Проблема Openvpn UDP proto 1194

[polosaty]

Всем привет, возможно кто-то сталкивался с такой проблемой. Есть два офиса, которые цепляются друг к друг через openvpn. Изначально была проблема качества соединения(дикий ms, потери). Поменял в конфиге openvpn и на клиенте proto c tcp на udp, потери пропали, ms нормализовался, так продолжалось неделю, потом появилась проблема - уже 2 день, в обед начинаются пакет лусы (reboot openvpn не помогает), меняю на tcp, потом снова на udp, вроде начинает работать. Порт доступен, у провайдеров все норм. Ума не приложу в чем трабла может быть.

Конфиг сервера:

# указываем на каком локальном интерфейсе OpenVPN будет слушать
# по умолчанию OpenVPN слушает все интерфейсы
local 33.33.33.33

# порт на котором работает сервер
port 1194

# протокол - TCP или UDP
proto udp
#proto tcp

# используемый тип устройства и номер
dev tun0
#tun-mtu 1360

# указываем файл CA
ca /usr/local/etc/openvpn/keys/ca.crt

# указываем файл с сертификатом сервера
cert /usr/local/etc/openvpn/keys/xxx.crt

# указываем файл с ключем сервера
key /usr/local/etc/openvpn/keys/xxx.key

# указываем файл с генерированный алгоритмом Диффи Хеллмана
dh /usr/local/etc/openvpn/keys/dh2048.pem

# указываем где находится файл отозванных сертификатов
crl-verify /usr/local/etc/openvpn/keys/crl.pem

# задаем IP-адрес сервера и маску подсети (виртуальной сети)
server 10.10.10.0 255.255.255.0

# указываем внутренний DNS и WINS серверы
push "dhcp-option DNS 192.168.5.8"

# указываем где хранятся файлы с
# настройками IP-адресов клиентов
client-config-dir /usr/local/etc/openvpn/ccd

# добавляем маршрут сервер-клиент
route 10.10.10.0 255.255.255.252
# Филиал .1
route 192.168.0.0 255.255.255.0

# делает сервер OpenVPN основным шлюзом у клиентов
#push "redirect-gateway"

# разрешает видеть клиентам друг друга (по виртуальным IP)
# по умолчанию клиенты видят только сервер
client-to-client

# разрешать подключаться с одинаковым сертификатом/ключом
#duplicate-cn

# включаем TLS аутентификацию
tls-server

# для дополнительной безопасности при
# использовании SSL/TLS, создайте "HMAC firewall"
# для защиты от DoS аттак и флуда UDP порта.
#
# сгенерируйте с помощью:
# openvpn --genkey --secret ta.key
#
# сервер и каждый клиент должны иметь копию этого ключа.
# второй параметр выставляется в '0' для сервера и '1' для клиентов.
tls-auth keys/ta.key 0

# TLS таймаут, полезен если выход в интернет осуществляется
# через GPRS мобильных операторов
tls-timeout 120

# выбираем алгоритм хеширования по умолчанию используется SHA1
# вывод полного списка командой openvpn --show-digests
auth SHA1

# выберите криптографический сертификат.
# этот пункт конфига должен копироваться
# в конфиг клиента, так же как он установлен здесь.
# по умолчанию используется/рекомендуется BF-CBC

# выберите криптографический сертификат.
# этот пункт конфига должен копироваться
# в конфиг клиента, так же как он установлен здесь.
# по умолчанию используется/рекомендуется BF-CBC
# вывод полного списка командой openvpn --show-ciphers
#cipher BF-CBC # Blowfish (default)
#cipher AES-128-CBC # AES
#cipher DES-EDE3-CBC # Triple-DES
cipher BF-CBC

# проверяет активность подключения каждые 10 секунд,
# если в течении 120 сек. нет ответа, подключение закрывается
#keepalive 10 120
keepalive 5 30

# сжатия трафика VPN туннеля с помощью библиотеки LZO
# если вы включили сжатие на сервере,
# вы так же должны включить и в конфиге у клиента
comp-lzo

# максимальное количество одновременно подключенных клиентов
max-clients 200

# от какого пользователя и группы будет работать OpenVPN
user nobody
group nobody

# имеет смысл использовать при использовании протокола udp
#mssfix 1450

# эти опции позволяют избежать необходимости
# получения доступа к определенным ресурсам
# после рестарта, т.к. это может быть невозможным
# из-за понижения привилегий.
persist-key
persist-tun

# путь к файлу записи статуса OpenVPN в лог
status /var/log/openvpn/openvpn-status.log

# путь к файлу записи событий происходящих на сервере
# "log" - запись событий в лог будет перезаписываться при перезагрузке демона
# "log-append" - запись событий будет добавляться в лог
log /var/log/openvpn/openvpn.log

# установите необходимый уровень логирования.
# 0 - ничего, за исключением фатальных ошибок
# 4 - подойдет для получения общих сведений
# 5 и 6 пригодяться для отладки проблем соединения
# 9 - максимально возможная информация
verb 3

# макс кол-во однотипных записей в лог
mute 20


кофиг клиента:

dev tun
proto udp
#proto tcp
keepalive 5 30
# IP сервера
remote 33.33.33.33
port 1194
client
resolv-retry infinite
pkcs12 keys/moon.p12
tls-client
tls-auth keys/ta.key 1
auth SHA1
cipher BF-CBC
ns-cert-type server
comp-lzo
persist-key
persist-tun
status /var/log/openvpn/openvpn-status.log
log /var/log/openvpn/openvpn.log

Отправлено спустя 1 час 8 секунд:
В логах
Tue Mar 24 12:11:03 2015 UDPv4 link local (bound): [undef]
Tue Mar 24 12:11:03 2015 UDPv4 link remote: [AF_INET]33.33.33.33:1194
Tue Mar 24 12:11:33 2015 [UNDEF] Inactivity timeout (--ping-restart), restarting
Tue Mar 24 12:11:33 2015 SIGUSR1[soft,ping-restart] received, process restarting
Tue Mar 24 12:11:35 2015 NOTE: OpenVPN 2.1 requires '--script-security 2' or higher to call user-defined scripts or executables

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[Dmitriy_3206]

На клиенте при udp используйте команду lport . Если на другом lport (исходящий на клиенте) заработает - то проблема возможно в вашем роутере. Наблюдал такую проблему ADSL d-link du-2500. Это гипотеза