Сервис(служба) openvpn не стартует. Сама выходит из строя и сама востанавлиается.

valdem

Здраствуйте. У проблема с сервисом OpenVPN которая никак не поддается диагностике.
В совершенно разные периоды падает служба openvpn. При этом все остальное работает. В момент падения службы не наблюдается никаких перегрузок в работе самого сервера. Утилизация ресурсов в норме.
После перезагрузки служба так же не поднимается. Служба не останавливается если сделать остановку принудительно.
Просто в определенный момент она начинает работать.

Помогите решить проблему????

В логе openvpn только такого рода ошибки после падения службы

Dec 1 14:03:00 pfSense openvpn[13756]: 94.242.172.58:55236 peer info: IV_LZ4v2=1
Dec 1 14:03:00 pfSense openvpn[13756]: 94.242.172.58:55236 peer info: IV_LZO=1
Dec 1 14:03:00 pfSense openvpn[13756]: 94.242.172.58:55236 peer info: IV_COMP_STUB=1
Dec 1 14:03:00 pfSense openvpn[13756]: 94.242.172.58:55236 peer info: IV_COMP_STUBv2=1
Dec 1 14:03:00 pfSense openvpn[13756]: 94.242.172.58:55236 peer info: IV_TCPNL=1
Dec 1 14:03:00 pfSense openvpn[13756]: 94.242.172.58:55236 WARNING: 'link-mtu' is used inconsistently, local='link-mtu 1569', remote='link-mtu 1553'
Dec 1 14:03:00 pfSense openvpn[13756]: 94.242.172.58:55236 WARNING: 'keysize' is used inconsistently, local='keysize 256', remote='keysize 128'
Dec 1 14:03:00 pfSense openvpn[13756]: 213.108.205.246:40396 TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity)
Dec 1 14:03:00 pfSense openvpn[13756]: 213.108.205.246:40396 TLS Error: TLS handshake failed
Dec 1 14:03:00 pfSense openvpn[13756]: 31.31.65.95:55067 Authenticate/Decrypt packet error: bad packet ID (may be a replay): [ #7 / time = (1638356547) 2021-12-01 14:02:27 ] -- see the man page entry for --no-replay and --replay-window for more info or silence this warning with --mute-replay-warnings
Dec 1 14:03:00 pfSense openvpn[13756]: 31.31.65.95:55067 TLS Error: incoming packet authentication failed from [AF_INET]31.31.65.95:55067
Dec 1 14:03:00 pfSense openvpn[13756]: 31.31.65.95:55067 Authenticate/Decrypt packet error: bad packet ID (may be a replay): [ #8 / time = (1638356547) 2021-12-01 14:02:27 ] -- see the man page entry for --no-replay and --replay-window for more info or silence this warning with --mute-replay-warnings
Dec 1 14:03:00 pfSense openvpn[13756]: 31.31.65.95:55067 TLS Error: incoming packet authentication failed from [AF_INET]31.31.65.95:55067
Dec 1 14:03:00 pfSense openvpn[13756]: 31.31.65.95:55067 Authenticate/Decrypt packet error: bad packet ID (may be a replay): [ #9 / time = (1638356547) 2021-12-01 14:02:27 ] -- see the man page entry for --no-replay and --replay-window for more info or silence this warning with --mute-replay-warnings
Dec 1 14:03:00 pfSense openvpn[13756]: 31.31.65.95:55067 TLS Error: incoming packet authentication failed from [AF_INET]31.31.65.95:55067
Dec 1 14:03:00 pfSense openvpn[13756]: 90.151.59.211:64709 Authenticate/Decrypt packet error: bad packet ID (may be a replay): [ #1 / time = (1638356533) 2021-12-01 14:02:13 ] -- see the man page entry for --no-replay and --replay-window for more info or silence this warning with --mute-replay-warnings
Dec 1 14:03:00 pfSense openvpn[13756]: 90.151.59.211:64709 TLS Error: incoming packet authentication failed from [AF_INET]90.151.59.211:64709
Dec 1 14:03:00 pfSense openvpn[13756]: 149.255.29.173:4257 [FBUZ_STAVR] Peer Connection Initiated with [AF_INET]149.255.29.173:4257
Dec 1 14:03:00 pfSense openvpn[13756]: FBUZ_STAVR/149.255.29.173:4257 MULTI_sva: pool returned IPv4=172.100.100.126, IPv6=(Not enabled)
Dec 1 14:03:01 pfSense openvpn[13756]: 82.116.37.214:60670 peer info: IV_VER=2.4.7
Dec 1 14:03:01 pfSense openvpn[13756]: 82.116.37.214:60670 peer info: IV_PLAT=linux
Dec 1 14:03:01 pfSense openvpn[13756]: 82.116.37.214:60670 peer info: IV_PROTO=2
Dec 1 14:03:01 pfSense openvpn[13756]: 82.116.37.214:60670 peer info: IV_NCP=2
Dec 1 14:03:01 pfSense openvpn[13756]: 82.116.37.214:60670 peer info: IV_LZ4=1
Dec 1 14:03:01 pfSense openvpn[13756]: 82.116.37.214:60670 peer info: IV_LZ4v2=1
Dec 1 14:03:01 pfSense openvpn[13756]: 82.116.37.214:60670 peer info: IV_LZO=1
Dec 1 14:03:01 pfSense openvpn[13756]: 82.116.37.214:60670 peer info: IV_COMP_STUB=1
Dec 1 14:03:01 pfSense openvpn[13756]: 82.116.37.214:60670 peer info: IV_COMP_STUBv2=1
Dec 1 14:03:01 pfSense openvpn[13756]: 82.116.37.214:60670 peer info: IV_TCPNL=1
Dec 1 14:03:01 pfSense openvpn[13756]: 82.116.37.214:60670 WARNING: 'link-mtu' is used inconsistently, local='link-mtu 1569', remote='link-mtu 1553'
Dec 1 14:03:01 pfSense openvpn[13756]: 82.116.37.214:60670 WARNING: 'keysize' is used inconsistently, local='keysize 256', remote='keysize 128'

werter

Добрый
@valdem

Не понятно, что за версия пф, что на том конце за клиент?

Версию пф обновите. И клиента тоже.

Плюс это:

Dec 1 14:03:00 pfSense openvpn[13756]: 94.242.172.58:55236 WARNING: 'link-mtu' is used inconsistently, local='link-mtu 1569', remote='link-mtu 1553'
Dec 1 14:03:00 pfSense openvpn[13756]: 94.242.172.58:55236 WARNING: 'keysize' is used inconsistently, local='keysize 256', remote='keysize 128'

Также мониторьте на наличие обрывов связи у провайдера.

valdem

@werter

Версия ПФсенс обновлена
Версия 2.5.2-RELEASE (amd64)
сделан Fri Jul 02 15:33:00 EDT 2021
FreeBSD 12.2-STABLE
Версии клиентов тоже регулярно обновляются
Проблем с каналом связи в момент отключения службы openvpn не наблюдается.
Количество подключений при которых происходят отключения службы
100-150.

werter

Добрый
@valdem

Количество подключений при которых происходят отключения службы
100-150.

Разнесите на 4,5,n-овпн-серверов, т.е. создайте на пф дополнительно отдельные овпн-серверы. И обязательно вкл. поддержку AES на пф и на опвн.

Также, если имеются клиенты из общей локальной сети, то на их конце установить роутер, чтобы он поднимал один ОБЩИЙ впн-линк к пф.

Версии клиентов тоже регулярно обновляются

Я вижу это:

Dec 1 14:03:01 pfSense openvpn[13756]: 82.116.37.214:60670 peer info: IV_VER=2.4.7