Разрывается подключение OpenVPN.



  • здравствуйте! постоянно разрывается подключение определенного пользователя по OpenVPN, подскажите в чем может быть дело.

    конфиг сервера:

    dev ovpns1
    verb 1
    dev-type tun
    tun-ipv6
    dev-node /dev/tun1
    writepid /var/run/openvpn_server1.pid
    #user nobody
    #group nobody
    script-security 3
    daemon
    keepalive 10 60
    ping-timer-rem
    persist-tun
    persist-key
    proto udp
    cipher AES-256-CBC
    auth SHA1
    up /usr/local/sbin/ovpn-linkup
    down /usr/local/sbin/ovpn-linkdown
    client-connect /usr/local/sbin/openvpn.attributes.sh
    client-disconnect /usr/local/sbin/openvpn.attributes.sh
    local БЕЛЫЙ IP
    tls-server
    server 10.0.1.0 255.255.255.0
    client-config-dir /var/etc/openvpn-csc/server1
    username-as-common-name
    auth-user-pass-verify "/usr/local/sbin/ovpn_auth_verify user TG9jYWwgRGF0YWJhc2U= true server1 1194" via-env
    tls-verify "/usr/local/sbin/ovpn_auth_verify tls 'VPN+CA' 1"
    lport 1194
    management /var/etc/openvpn/server1.sock unix
    max-clients 10
    push "route 192.168.50.0 255.255.255.0"
    push "route 192.168.58.0 255.255.255.0"
    push "route 192.168.59.0 255.255.255.0"
    push "route  0.0.0.0"
    push "dhcp-option NTP 192.168.50.3"
    ca /var/etc/openvpn/server1.ca
    cert /var/etc/openvpn/server1.cert
    key /var/etc/openvpn/server1.key
    dh /etc/dh-parameters.2048
    tls-auth /var/etc/openvpn/server1.tls-auth 0
    comp-lzo adaptive
    persist-remote-ip
    float
    topology subnet
    ifconfig-pool-persist /var/games/ips.list 0

    конфиг клиента:

    dev tun
    keepalive 5 10
    ping-timer-rem
    persist-tun
    persist-key
    cipher AES-256-CBC
    auth SHA1
    tls-client
    client
    resolv-retry infinite
    remote БЕЛЫЙ IP 1194 udp
    verify-x509-name "VPN CA" name
    auth-user-pass
    auth-nocache
    pkcs12 pfSense-udp-1194-user.p12
    tls-auth pfSense-udp-1194-user-tls.key 1
    remote-cert-tls server
    comp-lzo adaptive

    log пользователя у которого обрывается подключение:

    Oct 20 21:19:04 pfSense openvpn[8721]: 185.141.76.186:36453 [user] Peer Connection Initiated with [AF_INET]185.141.76.186:36453
    Oct 20 21:19:04 pfSense openvpn[8721]: user/185.141.76.186:36453 MULTI_sva: pool returned IPv4=10.0.1.3, IPv6=(Not enabled)
    Oct 20 21:19:05 pfSense openvpn[8721]: user/185.141.76.186:36453 send_push_reply(): safe_cap=940
    Oct 20 22:18:55 pfSense openvpn[8721]: user/185.141.76.186:36453 TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity)
    Oct 20 22:18:55 pfSense openvpn[8721]: user/185.141.76.186:36453 TLS Error: TLS handshake failed
    Oct 20 22:19:55 pfSense openvpn[8721]: user/185.141.76.186:36453 [UNDEF] Inactivity timeout (–ping-restart), restarting

    под другим пользователем даже без добавления в конфиг
    keepalive 5 10
    ping-timer-rem
    тоже самое, подключение работает ровно один час, после этого разрывается и не переподключается заново автоматом, так что это не только на каком то пользователе а на обоих.



  • У самого все время так же, каждый час всех выбрасывает, но вот если ты уберешь:
    auth-user-pass
    auth-nocache
    то они будут автоматом переподключатся хотя бы.



  • @DRago_Angel:

    У самого все время так же, каждый час всех выбрасывает, но вот если ты уберешь:
    auth-user-pass
    auth-nocache
    то они будут автоматом переподключатся хотя бы.

    Достаточно убрать auth-nocache. Если не убрать - придется колдовать с директивой reneg-sec
    https://serverfault.com/questions/436333/getting-disconnected-from-openvpn-server-each-hour
    auth-user-pass - нужно для (первоначальной) авторизации по логину\паролю.



  • Да сори - по auth-user-pass просто затупил). А параметр
    reneg-sec 0
    ставим и у клиента и у сервера - и получаем счастье, спасибо сам не знал!



  • Open VPN может так много, что иногда хочется, чтоб мог меньше  :D



  • Да он умеет даже скрипты по подключению\отключению вызывать, что вообще как по мне дикость), но в 2.4 добавили хотябы pull filter ignore хотябы



  • @DRago_Angel:

    Да сори - по auth-user-pass просто затупил). А параметр
    reneg-sec 0
    ставим и у клиента и у сервера - и получаем счастье, спасибо сам не знал!

    после чего в конфиге сервера и клиента должна идти директива reneg-sec 0? у меня нет такой директивы не на сервере не на клиенте,
    auth-nocache убрал, но пока не проверял, еще не совсем понял по директиве keepalive, она нужна клиенту или только на серверной стороне достаточно, а если и там и там то секунды должны и там и там одинаковые быть?



  • auth-nocache убрал
    Тогда reneg-sec 0 можно не беспокоиться и не использовать. Хотите - оставьте только не сервере.


Log in to reply