Нестабильная работа OpenVPN клиента

[Alexey-S]

Вот такая сложилась ситуация.
Периодически надо заходить на свой рабочий компьютер в офисе. В офисе стоит OpenVPN сервер. Несколько лет уже мне славно служит Network Manager и настройка OpenVPN подключения. В офисе и дома машинки трудятся под Ubuntu.
Решил я дома сменить интернет провайдера. Пробую установить VPN соединение. Иногда даже успеваю подключиться к рабочей машине и там полистать папки в любимом mc. Дальше VPN замирает и не работает. Пока насильно не отключу VPN, мне не доступен серфинг сайтов в интернет (это только при замирании VPN).
Переключаюсь на старого провайдера. VPN работает исправно, как месяц назад и год назад.
Скажу даже больше. Есть планшет под Android. На нем стоит OpenVPN client и JuiceSSH. Проблем нет ни на старом провайдере, ни на новом провайдере.

В файле ovpn нет специальных настроек MTU и UTP. Используется TCP соединение. То же самое выставлено в настройках NetworkManager.
Пробовал на двух разных домашних машинках с Ubuntu 14.04 и 14.10. Ошибка повторяется.

В чем может быть загвоздка?

[AnrDaemon]

В вашем нежелании снять трубку и позвонить провайдеру.

[Alexey-S]

В вашем нежелании снять трубку и позвонить провайдеру.

Это вы лентяй, сразу кидаться на людей. Я целый час сидел на телефоне. Обещали разобраться.
Но меня гложет только одно - под Android соединение работает. Значит, ошибка может быть обоюдная.

[AnrDaemon]

Ошибка может быть в blackhole роутере на стороне провайдера.
проверить можно, например, сделав tracepath до сервера с обоих соединений.
Но такие вещи надо решать с техподдержкой провайдера, а не на форуме.
Позвонили - молодцы, а почему на андроиде работает - фиг его знает, может там MSS изначально ниже?

[Alexey-S]

Спасибо за разъяснение. Меня это сподвигло на поиски. Нашел вот такую статью: О PPPoE, MTU и проблеме Path MTU Discovery Black Hole (pppoe mtu).
Надеюсь, это поможет мне в общении с людьми из технической поддержкой провайдера.

[thunderamur]

Alexey-S,
Вот ещё
http://habrahabr.ru/post/136871/

Я сейчас тоже понял, что с этим сталкивался 2-3 года назад, но названия тогда для этого явления не узнал
Тогда просто потихоньку подрезал MTU на VPN-роутере офиса, пока не заработало нормально. А оказывается провайдер редиска.
А что меняешь прова то, раз у старого сеть лучше настроена, как мы видим?

[Alexey-S]

Спасибо за статью. Постараюсь ее осмыслить.

Только что общался с техническим специалистом провайдера.
Открою карты. Новый провайдер - Ростелеком Санкт-Петербург. Соединение PPPoE по оптике. Скорость 200MB.
Старый провайдер - выделенное соединение по витой паре. Скорость 25MB.

Специалист технической поддержки говорит, что на оптике выставлено MTU 1500. То есть, это стандарт "де факто".

Захожу в NetworkManager. Активирую VPN соединение. Соединение идет дольше, чем на старом провайдере.
Дальше, я не пробую соединится с машиной в офисе. В FireFox или Google Chrome набираю yandex.ru. Связи нет.

Есть ли какие-то средства для определения возможных причин ошибки?
C Wireshark имел дело, но на уровне перехвата HTTP/HTTPS протоколов.

[fisher74]

для начала нужно проверить основные сетевые параметры
Показывайте (или сами анализируйте, если в силах)
в двух состояниях: с включенным OVPN и выключенным

Код: [Выделить]

ip a; ip r
nslookup ya.ru
nslookup ya.ru 8.8.8.8

[Alexey-S]

Извиняюсь за задержку с ответом.
Ниже показаны результаты с провайдером, где VPN не работает. Маршрутизатор WAN - оптика.
OpenVPN выключен

(Нажмите, чтобы показать/скрыть)

#-----------------
# OpenVPN выключен
#-----------------

$ ip a; ip r
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN group default
    link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
    inet 127.0.0.1/8 scope host lo
       valid_lft forever preferred_lft forever
    inet6 ::1/128 scope host
       valid_lft forever preferred_lft forever
2: wlan0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc mq state UP group default qlen 1000
    link/ether 2c:d0:5a:df:3e:80 brd ff:ff:ff:ff:ff:ff
    inet 192.168.0.2/24 brd 192.168.0.255 scope global wlan0
       valid_lft forever preferred_lft forever
    inet6 fe80::2ed0:5aff:fedf:3e80/64 scope link
       valid_lft forever preferred_lft forever
default via 192.168.0.1 dev wlan0  proto static
192.168.0.0/24 dev wlan0  proto kernel  scope link  src 192.168.0.2  metric 9


$ nslookup ya.ru
Server:   127.0.1.1
Address:  127.0.1.1#53

Non-authoritative answer:
Name: ya.ru
Address: 93.158.134.3
Name: ya.ru
Address: 213.180.193.3
Name: ya.ru
Address: 213.180.204.3


$ nslookup ya.ru 8.8.8.8
Server:   8.8.8.8
Address:  8.8.8.8#53

Non-authoritative answer:
Name: ya.ru
Address: 213.180.193.3
Name: ya.ru
Address: 93.158.134.3
Name: ya.ru
Address: 213.180.204.3

OpenVPN включен

(Нажмите, чтобы показать/скрыть)

#----------------
# OpenVPN включен
#----------------

$ ip a; ip r
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN group default
    link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
    inet 127.0.0.1/8 scope host lo
       valid_lft forever preferred_lft forever
    inet6 ::1/128 scope host
       valid_lft forever preferred_lft forever
2: wlan0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc mq state UP group default qlen 1000
    link/ether 2c:d0:5a:df:3e:80 brd ff:ff:ff:ff:ff:ff
    inet 192.168.0.2/24 brd 192.168.0.255 scope global wlan0
       valid_lft forever preferred_lft forever
    inet6 fe80::2ed0:5aff:fedf:3e80/64 scope link
       valid_lft forever preferred_lft forever
11: tun0: <POINTOPOINT,MULTICAST,NOARP,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UNKNOWN group default qlen 100
    link/none
    inet 10.250.6.186 peer 10.250.6.185/32 brd 10.250.6.186 scope global tun0
       valid_lft forever preferred_lft forever
default via 192.168.0.1 dev wlan0  proto static
10.250.6.1 via 10.250.6.185 dev tun0  proto static
10.250.6.185 dev tun0  proto kernel  scope link  src 10.250.6.186
192.168.0.0/24 via 10.250.6.185 dev tun0  proto static
192.168.0.0/24 dev wlan0  proto kernel  scope link  src 192.168.0.2  metric 9
192.168.25.0/24 via 10.250.6.185 dev tun0  proto static
192.168.30.0/24 via 10.250.6.185 dev tun0  proto static
192.168.31.0/24 via 10.250.6.185 dev tun0  proto static
192.168.50.0/24 via 10.250.6.185 dev tun0  proto static
192.168.164.0/22 via 10.250.6.185 dev tun0  proto static
213.182.169.4 via 192.168.0.1 dev wlan0  proto static


$ nslookup ya.ru
;; connection timed out; no servers could be reached


$ nslookup ya.ru 8.8.8.8
Server:   8.8.8.8
Address:  8.8.8.8#53

Non-authoritative answer:
Name: ya.ru
Address: 213.180.193.3
Name: ya.ru
Address: 93.158.134.3
Name: ya.ru
Address: 213.180.204.3

Я бы и рад сам что-то понять. Но с первого захода ничего не понял.

И в нагрузку. На провайдере с работающим VPN. Маршрутизатор с WAN - витая пара.
OpenVPN выключен

(Нажмите, чтобы показать/скрыть)

#-----------------
# OpenVPN выключен
#-----------------

$ ip a; ip r
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN group default
    link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
    inet 127.0.0.1/8 scope host lo
       valid_lft forever preferred_lft forever
    inet6 ::1/128 scope host
       valid_lft forever preferred_lft forever
2: wlan0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc mq state UP group default qlen 1000
    link/ether 2c:d0:5a:df:3e:80 brd ff:ff:ff:ff:ff:ff
    inet 192.168.1.146/24 brd 192.168.1.255 scope global wlan0
       valid_lft forever preferred_lft forever
    inet6 fd2b:e4a9:71cf:0:b158:e537:f02a:16b8/64 scope global temporary dynamic
       valid_lft 7196sec preferred_lft 3596sec
    inet6 fd2b:e4a9:71cf:0:2ed0:5aff:fedf:3e80/64 scope global mngtmpaddr dynamic
       valid_lft 7196sec preferred_lft 3596sec
    inet6 fe80::2ed0:5aff:fedf:3e80/64 scope link
       valid_lft forever preferred_lft forever
default via 192.168.1.1 dev wlan0  proto static
192.168.1.0/24 dev wlan0  proto kernel  scope link  src 192.168.1.146  metric 9

OpenVPN включен

(Нажмите, чтобы показать/скрыть)

#----------------
# OpenVPN включен
#----------------
$ ip a; ip r
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN group default
    link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
    inet 127.0.0.1/8 scope host lo
       valid_lft forever preferred_lft forever
    inet6 ::1/128 scope host
       valid_lft forever preferred_lft forever
2: wlan0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc mq state UP group default qlen 1000
    link/ether 2c:d0:5a:df:3e:80 brd ff:ff:ff:ff:ff:ff
    inet 192.168.1.146/24 brd 192.168.1.255 scope global wlan0
       valid_lft forever preferred_lft forever
    inet6 fd2b:e4a9:71cf:0:b158:e537:f02a:16b8/64 scope global temporary dynamic
       valid_lft 7145sec preferred_lft 3545sec
    inet6 fd2b:e4a9:71cf:0:2ed0:5aff:fedf:3e80/64 scope global mngtmpaddr dynamic
       valid_lft 7145sec preferred_lft 3545sec
    inet6 fe80::2ed0:5aff:fedf:3e80/64 scope link
       valid_lft forever preferred_lft forever
12: tun0: <POINTOPOINT,MULTICAST,NOARP,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UNKNOWN group default qlen 100
    link/none
    inet 10.250.6.186 peer 10.250.6.185/32 brd 10.250.6.186 scope global tun0
       valid_lft forever preferred_lft forever
default via 192.168.1.1 dev wlan0  proto static
10.250.6.1 via 10.250.6.185 dev tun0  proto static
10.250.6.185 dev tun0  proto kernel  scope link  src 10.250.6.186
192.168.0.0/24 via 10.250.6.185 dev tun0  proto static
192.168.1.0/24 dev wlan0  proto kernel  scope link  src 192.168.1.146  metric 9
192.168.25.0/24 via 10.250.6.185 dev tun0  proto static
192.168.30.0/24 via 10.250.6.185 dev tun0  proto static
192.168.31.0/24 via 10.250.6.185 dev tun0  proto static
192.168.50.0/24 via 10.250.6.185 dev tun0  proto static
192.168.164.0/22 via 10.250.6.185 dev tun0  proto static
213.182.169.4 via 192.168.1.1 dev wlan0  proto static

[AnrDaemon]

Вообще-то всё просто. При подключении VPN у вас почему-то обламывается DNS сервер.
Почему? Как настроен DNS на оптике?

[Alexey-S]

Вообще-то всё просто. При подключении VPN у вас почему-то обламывается DNS сервер.
Почему? Как настроен DNS на оптике?

Тут всё очень туманно. Домашним маршрутизатором абонент не управляет. Нет кнопок управления в WEB мордочке.
Вот, что дает посмотреть маршрутизатор.

(Нажмите, чтобы показать/скрыть)

VLAN ID:   10
Priority:   0
Mode:   PPPoE
Current IP Address:   178.66.228.209
Current Subnet Mask:   255.255.255.255
Current Gateway:   178.66.192.1
Current Primary DNS:   212.48.193.37
Current Secondary DNS:   213.158.7.2
Session ID:   0x1e14
PPP Status:   CONNECTED
PPP Uptime:   31452 second(s)

Служба поддержки предлагает сменить прошивку маршрутизатора на Bridge. В этом случае мне надо будет ставить свой старый маршрутизатор для раздачи LAN и WiFi в квартире. По моему, это какой-то бред.

[thunderamur]

Alexey-S,
Почему же сразу бред, ты попробуй. Раз железка провайдера не позволяет ей рулить как тебе надо, пусть она будет мостом между оптикой и витой, как тебе и посоветовала поддержка.

[koshev]

Alexey-S,
Это не бред. Бред то, что "домашним маршрутизатором абонент не управляет"

[AnrDaemon]

Alexey-S, в гугл с моделью твоего маршрутизатора. Админский логин/пасс гуглится за секунды. Но тебе он не нужен, я уже увидел всё что мне было интересно.
Проблема у тебя на клиенте, как минимум одна: локальный DNS сервер уходит в отказ при подключении OpenVPN.

[Alexey-S]

Alexey-S, в гугл с моделью твоего маршрутизатора. Админский логин/пасс гуглится за секунды. Но тебе он не нужен, я уже увидел всё что мне было интересно.
Проблема у тебя на клиенте, как минимум одна: локальный DNS сервер уходит в отказ при подключении OpenVPN.

Я очень рад за вас, что вы "уже увидели всё что мне было интересно".
Люди на форуме надеются получить ответ, но не в таком виде.

Сейчас проверил следующую конструкцию.
1-й маршрутизатор с "WAN витая пара".
2-й маршрутизатор с "WAN оптика".
WAN порт 1-го маршрутизатора соединил с LAN портом 2-го маршрутизатора.
К LAN порту 1-го маршрутизатора подключил ноутбук.
1-й маршрутизатор стоит в режиме "автоматическая конфигурация DHCP".

На ноутбуке проверил nslookup. Внешние сервера находит. Интернет серфинг работает.
Включил VPN соединение с офисом и подключился к рабочей машине. VPN работает стабильно.
При работающем VPN локальный nslookup работает. Интернет серфинг работает.

Мой вывод - ошибка в прошивке 2-го маршрутизатора.
Буду общаться с технической поддержкой провайдера.