<div dir="ltr">Thank you for the helpful advice. We will try to group the servers with different ConnectTo servers first. If this does not help we will look at the TunnelServer solution. Just to make sure we understand TunnelServer correctly: do you need to specify every host as ConnectTo that the host should be able to communicate with or is it sufficient to just provide the hosts files?<div><br></div><div>Thanks, Hendrik</div></div><div class="gmail_extra"><br><div class="gmail_quote">2016-06-21 14:35 GMT+02:00 Guus Sliepen <span dir="ltr"><<a href="mailto:guus@tinc-vpn.org" target="_blank">guus@tinc-vpn.org</a>></span>:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">On Tue, Jun 21, 2016 at 01:04:31PM +0200, Hendrik Schumacher wrote:<br>
<br>
> From time to time the whole network goes down though. This happened when we<br>
> restarted a larger number of servers or when there was a connectivity issue<br>
> between datacenters or some (short) maintenance on the network<br>
> infrastructure. The problem was already described in the mailing list (for<br>
> example here:<br>
> <a href="https://www.tinc-vpn.org/pipermail/tinc/2015-December/004325.html" rel="noreferrer" target="_blank">https://www.tinc-vpn.org/pipermail/tinc/2015-December/004325.html</a> , we see<br>
> the same messages in our logs as described there).<br>
[...]<br>
> We already tried to tweak the configuration to limit the amount of metadata<br>
> by only having 3 ConnectTo hosts (the same ones everywhere) and using<br>
><br>
> Broadcast = no<br>
> DirectOnly = yes<br>
> Cipher=aes-128-cbc<br>
<br>
These options do not directly affect metadata. In particular,<br>
"DirectOnly = yes" may actually cause nodes to be less reachable than<br>
without that option.<br>
<br>
> We are also going to increase PingTimeout to 30 and reduce the number of<br>
> ConnectTo hosts to 2.<br>
<br>
Increasing PingTimeout will probably help. As for the ConnectTo hosts:<br>
reducing the number will also reduce the amount of metadata traffic<br>
proprotionally. However, in your case, with 400 nodes connection to the<br>
same 3 central nodes, you might have to look at the amount of metadata<br>
that each node handles. It would be better to have more central nodes,<br>
and have leaf nodes only connect to a few of them.<br>
<br>
> Is there anything else we can do to limit the amount of metadata (as that<br>
> seems to be reason why tinc just stops working and only produces log<br>
> messages about failed connection attempts)?<br>
<br>
Not really.<br>
<br>
> Ideally we would not need any metadata updates at all (apart from key<br>
> updates) since each host can connect to every other host and all the host<br>
> config files are available everywhere locally.<br>
<br>
In that case, you might want to have a look at the tinc 1.1 prerelease,<br>
remove the ConnectTo's and enable the AutoConnect feature. This will let<br>
tinc make metaconnections automatically in a more distributed way. It<br>
will also switch metaconnections to different nodes in case the ones it<br>
is connecting to fail.<br>
<br>
> We also thought about using TunnelServer = yes, would this help?<br>
<br>
That might help, but then you lose most of the peer-to-peer<br>
connectivity. The reason is that tinc nodes actually only look at their<br>
host config files when making metaconnections. With TunnelServer = yes,<br>
nodes will only learn about those servers, but don't learn about all the<br>
other nodes, and then they will act like they don't exist.<br>
<br>
> Does it make sense to somehow group ConnectTo hosts (so use two<br>
> ConnectTo servers for one host group, another two for another host<br>
> group and let the ConnectTo servers connect to each other)?<br>
<br>
That will probably help.<br>
<span class="HOEnZb"><font color="#888888"><br>
--<br>
Met vriendelijke groet / with kind regards,<br>
     Guus Sliepen <<a href="mailto:guus@tinc-vpn.org">guus@tinc-vpn.org</a>><br>
</font></span><br>_______________________________________________<br>
tinc mailing list<br>
<a href="mailto:tinc@tinc-vpn.org">tinc@tinc-vpn.org</a><br>
<a href="https://www.tinc-vpn.org/cgi-bin/mailman/listinfo/tinc" rel="noreferrer" target="_blank">https://www.tinc-vpn.org/cgi-bin/mailman/listinfo/tinc</a><br>
<br></blockquote></div><br></div>