tcp4
sndbuf 524288
rcvbuf 524288
push "sndbuf 524288"
push "rcvbuf 524288"
tcp-nodelay
dev tun
topology subnet
server 10.8.0.0 255.255.255.0 nopool
ifconfig-pool 10.8.0.100 10.8.0.200
keepalive 10 120
key-direction 0
cipher AES-256-CBC
persist-key
persist-tun
verb 4
route-method exe
client-to-client
route 192.168.2.0 255.255.255.0 10.8.0.2
client-config-dir "C:\\OpenVPN\\ccd"

конфиг клиента:
dev tun
proto tcp
remote x.x.x.x 1194
nobind
persist-key
persist-tun
cipher AES-256-CBC
verb 3
route 192.168.1.0 255.255.255.0
remote-cert-tls server
key-direction 1


куда копать, чтобы фиксить эти пропажи пакетов, может кто сталкивался? заранее спасибо.

Поверка пройдена в этом году, прибор отправили обратно на ТО в Санкт-Петербург

Нету рапорта, есть заявка и ответ от техподдержки

Винда на железе или виртуалка?
Сетевая какая? Вообще виртуальные интерфейсы на этом хосте есть?

железная, сервер hp proliant, сетевая broadcom netxtreme gigabit ethernet, виртуалок немаэ, кроме tap адаптера от openvpn

Фио и год рождения, перс данные, притянут за них

Там нет подписи что это год рождения

Не притянут, догадками в суде и РКН не будут заниматься, должно быть чётко дата рождения указана и подписано что это дата рождения. Тут не понятно что за цифры

Дим, понятно что просто так и без заявлений не будут. Но ежу что понятно что это год. Не обязательно чтоб поля были поименованы.

Мало ли что это за список

Я думаю не важно что это за список, важно что в нем перс данные, случайно кто-то узнает свою или знакомого фио и жалуется, сотрудника больницы быстро найдут..

а максимально упростить конфиг пробовал? ну и есть же текст ошибки, пробовал по нему искать?

Пробовал, брал прям с коммунити опенвпн дефолтный конфиг, ошибку гуглил, пишут в основном переключите на udp транспорт, а удп ещё хуже, там по 6-7 пакетов теряется за раз :D
Я сейчас включил компрессию compress lz4-v2, стало получше дропов пинга почти нет, но это три устройства онлайн, а завтра двадцать юзеров кааа-к навалятся...
И при этом в логах сервера ошибок отброса пакетов оооочень много.

А ошибки со стороны сетевого оборудования исключили - физическую среду, логическую?

А загрузка процессора/ОЗУ как на машине во время провалов?

С клиента до сервера БЕЗ поднятого туннеля сделай WinMTR минут 5-10, покажи.

IP для секурности можно замазать, они не важны

Нагрузка на железо 30-50%, учитывая, что это винда и старенький не самый хороший серв, это норм

|                                      WinMTR statistics                                   |
|                       Host              -   % | Sent | Recv | Best | Avrg | Wrst | Last |
|                            x.x.x.x      -    0 |  304 |  304 |    0 |    0 |   13 |    0 |
|                          x.x.x.x -           0 |  304 |  304 |    1 |    1 |   10 |    1 |
|                             x.x.x.x     -    0 |  304 |  304 |    1 |    1 |   13 |    1 |
|                           x.x.x.x       -    0 |  304 |  304 |    1 |    1 |   12 |    2 |