Разрывается подключение OpenVPN.

Guf-Rolex-X

здравствуйте! постоянно разрывается подключение определенного пользователя по OpenVPN, подскажите в чем может быть дело.

конфиг сервера:

dev ovpns1
verb 1
dev-type tun
tun-ipv6
dev-node /dev/tun1
writepid /var/run/openvpn_server1.pid
#user nobody
#group nobody
script-security 3
daemon
keepalive 10 60
ping-timer-rem
persist-tun
persist-key
proto udp
cipher AES-256-CBC
auth SHA1
up /usr/local/sbin/ovpn-linkup
down /usr/local/sbin/ovpn-linkdown
client-connect /usr/local/sbin/openvpn.attributes.sh
client-disconnect /usr/local/sbin/openvpn.attributes.sh
local БЕЛЫЙ IP
tls-server
server 10.0.1.0 255.255.255.0
client-config-dir /var/etc/openvpn-csc/server1
username-as-common-name
auth-user-pass-verify "/usr/local/sbin/ovpn_auth_verify user TG9jYWwgRGF0YWJhc2U= true server1 1194" via-env
tls-verify "/usr/local/sbin/ovpn_auth_verify tls 'VPN+CA' 1"
lport 1194
management /var/etc/openvpn/server1.sock unix
max-clients 10
push "route 192.168.50.0 255.255.255.0"
push "route 192.168.58.0 255.255.255.0"
push "route 192.168.59.0 255.255.255.0"
push "route  0.0.0.0"
push "dhcp-option NTP 192.168.50.3"
ca /var/etc/openvpn/server1.ca
cert /var/etc/openvpn/server1.cert
key /var/etc/openvpn/server1.key
dh /etc/dh-parameters.2048
tls-auth /var/etc/openvpn/server1.tls-auth 0
comp-lzo adaptive
persist-remote-ip
float
topology subnet
ifconfig-pool-persist /var/games/ips.list 0

конфиг клиента:

dev tun
keepalive 5 10
ping-timer-rem
persist-tun
persist-key
cipher AES-256-CBC
auth SHA1
tls-client
client
resolv-retry infinite
remote БЕЛЫЙ IP 1194 udp
verify-x509-name "VPN CA" name
auth-user-pass
auth-nocache
pkcs12 pfSense-udp-1194-user.p12
tls-auth pfSense-udp-1194-user-tls.key 1
remote-cert-tls server
comp-lzo adaptive

log пользователя у которого обрывается подключение:

Oct 20 21:19:04 pfSense openvpn[8721]: 185.141.76.186:36453 [user] Peer Connection Initiated with [AF_INET]185.141.76.186:36453
Oct 20 21:19:04 pfSense openvpn[8721]: user/185.141.76.186:36453 MULTI_sva: pool returned IPv4=10.0.1.3, IPv6=(Not enabled)
Oct 20 21:19:05 pfSense openvpn[8721]: user/185.141.76.186:36453 send_push_reply(): safe_cap=940
Oct 20 22:18:55 pfSense openvpn[8721]: user/185.141.76.186:36453 TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity)
Oct 20 22:18:55 pfSense openvpn[8721]: user/185.141.76.186:36453 TLS Error: TLS handshake failed
Oct 20 22:19:55 pfSense openvpn[8721]: user/185.141.76.186:36453 [UNDEF] Inactivity timeout (–ping-restart), restarting

под другим пользователем даже без добавления в конфиг
keepalive 5 10
ping-timer-rem
тоже самое, подключение работает ровно один час, после этого разрывается и не переподключается заново автоматом, так что это не только на каком то пользователе а на обоих.

dragoangel

У самого все время так же, каждый час всех выбрасывает, но вот если ты уберешь:
auth-user-pass
auth-nocache
то они будут автоматом переподключатся хотя бы.

pigbrother

@DRago_Angel:

У самого все время так же, каждый час всех выбрасывает, но вот если ты уберешь:
auth-user-pass
auth-nocache
то они будут автоматом переподключатся хотя бы.

Достаточно убрать auth-nocache. Если не убрать - придется колдовать с директивой reneg-sec
https://serverfault.com/questions/436333/getting-disconnected-from-openvpn-server-each-hour
auth-user-pass - нужно для (первоначальной) авторизации по логину\паролю.

dragoangel

Да сори - по auth-user-pass просто затупил). А параметр
reneg-sec 0
ставим и у клиента и у сервера - и получаем счастье, спасибо сам не знал!

pigbrother

Open VPN может так много, что иногда хочется, чтоб мог меньше  :D

dragoangel

Да он умеет даже скрипты по подключению\отключению вызывать, что вообще как по мне дикость), но в 2.4 добавили хотябы pull filter ignore хотябы

Guf-Rolex-X

@DRago_Angel:

Да сори - по auth-user-pass просто затупил). А параметр
reneg-sec 0
ставим и у клиента и у сервера - и получаем счастье, спасибо сам не знал!

после чего в конфиге сервера и клиента должна идти директива reneg-sec 0? у меня нет такой директивы не на сервере не на клиенте,
auth-nocache убрал, но пока не проверял, еще не совсем понял по директиве keepalive, она нужна клиенту или только на серверной стороне достаточно, а если и там и там то секунды должны и там и там одинаковые быть?

pigbrother

auth-nocache убрал
Тогда reneg-sec 0 можно не беспокоиться и не использовать. Хотите - оставьте только не сервере.