pfSense 2.4.5 периодически клиент не может подк. к серверу

Electricshock

Коллеги, всех приветствую!
На сервере стоит последний pfSense 2.4.5 уже 2 года (обновлялся), и почему-то за последний месяц стал наблюдать картину, что некоторые клиенты не могут подключиться к серверу, хотя интернет в офисе есть и все работает, через какое-то время клиент подключается нормально. Косяк со стороны клиента исключён, там все хорошо, т.к. к другим серверам с этого же OpenVPN-клиента подключение "на ура".
Что может быть? Куда копать?
Версия OpenVPN 2.5.0.

Fri Dec 04 09:35:28 2020 TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity)
Fri Dec 04 09:35:28 2020 TLS Error: TLS handshake failed
Fri Dec 04 09:35:28 2020 SIGUSR1[soft,tls-error] received, process restarting
Fri Dec 04 09:35:38 2020 TCP/UDP: Preserving recently used remote address: [AF_INET]х.х.х.х:1250
Fri Dec 04 09:35:38 2020 UDP link local (bound): [AF_INET][undef]:1194
Fri Dec 04 09:35:38 2020 UDP link remote: [AF_INET]х.х.х.х:1250
Fri Dec 04 09:36:38 2020 TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity)
Fri Dec 04 09:36:38 2020 TLS Error: TLS handshake failed
Fri Dec 04 09:36:38 2020 SIGUSR1[soft,tls-error] received, process restarting
Fri Dec 04 09:36:58 2020 TCP/UDP: Preserving recently used remote address: [AF_INET]х.х.х.х:1250
Fri Dec 04 09:36:58 2020 UDP link local (bound): [AF_INET][undef]:1194
Fri Dec 04 09:36:58 2020 UDP link remote: [AF_INETх.х.х.х:1250
Fri Dec 04 09:37:58 2020 TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity)
Fri Dec 04 09:37:58 2020 TLS Error: TLS handshake failed
Fri Dec 04 09:37:58 2020 SIGUSR1[soft,tls-error] received, process restarting
Fri Dec 04 09:38:38 2020 TCP/UDP: Preserving recently used remote address: [AF_INET]х.х.х.х:1250
Fri Dec 04 09:38:38 2020 UDP link local (bound): [AF_INET][undef]:1194
Fri Dec 04 09:38:38 2020 UDP link remote: [AF_INET]х.х.х.х:1250

Electricshock

Разобрался, похоже, дело было в полной загрузке инет канала на сервере в компании, у кого-то обновлялась Windows 10, и из-за полной загрузки канала даже клиент не смог подключиться к OpenVPN-серверу, интересно, однако...

werter

@electricshock
Попробуйте настроить Limiter. Тогда канал будет делиться динамически между всеми. Только скорости UP\DOWN указывайте реальные (~80% от тарифа провайдера).

luha

@electricshock У меня тут тоже с OVPN какие-то странности происходят, чего никогда не наблюдалось на прошлой системе. Клиенты начали по очереди сообщать что не могут подключиться. Начал разбираться, выяснил что у них случилось между делом обновление Win10... ну... подумал в этом и есть трабл. Помогло как ни странно заново скачать и скопировать файлы конфигурации OVPN, причём без перевыпуска сертификатов! Но потом по ходу процесса было несколько случаев где без всяких обновлений переставало работать и так же точно перекопирование набора помогло. Хммм. Хрень какая-то. Надеюсь это не приобретёт перманентный характер, а иначе нафиг такой сервер.

pigbrother

@electricshock said in pfSense 2.4.5 периодически клиент не может подк. к серверу:

у кого-то обновлялась Windows 10

Если в сети несколько\много Windows 10 имеет смысл включить на них Windows Update Delivery Optimization.

https://www.tenforums.com/tutorials/4742-choose-how-windows-store-app-updates-downloaded-windows-10-a.html#option1

luha

@pigbrother А как это относится к глюкам в подключении через OVPN ?

Electricshock

@werter said in pfSense 2.4.5 периодически клиент не может подк. к серверу:

@electricshock
Попробуйте настроить Limiter. Тогда канал будет делиться динамически между всеми. Только скорости UP\DOWN указывайте реальные (~80% от тарифа провайдера).
Благодарю! Возьму на вооружение.

@luha said in pfSense 2.4.5 периодически клиент не может подк. к серверу:

@electricshock У меня тут тоже с OVPN какие-то странности происходят, чего никогда не наблюдалось на прошлой системе. Клиенты начали по очереди сообщать что не могут подключиться. Начал разбираться, выяснил что у них случилось между делом обновление Win10... ну... подумал в этом и есть трабл. Помогло как ни странно заново скачать и скопировать файлы конфигурации OVPN, причём без перевыпуска сертификатов! Но потом по ходу процесса было несколько случаев где без всяких обновлений переставало работать и так же точно перекопирование набора помогло. Хммм. Хрень какая-то. Надеюсь это не приобретёт перманентный характер, а иначе нафиг такой сервер.

Аналогичную ситуацию сам наблюдал несколько дней назад, когда один клиент не мог подключиться к OpenVPN серверу, а другой - с ним работал без проблем, странно как-то, раньше (полгода и раньше) таких проблем не было. Но у меня подозрения на загрузку канала, может в этом все дело, ибо канал маленький в конторе (15 мбит/сек) а ПК более 40 в организации, либо же дело в новых версиях клиента OpenVPN? Пока неясно.
Кстати, заметил несколько "варнингов" стали "сыпаться" при подключении с новых клиентов такого плана:

2020-12-04 10:42:39 Successful ARP Flush on interface [52] {BDEC2FBD-9FF5-479C-A64E-721E041002DA}
2020-12-04 10:42:39 IPv4 MTU set to 1500 on interface 52 using service
2020-12-04 10:42:44 ROUTE: route addition failed using service: Этот объект уже существует.   [status=5010 if_index=52]

2020-12-04 12:14:03 WARNING: INSECURE cipher (BF-CBC) with block size less than 128 bit (64 bit).  This allows attacks like SWEET32.  Mitigate by using a --cipher with a larger block size (e.g. AES-256-CBC). Support for these insecure ciphers will be removed in OpenVPN 2.6.
2020-12-04 13:52:17 WARNING: cipher with small block size in use, reducing reneg-bytes to 64MB to mitigate SWEET32 attacks.

Так понимаю, вдруг шифрование "ему" показалось слабым.

@pigbrother said in pfSense 2.4.5 периодически клиент не может подк. к серверу:

@electricshock said in pfSense 2.4.5 периодически клиент не может подк. к серверу:

у кого-то обновлялась Windows 10

Если в сети несколько\много Windows 10 имеет смысл включить на них Windows Update Delivery Optimization.

https://www.tenforums.com/tutorials/4742-choose-how-windows-store-app-updates-downloaded-windows-10-a.html#option1

Благодарю, взял на вооружение.

luha

@electricshock У нас два толстых канала по оптике корпоративного уровня и ещё петля через местный датацентр - 100% не в этом дело. В логах ошибок нет, только информация касающаяся методов шифрования и сертификатов. Я вот думаю что возможно поменялось что-то связанное с файлом настроек. К сожалению я не догадался сравнить, но в следующий раз попробую сгенерировать и посмотреть чем они будут отличаться.

werter

https://www.opennet.ru/opennews/art.shtml?num=53981

Из конфигурации по умолчанию убрана поддержка шифра BF-CBC