OpenVPN-клиенты перестали видеть друг-друга и сервер после его перезагрузки

[vkapas]

После перезагрузки OpenVPN-сервера внезапно нарушилась связанность сети, и клиенты перестали видеть друг-друга и сам сервер. Хотя последние правки конфигов вносились неделю назад, и того времени служба openvpn не раз перезапускалась.

В чём может быть дело?

Сервер:

/etc/openvpn/server.conf

Код: [Выделить]

port 1194
proto udp
dev tun
ca keys/ca.crt
cert keys/server.crt
key keys/server.key  # This file should be kept secret
dh keys/dh2048.pem
server 10.8.0.0 255.255.255.0
ifconfig-pool-persist ipp.txt
push "route 192.168.1.0 255.255.255.0"
client-config-dir ccd
learn-address /var/lib/openvpn/ovpn-learnaddress.sh
push "dhcp-option DNS 10.8.0.1"
push "dhcp-option WINS 10.8.0.1"
push "dhcp-option NBT 4"
client-to-client
keepalive 10 120
tls-auth easy-rsa/keys/ta.key 0 # This file is secret
cipher AES-128-CBC   # AES
comp-lzo
max-clients 20
persist-key
persist-tun
status /var/log/openvpn/openvpn-status.log
log         /var/log/openvpn/openvpn.log
verb 6
mute 10
crl-verify keys/crl.pem
ifconfig

Код: [Выделить]

lo        Link encap:Локальная петля (Loopback) 
          inet addr:127.0.0.1  Mask:255.0.0.0
          inet6 addr: ::1/128 Scope:Host
          UP LOOPBACK RUNNING  MTU:65536  Metric:1
          RX packets:387062 errors:0 dropped:0 overruns:0 frame:0
          TX packets:387062 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:0
          RX bytes:29004981 (29.0 MB)  TX bytes:29004981 (29.0 MB)

p17p1     Link encap:Ethernet  HWaddr bc:5f:f4:..:..:.. 
          inet addr:192.168.1.34  Bcast:192.168.1.255  Mask:255.255.255.0
          inet6 addr: fe80::be5f:f4ff:fefd:90e7/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:142232 errors:0 dropped:0 overruns:0 frame:0
          TX packets:190257 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:34518455 (34.5 MB)  TX bytes:181705309 (181.7 MB)
          Interrupt:16

tun0      Link encap:UNSPEC  HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00 
          inet addr:10.8.0.1  P-t-P:10.8.0.2  Mask:255.255.255.255
          UP POINTOPOINT RUNNING NOARP MULTICAST  MTU:1500  Metric:1
          RX packets:0 errors:0 dropped:0 overruns:0 frame:0
          TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:100
          RX bytes:0 (0.0 B)  TX bytes:0 (0.0 B)
iptables -L

Код: [Выделить]

Chain INPUT (policy ACCEPT)
target     prot opt source               destination         
fail2ban-ssh  tcp  --  anywhere             anywhere             multiport dports ssh

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination         

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination         

Chain fail2ban-ssh (1 references)
target     prot opt source               destination         
RETURN     all  --  anywhere             anywhere
route

Код: [Выделить]

Таблица маршутизации ядра протокола IP
Destination Gateway Genmask Flags Metric Ref Use Iface
default         192.168.1.1     0.0.0.0         UG    0      0        0 p17p1
10.8.0.0        10.8.0.2        255.255.255.0   UG    0      0        0 tun0
10.8.0.2        *               255.255.255.255 UH    0      0        0 tun0
link-local      *               255.255.0.0     U     1000   0        0 p17p1
192.168.1.0     *               255.255.255.0   U     0      0        0 p17p1
OVPN-сервер выходит в сеть через роутер, на роутере прописан маршрут


Клиент:

C:\Program Files\OpenVPN\config\office.ovpn

Код: [Выделить]

dev tun
proto udp
port 1194
remote xxx.xxx.xxx.xxx
tls-client
remote-cert-tls server
route-method exe
route-delay 10
pull
ca "C:\\Program Files\\OpenVPN\\keys\\ca.crt"
cert "C:\\Program Files\\OpenVPN\\keys\\pc11.crt"
key "C:\\Program Files\\OpenVPN\\keys\\pc11.key"
tls-auth "C:\\Program Files\\OpenVPN\\keys\\ta.key" 1
cipher AES-128-CBC
comp-lzo
keepalive 5 60
#verb 6
status "C:\\Program Files\\OpenVPN\\log\\openvupn-status.log"
log "C:\\Program Files\\OpenVPN\\log\\openvpn.log"
route print

Код: [Выделить]

===========================================================================
Список интерфейсов
 16...84 16 f9 .. .. .. ......TP-LINK Wireless USB Adapter #2
 14...00 ff 5f .. .. .. ......TAP-Windows Adapter V9
 11...48 5b 39 .. .. .. ......Сетевая карта Realtek RTL8102E/RTL8103E Family PCI
-E Fast Ethernet NIC (NDIS 6.20)
  1...........................Software Loopback Interface 1
 19...00 00 00 00 00 00 00 e0 Адаптер Microsoft ISATAP
 17...00 00 00 00 00 00 00 e0 Адаптер Microsoft ISATAP #2
 15...00 00 00 00 00 00 00 e0 Teredo Tunneling Pseudo-Interface
===========================================================================

IPv4 таблица маршрута
===========================================================================
Активные маршруты:
Сетевой адрес           Маска сети      Адрес шлюза       Интерфейс  Метрика
          0.0.0.0          0.0.0.0    192.168.101.1  192.168.101.201     25
         10.8.0.0    255.255.255.0        10.8.0.10         10.8.0.9     21
         10.8.0.8  255.255.255.252         On-link          10.8.0.9    276
         10.8.0.9  255.255.255.255         On-link          10.8.0.9    276
        10.8.0.11  255.255.255.255         On-link          10.8.0.9    276
        127.0.0.0        255.0.0.0         On-link         127.0.0.1    306
        127.0.0.1  255.255.255.255         On-link         127.0.0.1    306
  127.255.255.255  255.255.255.255         On-link         127.0.0.1    306
      192.168.1.0    255.255.255.0        10.8.0.10         10.8.0.9     21
    192.168.101.0    255.255.255.0         On-link   192.168.101.201    281
  192.168.101.201  255.255.255.255         On-link   192.168.101.201    281
  192.168.101.255  255.255.255.255         On-link   192.168.101.201    281
        224.0.0.0        240.0.0.0         On-link         127.0.0.1    306
        224.0.0.0        240.0.0.0         On-link          10.8.0.9    276
        224.0.0.0        240.0.0.0         On-link   192.168.101.201    281
  255.255.255.255  255.255.255.255         On-link         127.0.0.1    306
  255.255.255.255  255.255.255.255         On-link          10.8.0.9    276
  255.255.255.255  255.255.255.255         On-link   192.168.101.201    281
===========================================================================
Постоянные маршруты:
  Отсутствует

IPv6 таблица маршрута
===========================================================================
Активные маршруты:
 Метрика   Сетевой адрес            Шлюз
 15     58 ::/0                     On-link
  1    306 ::1/128                  On-link
 15     58 2001::/32                On-link
 15    306 2001:0:9d38:6ab8:2861:2564:3f57:9a36/128
                                    On-link
 16    281 fe80::/64                On-link
 15    306 fe80::/64                On-link
 15    306 fe80::2861:2564:3f57:9a36/128
                                    On-link
 16    281 fe80::29ac:21e1:e232:c7a2/128
                                    On-link
  1    306 ff00::/8                 On-link
 15    306 ff00::/8                 On-link
 16    281 ff00::/8                 On-link
===========================================================================
Постоянные маршруты:
  Отсутствует
ipconfig /all

Код: [Выделить]

Настройка протокола IP для Windows

   Имя компьютера  . . . . . . . . . : PC11
   Основной DNS-суффикс  . . . . . . :
   Тип узла. . . . . . . . . . . . . : Смешанный
   IP-маршрутизация включена . . . . : Да
   WINS-прокси включен . . . . . . . : Нет

Адаптер беспроводной локальной сети Беспроводное сетевое соединение 3:

   DNS-суффикс подключения . . . . . :
   Описание. . . . . . . . . . . . . : TP-LINK Wireless USB Adapter #2
   Физический адрес. . . . . . . . . : 84-16-F9-..-..-..
   DHCP включен. . . . . . . . . . . : Да
   Автонастройка включена. . . . . . : Да
   Локальный IPv6-адрес канала . . . : fe80::29ac:21e1:e232:c7a2%16(Основной)
   IPv4-адрес. . . . . . . . . . . . : 192.168.101.201(Основной)
   Маска подсети . . . . . . . . . . : 255.255.255.0
   Аренда получена. . . . . . . . . . : 30 марта 2017 г. 10:56:23
   Срок аренды истекает. . . . . . . . . . : 3 апреля 2017 г. 1:11:04
   Основной шлюз. . . . . . . . . : 192.168.101.1
   DHCP-сервер. . . . . . . . . . . : 192.168.101.1
   IAID DHCPv6 . . . . . . . . . . . : 511973113
   DUID клиента DHCPv6 . . . . . . . : 00-01-00-01-1F-60-92-26-48-5B-39-AE-4E-A0

   DNS-серверы. . . . . . . . . . . : 192.168.101.1
   NetBios через TCP/IP. . . . . . . . : Включен

Ethernet adapter Office:

   DNS-суффикс подключения . . . . . :
   Описание. . . . . . . . . . . . . : TAP-Windows Adapter V9
   Физический адрес. . . . . . . . . : 00-FF-5F-..-..-..
   DHCP включен. . . . . . . . . . . : Да
   Автонастройка включена. . . . . . : Да
   IPv4-адрес. . . . . . . . . . . . : 10.8.0.9(Основной)
   Маска подсети . . . . . . . . . . : 255.255.255.252
   Аренда получена. . . . . . . . . . : 30 марта 2017 г. 17:01:28
   Срок аренды истекает. . . . . . . . . . : 30 марта 2018 г. 17:01:27
   Основной шлюз. . . . . . . . . :
   DHCP-сервер. . . . . . . . . . . : 10.8.0.10
   DNS-серверы. . . . . . . . . . . : 10.8.0.1
   Основной WINS-сервер. . . . . . . : 10.8.0.1
   NetBios через TCP/IP. . . . . . . . : Включен

Ethernet adapter Подключение по локальной сети:

   Состояние среды. . . . . . . . : Среда передачи недоступна.
   DNS-суффикс подключения . . . . . :
   Описание. . . . . . . . . . . . . : Сетевая карта Realtek RTL8102E/RTL8103E F
amily PCI-E Fast Ethernet NIC (NDIS 6.20)
   Физический адрес. . . . . . . . . : 48-5B-39-..-..-..
   DHCP включен. . . . . . . . . . . : Да
   Автонастройка включена. . . . . . : Да

Туннельный адаптер isatap.{7572BAE8-A904-4BAB-9E09-FA11E442DAFF}:

   Состояние среды. . . . . . . . : Среда передачи недоступна.
   DNS-суффикс подключения . . . . . :
   Описание. . . . . . . . . . . . . : Адаптер Microsoft ISATAP
   Физический адрес. . . . . . . . . : 00-00-00-00-00-00-00-E0
   DHCP включен. . . . . . . . . . . : Нет
   Автонастройка включена. . . . . . : Да

Туннельный адаптер isatap.{5F27F70F-23EA-491E-B22C-433656F7102E}:

   Состояние среды. . . . . . . . : Среда передачи недоступна.
   DNS-суффикс подключения . . . . . :
   Описание. . . . . . . . . . . . . : Адаптер Microsoft ISATAP #2
   Физический адрес. . . . . . . . . : 00-00-00-00-00-00-00-E0
   DHCP включен. . . . . . . . . . . : Нет
   Автонастройка включена. . . . . . : Да

Туннельный адаптер Teredo Tunneling Pseudo-Interface:

   DNS-суффикс подключения . . . . . :
   Описание. . . . . . . . . . . . . : Teredo Tunneling Pseudo-Interface
   Физический адрес. . . . . . . . . : 00-00-00-00-00-00-00-E0
   DHCP включен. . . . . . . . . . . : Нет
   Автонастройка включена. . . . . . : Да
   IPv6-адрес. . . . . . . . . . . . : 2001:0:9d38:6ab8:2861:2564:3f57:9a36(Осно
вной)
   Локальный IPv6-адрес канала . . . : fe80::2861:2564:3f57:9a36%15(Основной)
   Основной шлюз. . . . . . . . . : ::
   NetBios через TCP/IP. . . . . . . . : Отключен
ping 10.8.0.1

Код: [Выделить]

Обмен пакетами с 10.8.0.1 по с 32 байтами данных:
Превышен интервал ожидания для запроса.
Превышен интервал ожидания для запроса.
Превышен интервал ожидания для запроса.
Превышен интервал ожидания для запроса.

Статистика Ping для 10.8.0.1:
    Пакетов: отправлено = 4, получено = 0, потеряно = 4
    (100% потерь)

Очевидно, где-то поломались маршруты; не хватает опыта и подготовки понять, где именно. И почему после перезагрузки?

И сервер и всё сетевое оборудование (роутер, коммутатор, модем) с момента появления проблемы несколько раз перезагружал — без результата. Проблемы наблюдаются минимум у нескольких клиентов (и скорее всего у всех).

[fisher74]

Код: [Выделить]

sysctl net.ipv4.ip_forward?

[vkapas]

fisher74, да, на месте.
Пользователь добавил сообщение 31 Марта 2017, 02:38:16:Спасибо за попытку помочь.

Проблема оказалась в неупомянутом мной dnsmasq, который стоит на одном сервере с openvpn. В /etc/dnsmasq.conf были строки

Код: [Выделить]

interface=tun0
listen-address=127.0.0.1,10.8.0.1на которые тот ругался в лог так

    Mar 30 16:46:51 server dnsmasq[1461]: failed to create listening socket for 10.8.0.1: Невозможно назначить запрошенный адрес
    Mar 30 16:46:51 server dnsmasq[1461]: FAILED to start up

и так

    Mar 31 01:37:19 server dnsmasq[1443]: unknown interface tun0
    Mar 31 01:37:19 server dnsmasq[1443]: FAILED to start up

(Собственно, про это есть баг-репорт на LP.) Можно было поправить systemd-конфиг dnsmasq, но в моём случае было проще эти 2 строки убрать.

Так вот, из-за не стартующего после перезагрузки dnsmasq в /etc/resolv.conf не прописывался nameserver 127.0.0.1, а именно это и было причиной описанной в топике проблемы.

Короче, нужно было сразу читать логи.