pfSense 2.4.5 периодически клиент не может подк. к серверу


  • Коллеги, всех приветствую!
    На сервере стоит последний pfSense 2.4.5 уже 2 года (обновлялся), и почему-то за последний месяц стал наблюдать картину, что некоторые клиенты не могут подключиться к серверу, хотя интернет в офисе есть и все работает, через какое-то время клиент подключается нормально. Косяк со стороны клиента исключён, там все хорошо, т.к. к другим серверам с этого же OpenVPN-клиента подключение "на ура".
    Что может быть? Куда копать?
    Версия OpenVPN 2.5.0.

    Fri Dec 04 09:35:28 2020 TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity)
    Fri Dec 04 09:35:28 2020 TLS Error: TLS handshake failed
    Fri Dec 04 09:35:28 2020 SIGUSR1[soft,tls-error] received, process restarting
    Fri Dec 04 09:35:38 2020 TCP/UDP: Preserving recently used remote address: [AF_INET]х.х.х.х:1250
    Fri Dec 04 09:35:38 2020 UDP link local (bound): [AF_INET][undef]:1194
    Fri Dec 04 09:35:38 2020 UDP link remote: [AF_INET]х.х.х.х:1250
    Fri Dec 04 09:36:38 2020 TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity)
    Fri Dec 04 09:36:38 2020 TLS Error: TLS handshake failed
    Fri Dec 04 09:36:38 2020 SIGUSR1[soft,tls-error] received, process restarting
    Fri Dec 04 09:36:58 2020 TCP/UDP: Preserving recently used remote address: [AF_INET]х.х.х.х:1250
    Fri Dec 04 09:36:58 2020 UDP link local (bound): [AF_INET][undef]:1194
    Fri Dec 04 09:36:58 2020 UDP link remote: [AF_INETх.х.х.х:1250
    Fri Dec 04 09:37:58 2020 TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity)
    Fri Dec 04 09:37:58 2020 TLS Error: TLS handshake failed
    Fri Dec 04 09:37:58 2020 SIGUSR1[soft,tls-error] received, process restarting
    Fri Dec 04 09:38:38 2020 TCP/UDP: Preserving recently used remote address: [AF_INET]х.х.х.х:1250
    Fri Dec 04 09:38:38 2020 UDP link local (bound): [AF_INET][undef]:1194
    Fri Dec 04 09:38:38 2020 UDP link remote: [AF_INET]х.х.х.х:1250
    

  • Разобрался, похоже, дело было в полной загрузке инет канала на сервере в компании, у кого-то обновлялась Windows 10, и из-за полной загрузки канала даже клиент не смог подключиться к OpenVPN-серверу, интересно, однако...


  • @electricshock
    Попробуйте настроить Limiter. Тогда канал будет делиться динамически между всеми. Только скорости UP\DOWN указывайте реальные (~80% от тарифа провайдера).


  • @electricshock У меня тут тоже с OVPN какие-то странности происходят, чего никогда не наблюдалось на прошлой системе. Клиенты начали по очереди сообщать что не могут подключиться. Начал разбираться, выяснил что у них случилось между делом обновление Win10... ну... подумал в этом и есть трабл. Помогло как ни странно заново скачать и скопировать файлы конфигурации OVPN, причём без перевыпуска сертификатов! Но потом по ходу процесса было несколько случаев где без всяких обновлений переставало работать и так же точно перекопирование набора помогло. Хммм. Хрень какая-то. Надеюсь это не приобретёт перманентный характер, а иначе нафиг такой сервер.


  • @electricshock said in pfSense 2.4.5 периодически клиент не может подк. к серверу:

    у кого-то обновлялась Windows 10

    Если в сети несколько\много Windows 10 имеет смысл включить на них Windows Update Delivery Optimization.

    https://www.tenforums.com/tutorials/4742-choose-how-windows-store-app-updates-downloaded-windows-10-a.html#option1


  • @pigbrother А как это относится к глюкам в подключении через OVPN ?


  • @werter said in pfSense 2.4.5 периодически клиент не может подк. к серверу:

    @electricshock
    Попробуйте настроить Limiter. Тогда канал будет делиться динамически между всеми. Только скорости UP\DOWN указывайте реальные (~80% от тарифа провайдера).
    Благодарю! Возьму на вооружение.

    @luha said in pfSense 2.4.5 периодически клиент не может подк. к серверу:

    @electricshock У меня тут тоже с OVPN какие-то странности происходят, чего никогда не наблюдалось на прошлой системе. Клиенты начали по очереди сообщать что не могут подключиться. Начал разбираться, выяснил что у них случилось между делом обновление Win10... ну... подумал в этом и есть трабл. Помогло как ни странно заново скачать и скопировать файлы конфигурации OVPN, причём без перевыпуска сертификатов! Но потом по ходу процесса было несколько случаев где без всяких обновлений переставало работать и так же точно перекопирование набора помогло. Хммм. Хрень какая-то. Надеюсь это не приобретёт перманентный характер, а иначе нафиг такой сервер.

    Аналогичную ситуацию сам наблюдал несколько дней назад, когда один клиент не мог подключиться к OpenVPN серверу, а другой - с ним работал без проблем, странно как-то, раньше (полгода и раньше) таких проблем не было. Но у меня подозрения на загрузку канала, может в этом все дело, ибо канал маленький в конторе (15 мбит/сек) а ПК более 40 в организации, либо же дело в новых версиях клиента OpenVPN? Пока неясно.
    Кстати, заметил несколько "варнингов" стали "сыпаться" при подключении с новых клиентов такого плана:

    2020-12-04 10:42:39 Successful ARP Flush on interface [52] {BDEC2FBD-9FF5-479C-A64E-721E041002DA}
    2020-12-04 10:42:39 IPv4 MTU set to 1500 on interface 52 using service
    2020-12-04 10:42:44 ROUTE: route addition failed using service: Этот объект уже существует.   [status=5010 if_index=52]
    
    2020-12-04 12:14:03 WARNING: INSECURE cipher (BF-CBC) with block size less than 128 bit (64 bit).  This allows attacks like SWEET32.  Mitigate by using a --cipher with a larger block size (e.g. AES-256-CBC). Support for these insecure ciphers will be removed in OpenVPN 2.6.
    2020-12-04 13:52:17 WARNING: cipher with small block size in use, reducing reneg-bytes to 64MB to mitigate SWEET32 attacks.
    

    Так понимаю, вдруг шифрование "ему" показалось слабым.

    @pigbrother said in pfSense 2.4.5 периодически клиент не может подк. к серверу:

    @electricshock said in pfSense 2.4.5 периодически клиент не может подк. к серверу:

    у кого-то обновлялась Windows 10

    Если в сети несколько\много Windows 10 имеет смысл включить на них Windows Update Delivery Optimization.

    https://www.tenforums.com/tutorials/4742-choose-how-windows-store-app-updates-downloaded-windows-10-a.html#option1

    Благодарю, взял на вооружение.


  • @electricshock У нас два толстых канала по оптике корпоративного уровня и ещё петля через местный датацентр - 100% не в этом дело. В логах ошибок нет, только информация касающаяся методов шифрования и сертификатов. Я вот думаю что возможно поменялось что-то связанное с файлом настроек. К сожалению я не догадался сравнить, но в следующий раз попробую сгенерировать и посмотреть чем они будут отличаться.


  • https://www.opennet.ru/opennews/art.shtml?num=53981

    Из конфигурации по умолчанию убрана поддержка шифра BF-CBC