Автор Тема: OpenVPN клиенты постоянно отваливаются (Прочитано 7053 раз)

FLAXE · « : 02 Июня 2020, 13:09:34 »

Здравствуйте уважаемые форумчане. Столкнулся с такой проблемой, пользователь ежедневно отваливается от соединения OpenVPN. Туннель при этом вроде как подключен, но внутри связи нет. После перезапуска службы, соединение восстанавливается. Вот что в логах:

(Нажмите, чтобы показать/скрыть)

Код: [Выделить]

Tue Jun  2 08:48:38 2020 37.194.193.160:51879 VERIFY OK: depth=0, C=RU, ST=RU, L=Novosibirsk, O=ICGIPAR, CN=arm109, emailAddress=s_admin@icgipar.ru
Tue Jun  2 08:48:38 2020 37.194.193.160:51879 [arm109] Peer Connection Initiated with [AF_INET]37.194.193.160:51879
Tue Jun  2 08:48:38 2020 arm109/37.194.193.160:51879 MULTI_sva: pool returned IPv4=10.10.1.25, IPv6=(Not enabled)
Tue Jun  2 08:48:38 2020 arm109/37.194.193.160:51879 PUSH: Received control message: 'PUSH_REQUEST'
Tue Jun  2 08:48:38 2020 arm109/37.194.193.160:51879 send_push_reply(): safe_cap=940
Tue Jun  2 08:48:38 2020 arm109/37.194.193.160:51879 SENT CONTROL [arm109]: 'PUSH_REPLY,route 192.168.10.0 255.255.255.0,sndbuf 524288,rcvbuf 524288,route-gateway 10.10.1.1,ping 10,ping-restart 120,ifconfig 10.10.1.25 255.255.255.0' (status=1)
Tue Jun  2 08:48:38 2020 arm109/37.194.193.160:51879 MULTI: Learn: 00:ff:84:5d:7e:99 -> arm109/37.194.193.160:51879
Tue Jun  2 08:51:48 2020 37.194.193.160:59330 VERIFY OK: depth=0, C=RU, ST=RU, L=Novosibirsk, O=ICGIPAR, CN=arm109, emailAddress=s_admin@icgipar.ru
Tue Jun  2 08:51:48 2020 37.194.193.160:59330 [arm109] Peer Connection Initiated with [AF_INET]37.194.193.160:59330
Tue Jun  2 08:51:48 2020 MULTI: new connection by client 'arm109' will cause previous active sessions by this client to be dropped.  Remember to use the --duplicate-cn option if you want multiple clients using the same certificate or username to concurrently connect.
Tue Jun  2 08:51:49 2020 arm109/37.194.193.160:59330 PUSH: Received control message: 'PUSH_REQUEST'
Tue Jun  2 08:51:49 2020 arm109/37.194.193.160:59330 send_push_reply(): safe_cap=940
Tue Jun  2 08:51:49 2020 arm109/37.194.193.160:59330 SENT CONTROL [arm109]: 'PUSH_REPLY,route 192.168.10.0 255.255.255.0,sndbuf 524288,rcvbuf 524288,route-gateway 10.10.1.1,ping 10,ping-restart 120,ifconfig 10.10.1.25 255.255.255.0' (status=1)
Tue Jun  2 08:51:49 2020 arm109/37.194.193.160:59330 MULTI: Learn: 00:ff:84:5d:7e:99 -> arm109/37.194.193.160:59330
Tue Jun  2 09:27:18 2020 37.194.193.160:53330 VERIFY OK: depth=0, C=RU, ST=RU, L=Novosibirsk, O=ICGIPAR, CN=arm109, emailAddress=s_admin@icgipar.ru
Tue Jun  2 09:27:18 2020 37.194.193.160:53330 [arm109] Peer Connection Initiated with [AF_INET]37.194.193.160:53330
Tue Jun  2 09:27:18 2020 MULTI: new connection by client 'arm109' will cause previous active sessions by this client to be dropped.  Remember to use the --duplicate-cn option if you want multiple clients using the same certificate or username to concurrently connect.
Tue Jun  2 09:27:19 2020 arm109/37.194.193.160:53330 PUSH: Received control message: 'PUSH_REQUEST'
Tue Jun  2 09:27:19 2020 arm109/37.194.193.160:53330 send_push_reply(): safe_cap=940
Tue Jun  2 09:27:19 2020 arm109/37.194.193.160:53330 SENT CONTROL [arm109]: 'PUSH_REPLY,route 192.168.10.0 255.255.255.0,sndbuf 524288,rcvbuf 524288,route-gateway 10.10.1.1,ping 10,ping-restart 120,ifconfig 10.10.1.25 255.255.255.0' (status=1)
Tue Jun  2 09:27:19 2020 arm109/37.194.193.160:53330 MULTI: Learn: 00:ff:84:5d:7e:99 -> arm109/37.194.193.160:53330
Tue Jun  2 10:27:18 2020 arm109/37.194.193.160:53330 TLS: soft reset sec=0 bytes=2252717225/0 pkts=2431319/0
Tue Jun  2 10:27:18 2020 arm109/37.194.193.160:53330 VERIFY OK: depth=1, C=RU, ST=RU, L=Novosibirsk, O=ICGIPAR, CN=ca, name=ca, emailAddress=s_admin@icgipar.ru
Tue Jun  2 10:27:18 2020 arm109/37.194.193.160:53330 VERIFY OK: depth=0, C=RU, ST=RU, L=Novosibirsk, O=ICGIPAR, CN=arm109, emailAddress=s_admin@icgipar.ru
Tue Jun  2 10:27:18 2020 arm109/37.194.193.160:53330 Data Channel Encrypt: Cipher 'AES-256-CBC' initialized with 256 bit key
Tue Jun  2 10:27:18 2020 arm109/37.194.193.160:53330 Data Channel Encrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Tue Jun  2 10:27:18 2020 arm109/37.194.193.160:53330 Data Channel Decrypt: Cipher 'AES-256-CBC' initialized with 256 bit key
Tue Jun  2 10:27:18 2020 arm109/37.194.193.160:53330 Data Channel Decrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Tue Jun  2 10:27:18 2020 arm109/37.194.193.160:53330 Control Channel: TLSv1.2, cipher TLSv1/SSLv3 DHE-RSA-AES256-GCM-SHA384, 2048 bit RSA
Tue Jun  2 11:27:17 2020 arm109/37.194.193.160:53330 VERIFY OK: depth=1, C=RU, ST=RU, L=Novosibirsk, O=ICGIPAR, CN=ca, name=ca, emailAddress=s_admin@icgipar.ru
Tue Jun  2 11:27:17 2020 arm109/37.194.193.160:53330 VERIFY OK: depth=0, C=RU, ST=RU, L=Novosibirsk, O=ICGIPAR, CN=arm109, emailAddress=s_admin@icgipar.ru
Tue Jun  2 11:27:17 2020 arm109/37.194.193.160:53330 Data Channel Encrypt: Cipher 'AES-256-CBC' initialized with 256 bit key
Tue Jun  2 11:27:17 2020 arm109/37.194.193.160:53330 Data Channel Encrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Tue Jun  2 11:27:17 2020 arm109/37.194.193.160:53330 Data Channel Decrypt: Cipher 'AES-256-CBC' initialized with 256 bit key
Tue Jun  2 11:27:17 2020 arm109/37.194.193.160:53330 Data Channel Decrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Tue Jun  2 11:27:17 2020 arm109/37.194.193.160:53330 Control Channel: TLSv1.2, cipher TLSv1/SSLv3 DHE-RSA-AES256-GCM-SHA384, 2048 bit RSA
Tue Jun  2 12:27:17 2020 arm109/37.194.193.160:53330 TLS: soft reset sec=0 bytes=215710634/0 pkts=270354/0
Tue Jun  2 12:27:17 2020 arm109/37.194.193.160:53330 VERIFY OK: depth=1, C=RU, ST=RU, L=Novosibirsk, O=ICGIPAR, CN=ca, name=ca, emailAddress=s_admin@icgipar.ru
Tue Jun  2 12:27:17 2020 arm109/37.194.193.160:53330 VERIFY OK: depth=0, C=RU, ST=RU, L=Novosibirsk, O=ICGIPAR, CN=arm109, emailAddress=s_admin@icgipar.ru
Tue Jun  2 12:27:17 2020 arm109/37.194.193.160:53330 Data Channel Encrypt: Cipher 'AES-256-CBC' initialized with 256 bit key
Tue Jun  2 12:27:17 2020 arm109/37.194.193.160:53330 Data Channel Encrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Tue Jun  2 12:27:17 2020 arm109/37.194.193.160:53330 Data Channel Decrypt: Cipher 'AES-256-CBC' initialized with 256 bit key
Tue Jun  2 12:27:17 2020 arm109/37.194.193.160:53330 Data Channel Decrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Tue Jun  2 12:27:17 2020 arm109/37.194.193.160:53330 Control Channel: TLSv1.2, cipher TLSv1/SSLv3 DHE-RSA-AES256-GCM-SHA384, 2048 bit RSA
Tue Jun  2 13:28:16 2020 arm109/37.194.193.160:53330 TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity)
Tue Jun  2 13:28:16 2020 arm109/37.194.193.160:53330 TLS Error: TLS handshake failed
Tue Jun  2 13:28:16 2020 arm109/37.194.193.160:53330 TLS: move_session: dest=TM_LAME_DUCK src=TM_ACTIVE reinit_src=1
Tue Jun  2 13:28:31 2020 arm109/37.194.193.160:53330 TLS: Initial packet from [AF_INET]37.194.193.160:53330, sid=a5a4b445 b9454bdc
Tue Jun  2 13:29:31 2020 arm109/37.194.193.160:53330 TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity)
Tue Jun  2 13:29:31 2020 arm109/37.194.193.160:53330 TLS Error: TLS handshake failed
Tue Jun  2 13:30:02 2020 37.194.193.160:63668 VERIFY OK: depth=0, C=RU, ST=RU, L=Novosibirsk, O=ICGIPAR, CN=arm109, emailAddress=s_admin@icgipar.ru
Tue Jun  2 13:30:02 2020 37.194.193.160:63668 [arm109] Peer Connection Initiated with [AF_INET]37.194.193.160:63668
Tue Jun  2 13:30:02 2020 arm109/37.194.193.160:63668 MULTI_sva: pool returned IPv4=10.10.1.48, IPv6=(Not enabled)
Tue Jun  2 13:30:03 2020 arm109/37.194.193.160:63668 PUSH: Received control message: 'PUSH_REQUEST'
Tue Jun  2 13:30:03 2020 arm109/37.194.193.160:63668 send_push_reply(): safe_cap=940
Tue Jun  2 13:30:03 2020 arm109/37.194.193.160:63668 SENT CONTROL [arm109]: 'PUSH_REPLY,route 192.168.10.0 255.255.255.0,sndbuf 524288,rcvbuf 524288,route-gateway 10.10.1.1,ping 10,ping-restart 120,ifconfig 10.10.1.48 255.255.255.0' (status=1)
Tue Jun  2 13:30:03 2020 arm109/37.194.193.160:63668 MULTI: Learn: 00:ff:84:5d:7e:99 -> arm109/37.194.193.160:63668
Tue Jun  2 13:30:46 2020 arm109/37.194.193.160:53330 TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity)
Tue Jun  2 13:30:46 2020 arm109/37.194.193.160:53330 TLS Error: TLS handshake failed
Tue Jun  2 13:32:01 2020 arm109/37.194.193.160:53330 TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity)
Tue Jun  2 13:32:01 2020 arm109/37.194.193.160:53330 TLS Error: TLS handshake failed
Tue Jun  2 13:33:16 2020 arm109/37.194.193.160:53330 TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity)
Tue Jun  2 13:33:16 2020 arm109/37.194.193.160:53330 TLS Error: TLS handshake failed
Tue Jun  2 13:33:42 2020 arm109/37.194.193.160:53330 [UNDEF] Inactivity timeout (--ping-restart), restarting
Tue Jun  2 13:33:42 2020 arm109/37.194.193.160:53330 SIGUSR1[soft,ping-restart] received, client-instance restarting
Tue Jun  2 14:30:02 2020 arm109/37.194.193.160:63668 TLS: soft reset sec=0 bytes=2457421938/0 pkts=2600509/0
Tue Jun  2 14:30:02 2020 arm109/37.194.193.160:63668 VERIFY OK: depth=1, C=RU, ST=RU, L=Novosibirsk, O=ICGIPAR, CN=ca, name=ca, emailAddress=s_admin@icgipar.ru
Tue Jun  2 14:30:02 2020 arm109/37.194.193.160:63668 VERIFY OK: depth=0, C=RU, ST=RU, L=Novosibirsk, O=ICGIPAR, CN=arm109, emailAddress=s_admin@icgipar.ru
Tue Jun  2 14:30:02 2020 arm109/37.194.193.160:63668 Data Channel Encrypt: Cipher 'AES-256-CBC' initialized with 256 bit key
Tue Jun  2 14:30:02 2020 arm109/37.194.193.160:63668 Data Channel Encrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Tue Jun  2 14:30:02 2020 arm109/37.194.193.160:63668 Data Channel Decrypt: Cipher 'AES-256-CBC' initialized with 256 bit key
Tue Jun  2 14:30:02 2020 arm109/37.194.193.160:63668 Data Channel Decrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Tue Jun  2 14:30:02 2020 arm109/37.194.193.160:63668 Control Channel: TLSv1.2, cipher TLSv1/SSLv3 DHE-RSA-AES256-GCM-SHA384, 2048 bit RSA
Tue Jun  2 15:30:02 2020 arm109/37.194.193.160:63668 TLS: soft reset sec=0 bytes=1048504348/0 pkts=1176743/0
Tue Jun  2 15:30:02 2020 arm109/37.194.193.160:63668 VERIFY OK: depth=1, C=RU, ST=RU, L=Novosibirsk, O=ICGIPAR, CN=ca, name=ca, emailAddress=s_admin@icgipar.ru
Tue Jun  2 15:30:02 2020 arm109/37.194.193.160:63668 VERIFY OK: depth=0, C=RU, ST=RU, L=Novosibirsk, O=ICGIPAR, CN=arm109, emailAddress=s_admin@icgipar.ru
Tue Jun  2 15:30:02 2020 arm109/37.194.193.160:63668 Data Channel Encrypt: Cipher 'AES-256-CBC' initialized with 256 bit key
Tue Jun  2 15:30:02 2020 arm109/37.194.193.160:63668 Data Channel Encrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Tue Jun  2 15:30:02 2020 arm109/37.194.193.160:63668 Data Channel Decrypt: Cipher 'AES-256-CBC' initialized with 256 bit key
Tue Jun  2 15:30:02 2020 arm109/37.194.193.160:63668 Data Channel Decrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Tue Jun  2 15:30:02 2020 arm109/37.194.193.160:63668 Control Channel: TLSv1.2, cipher TLSv1/SSLv3 DHE-RSA-AES256-GCM-SHA384, 2048 bit RSA
Tue Jun  2 16:30:02 2020 arm109/37.194.193.160:63668 TLS: soft reset sec=0 bytes=1191326813/0 pkts=1302428/0
Tue Jun  2 16:31:02 2020 arm109/37.194.193.160:63668 TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity)
Tue Jun  2 16:31:02 2020 arm109/37.194.193.160:63668 TLS Error: TLS handshake failed
Tue Jun  2 16:31:02 2020 arm109/37.194.193.160:63668 TLS: move_session: dest=TM_LAME_DUCK src=TM_ACTIVE reinit_src=1
Tue Jun  2 16:31:18 2020 arm109/37.194.193.160:63668 TLS: Initial packet from [AF_INET]37.194.193.160:63668, sid=cda30466 7d3b9916
Tue Jun  2 16:32:17 2020 arm109/37.194.193.160:63668 TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity)
Tue Jun  2 16:32:17 2020 arm109/37.194.193.160:63668 TLS Error: TLS handshake failed
Tue Jun  2 16:32:33 2020 arm109/37.194.193.160:63668 TLS: Initial packet from [AF_INET]37.194.193.160:63668, sid=cf900aca 2cf5f7b0
Tue Jun  2 16:33:08 2020 37.194.193.160:65160 VERIFY OK: depth=0, C=RU, ST=RU, L=Novosibirsk, O=ICGIPAR, CN=arm109, emailAddress=s_admin@icgipar.ru
Tue Jun  2 16:33:08 2020 37.194.193.160:65160 [arm109] Peer Connection Initiated with [AF_INET]37.194.193.160:65160
Tue Jun  2 16:33:08 2020 arm109/37.194.193.160:65160 MULTI_sva: pool returned IPv4=10.10.1.25, IPv6=(Not enabled)
Tue Jun  2 16:33:09 2020 arm109/37.194.193.160:65160 PUSH: Received control message: 'PUSH_REQUEST'
Tue Jun  2 16:33:09 2020 arm109/37.194.193.160:65160 send_push_reply(): safe_cap=940
Tue Jun  2 16:33:09 2020 arm109/37.194.193.160:65160 SENT CONTROL [arm109]: 'PUSH_REPLY,route 192.168.10.0 255.255.255.0,sndbuf 524288,rcvbuf 524288,route-gateway 10.10.1.1,ping 10,ping-restart 120,ifconfig 10.10.1.25 255.255.255.0' (status=1)
Tue Jun  2 16:33:19 2020 37.194.193.160:54308 VERIFY OK: depth=0, C=RU, ST=RU, L=Novosibirsk, O=ICGIPAR, CN=arm109, emailAddress=s_admin@icgipar.ru
Tue Jun  2 16:33:19 2020 37.194.193.160:54308 [arm109] Peer Connection Initiated with [AF_INET]37.194.193.160:54308
Tue Jun  2 16:33:19 2020 MULTI: new connection by client 'arm109' will cause previous active sessions by this client to be dropped.  Remember to use the --duplicate-cn option if you want multiple clients using the same certificate or username to concurrently connect.
Tue Jun  2 16:33:20 2020 arm109/37.194.193.160:54308 PUSH: Received control message: 'PUSH_REQUEST'
Tue Jun  2 16:33:20 2020 arm109/37.194.193.160:54308 send_push_reply(): safe_cap=940
Tue Jun  2 16:33:20 2020 arm109/37.194.193.160:54308 SENT CONTROL [arm109]: 'PUSH_REPLY,route 192.168.10.0 255.255.255.0,sndbuf 524288,rcvbuf 524288,route-gateway 10.10.1.1,ping 10,ping-restart 120,ifconfig 10.10.1.25 255.255.255.0' (status=1)
Tue Jun  2 16:33:20 2020 arm109/37.194.193.160:54308 MULTI: Learn: 00:ff:84:5d:7e:99 -> arm109/37.194.193.160:54308

Проблема была в часов 10 утра и в 13 дня. Я так понял что меняется исходящий порт.. но не понимаю что с этим делать.

AnrDaemon · « **Ответ #1 :** 02 Июня 2020, 14:33:46 »

Цитата: FLAXE от 02 Июня 2020, 13:09:34

меняется исходящий порт.. но не понимаю что с этим делать.

Ничего, это нормально.
В настройках подключения keepalive включено?

bezbo · « **Ответ #2 :** 02 Июня 2020, 20:21:11 »

Цитата: FLAXE от 02 Июня 2020, 13:09:34

new connection by client 'arm109' will cause previous active sessions by this client to be dropped

для каждого клиента генерируйте отдельный ключ ovpn

FLAXE · « **Ответ #3 :** 03 Июня 2020, 09:02:09 »

Цитата: bezbo от 02 Июня 2020, 20:21:11

Цитата: FLAXE от 02 Июня 2020, 13:09:34
new connection by client 'arm109' will cause previous active sessions by this client to be dropped

для каждого клиента генерируйте отдельный ключ ovpn

у меня на каждое подключение отдельный ключ.
Это сообщение меня тоже заинтересовало. Но не понимаю что не так.
Возможно ключи все же умудрились задвоить, но у меня судя по логам такие сообщения и на новых ключах есть.
Сейчас пересоздал ключ на таком сообщение, посмотрю что получится.

Цитата: AnrDaemon от 02 Июня 2020, 14:33:46

Цитата: FLAXE от 02 Июня 2020, 13:09:34
меняется исходящий порт.. но не понимаю что с этим делать.
Ничего, это нормально.
В настройках подключения keepalive включено?

Да включен, но с ним тоже не понятно..
Вот конфиг сервера:

(Нажмите, чтобы показать/скрыть)

Код: [Выделить]

ort 1194
# порт который будет слушать демон OpenVPN
proto udp
# используемый протокол
dev tap
# метод работы - создание туннеля
ca /etc/openvpn/keys/ca.crt
# указываем корневой сертификат
cert /etc/openvpn/keys/server.crt
# указываем сертификат сервера
key /etc/openvpn/keys/server.key
# указываем ключ сервера
dh /etc/openvpn/keys/dh2048.pem
# указываем ключ Диффи-Хеллмана
server 10.10.1.0 255.255.255.0
# указываем виртуальную подсеть - из нее сервер будет присваивать адреса клиентам
cipher AES-256-CBC
# Указыем, где хранятся файлы с настройками IP-адресов клиентов (создадим ниже)
client-config-dir ccd
client-to-client
# обеспечиваем мощное шифрование трафика
ifconfig-pool-persist ipp.txt
# Указываем сети, в которые нужно идти через туннель (сеть-клиента).
route 10.10.1.0 255.255.255.0
# Будет производится пинг каждые 10 секунд, если пинга нет 60 сек, то будет выполнена попытка повторного подключения к клиенту
keepalive 10 60
# параметры соединения
comp-lzo
# включаем механизм сжатия трафика
persist-key
# чтобы ключи не пересылались повторно при разрыве соединения
persist-tun
user nobody
group nogroup
# обеспечит работу туннеля в режиме persist
status /var/log/openvpn-status.log
# лог статуса
log /var/log/openvpn.log
log-attend /var/log/openvpn-attend.log
# общий лог
verb 3
# уровень логирования
fast-io
sndbuf 524288
rcvbuf 524288
push "sndbuf 524288"
push "rcvbuf 524288"
push "dhcp-option WINS 10.10.1.1"

Причем в логах keepalive почему то на 120сек передается:

Код: [Выделить]

Wed Jun  3 12:44:12 2020 synsys4/46.233.202.156:51136 SENT CONTROL [synsys4]: 'PUSH_REPLY,route 192.168.10.0 255.255.255.0,sndbuf 524288,rcvbuf 524288,route-gateway 10.10.1.1,ping 10,ping-restart 120,ifconfig 10.10.1.58 255.255.255.0' (status=1)

Я ведь верно понимаю, что значения вот тут должны передаваться в соответствии с настройками в конфиге в сервере. Но тут почему-то явно другие какие-то.. понять не могу почему.

Обратил внимание еще вот на что:
у меня у всех сертификатов поле name= пустое. Сейчас перевыпустил с присвоенным значением CN=name. Посмотрю как эти пользователи будут себя чувствовать. Пока первый результат это быстрый отклик при синхранизации файлов "в разы быстрее чем было"

AnrDaemon · « **Ответ #4 :** 03 Июня 2020, 22:04:44 »

CN это логин пользователя.
Если у вас все серты с CN=пусто, они все выписаны для одного пользователя.
Вините себя.

FLAXE · « **Ответ #5 :** 04 Июня 2020, 08:36:15 »

Цитата: AnrDaemon от 03 Июня 2020, 22:04:44

CN это логин пользователя.
Если у вас все серты с CN=пусто, они все выписаны для одного пользователя.
Вините себя.

Нет CN у меня заполнены. Поле name - нет.
но кажется я нашел проблему в другом, наконец поймал в логах момент.. но не знаю что с ним делать.

(Нажмите, чтобы показать/скрыть)

Цитировать

Thu Jun 4 12:20:25 2020 arm_109/37.194.193.160:56813 TLS: soft reset sec=0 bytes=871189443/0 pkts=996172/0
Thu Jun 4 12:21:25 2020 arm_109/37.194.193.160:56813 TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity)
Thu Jun 4 12:21:25 2020 arm_109/37.194.193.160:56813 TLS Error: TLS handshake failed
Thu Jun 4 12:21:25 2020 arm_109/37.194.193.160:56813 TLS: move_session: dest=TM_LAME_DUCK src=TM_ACTIVE reinit_src=1
Thu Jun 4 12:21:41 2020 arm_109/37.194.193.160:56813 TLS: Initial packet from [AF_INET]37.194.193.160:56813, sid=34805c02 bc9ee617
Thu Jun 4 12:22:40 2020 arm_109/37.194.193.160:56813 TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity)
Thu Jun 4 12:22:40 2020 arm_109/37.194.193.160:56813 TLS Error: TLS handshake failed
Thu Jun 4 12:22:55 2020 arm_109/37.194.193.160:56813 TLS: Initial packet from [AF_INET]37.194.193.160:56813, sid=28448ac4 ce8e1ea1
Thu Jun 4 12:23:55 2020 arm_109/37.194.193.160:56813 TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity)
Thu Jun 4 12:23:55 2020 arm_109/37.194.193.160:56813 TLS Error: TLS handshake failed
Thu Jun 4 12:24:10 2020 arm_109/37.194.193.160:56813 TLS: Initial packet from [AF_INET]37.194.193.160:56813, sid=383c17b5 48dc11ab
Thu Jun 4 12:25:10 2020 arm_109/37.194.193.160:56813 TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity)
Thu Jun 4 12:25:10 2020 arm_109/37.194.193.160:56813 TLS Error: TLS handshake failed
Thu Jun 4 12:25:25 2020 arm_109/37.194.193.160:56813 TLS: Initial packet from [AF_INET]37.194.193.160:56813, sid=f8fdcf7d ac71ff0b
Thu Jun 4 12:26:25 2020 arm_109/37.194.193.160:56813 TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity)
Thu Jun 4 12:26:25 2020 arm_109/37.194.193.160:56813 TLS Error: TLS handshake failed
Thu Jun 4 12:26:40 2020 arm_109/37.194.193.160:56813 TLS: Initial packet from [AF_INET]37.194.193.160:56813, sid=da9261e7 91e71ef2
Thu Jun 4 12:27:40 2020 arm_109/37.194.193.160:56813 TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity)
Thu Jun 4 12:27:40 2020 arm_109/37.194.193.160:56813 TLS Error: TLS handshake failed
Thu Jun 4 12:27:55 2020 arm_109/37.194.193.160:56813 TLS: Initial packet from [AF_INET]37.194.193.160:56813, sid=9be0a49f feb05b86
Thu Jun 4 12:28:55 2020 arm_109/37.194.193.160:56813 TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity)
Thu Jun 4 12:28:55 2020 arm_109/37.194.193.160:56813 TLS Error: TLS handshake failed
Thu Jun 4 12:29:11 2020 arm_109/37.194.193.160:56813 TLS: Initial packet from [AF_INET]37.194.193.160:56813, sid=d0a1379e 3f6188d4
Thu Jun 4 12:30:10 2020 arm_109/37.194.193.160:56813 TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity)
Thu Jun 4 12:30:10 2020 arm_109/37.194.193.160:56813 TLS Error: TLS handshake failed
Thu Jun 4 12:30:26 2020 arm_109/37.194.193.160:56813 TLS: Initial packet from [AF_INET]37.194.193.160:56813, sid=51d83573 226636db
Thu Jun 4 12:31:25 2020 arm_109/37.194.193.160:56813 TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity)
Thu Jun 4 12:31:25 2020 arm_109/37.194.193.160:56813 TLS Error: TLS handshake failed
Thu Jun 4 12:31:41 2020 arm_109/37.194.193.160:56813 TLS: Initial packet from [AF_INET]37.194.193.160:56813, sid=427c7870 ecbb9ab5
Thu Jun 4 12:32:40 2020 arm_109/37.194.193.160:56813 TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity)
Thu Jun 4 12:32:40 2020 arm_109/37.194.193.160:56813 TLS Error: TLS handshake failed
Thu Jun 4 12:32:56 2020 arm_109/37.194.193.160:56813 TLS: Initial packet from [AF_INET]37.194.193.160:56813, sid=51520edf 83df57f4

Вот при таких логах, тунель вроде как поднят, но внутри ничего не идет. После перезапуска службы на клиенте все ок становится

FLAXE · « **Ответ #6 :** 07 Июня 2020, 09:02:50 »

Решение было такое:
Переключил соединение с udp на tcp
В конфигурации сервера исправил строки на следующие значения:

(Нажмите, чтобы показать/скрыть)

Код: [Выделить]

# mode server
port 1194
# порт который будет слушать демон OpenVPN
proto tcp
# используемый протокол
# proto udp
dev tap
# метод работы - создание туннеля
ca /etc/openvpn/keys/ca.crt
# указываем корневой сертификат
cert /etc/openvpn/keys/server.crt
# указываем сертификат сервера
key /etc/openvpn/keys/server.key
# указываем ключ сервера
dh /etc/openvpn/keys/dh2048.pem
# указываем ключ Диффи-Хеллмана
server 10.10.1.0 255.255.255.0
# указываем виртуальную подсеть - из нее сервер будет присваивать адреса клиентам
cipher AES-256-CBC
# Указыем, где хранятся файлы с настройками IP-адресов клиентов (создадим ниже)
client-config-dir ccd
client-to-client
# обеспечиваем мощное шифрование трафика
ifconfig-pool-persist ipp.txt
# Указываем сети, в которые нужно идти через туннель (сеть-клиента).
route 10.10.1.0 255.255.255.0
# duplicate-cn
# Будет производится пинг каждые 10 секунд, если пинга нет 60 сек, то будет выполнена попытка повторного подключения к клиенту
keepalive 10 120
# параметры соединения
comp-lzo
# включаем механизм сжатия трафика
persist-key
# чтобы ключи не пересылались повторно при разрыве соединения
persist-tun
user nobody
group nogroup
# обеспечит работу туннеля в режиме persist
status /var/log/openvpn-status.log
# лог статуса
log /var/log/openvpn.log
# log-attend /var/log/openvpn-attend.log
# общий лог
verb 5
# уровень логирования
fast-io
sndbuf 0
rcvbuf 0
push "sndbuf 524288"
push "rcvbuf 524288"

Так-же для хорошей скорости внутри тунеля опций:

Код: [Выделить]

sndbuf 0
rcvbuf 0
push "sndbuf 524288"
push "rcvbuf 524288"

Недостаточно. Т.к. при tcp протоколе по умолчанию в linux системах буфер стоит в 64кБ.
Дополнительно использовал настройки буфера описанные в этой статье:
https://romantelychko.com/blog/1300/
конкретно увеличил следующие значения:

Код: [Выделить]

cat /proc/sys/net/core/rmem_default
524288
cat /proc/sys/net/core/rmem_max
1048576
 cat /proc/sys/net/core/wmem_default
212992
cat /proc/sys/net/core/wmem_max
212992

При таких значениях, скорость по openvpn при скачивании с сервера файла в 500Мб, показала в среднем 4/5Мбит в секунду. Что при тех же настройках, но в конфиге сервера указаны не указаны значения буферов, был высокий пинг и скорость до 500 кбит с трудом поднималась.

Сейчас посмотрю за неделю как будет вести себя сервер в данной конфигурации.

dikiyZ · « **Ответ #7 :** 14 Августа 2020, 03:32:11 »

connect-retry infinite
persist-key

Поместить заклинание в конфиг. ping-restart - убрать.

Форум русскоязычного сообщества Ubuntu

Автор Тема: OpenVPN клиенты постоянно отваливаются (Прочитано 7053 раз)

FLAXE

OpenVPN клиенты постоянно отваливаются

AnrDaemon

Re: OpenVPN клиенты постоянно отваливаются

bezbo

Re: OpenVPN клиенты постоянно отваливаются

FLAXE

Re: OpenVPN клиенты постоянно отваливаются

AnrDaemon

Re: OpenVPN клиенты постоянно отваливаются

FLAXE

Re: OpenVPN клиенты постоянно отваливаются

FLAXE

Re: OpenVPN клиенты постоянно отваливаются

dikiyZ

Re: OpenVPN клиенты постоянно отваливаются