OpenVPN клиент

Настройка сетевых служб, маршрутизации, фаерволлов. Проблемы с сетевым оборудованием.
Правила форума
Убедительная просьба юзать теги [code] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
tyler56
сержант
Сообщения: 198
Зарегистрирован: 2009-06-03 18:10:15

OpenVPN клиент

Непрочитанное сообщение tyler56 » 2013-04-12 8:41:50

Приветствую читателей форума.
Есть сервер openvpn и клиент соответственно на FreeBSD оба.
Клиент подключается через isa прокси.
У сервера динамический ip и настроен на dyndns.
При смене адреса у сервера клиент не реконектится и процесс openvpn останавливается.
Вопрос это нормальное поведение клиента.

Конфиг сервера:

Код: Выделить всё

#порт на котором работает сервер
port 443
# протокол - советую udp
proto tcp
# - используемый тип устройства и номер
dev tun0

dh                /usr/local/etc/openvpn/dh1024.pem
ca                /usr/local/etc/openvpn/ca.crt
cert              /usr/local/etc/openvpn/server.crt
key               /usr/local/etc/openvpn/server.key
crl-verify        /usr/local/etc/openvpn/crl.pem

#задаем подсеть VPN
server 192.168.7.0 255.255.255.0
push "redirect-gateway def1"

#добавляет на стороне клиента маршрут к виртуальной частной сети
push "route 192.168.7.0 255.255.255.0"
push "route 192.168.0.0 255.255.255.0"
# добавляет на стороне сервера маршруты к локальным подсетям,
# находящимся за клиентами
route 192.168.2.0 255.255.255.0
route 192.168.3.0 255.255.255.0


script-security 3
up /usr/local/etc/openvpn/if-up.sh
down /usr/local/etc/openvpn/if-down.sh

ifconfig-pool-persist /usr/local/etc/openvpn/ipp.txt 0
client-config-dir ccd
client-to-client

keepalive 10 120
comp-lzo
max-clients 100
user nobody
group nobody
persist-key
persist-tun
status /var/log/openvpn/openvpn-status.log
log /var/log/openvpn/openvpn.log
verb 3
Конфиг клиента:

Код: Выделить всё

dev tun
proto tcp
remote xxx.dyndns.org
port 443
http-proxy 192.168.4.100 8080 loginx ntlm
client
resolv-retry infinite
pkcs12 client4.p12
ns-cert-type server
script-security 2
comp-lzo
persist-key
persist-tun
keepalive 10 120
status /var/log/openvpn/openvpn-status.log
log /var/log/openvpn/openvpn.log
verb 3
mute 20

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

mak_v_
проходил мимо

Re: OpenVPN клиент

Непрочитанное сообщение mak_v_ » 2013-04-15 21:24:08

Где лог с моментом остановки процесса?

tyler56
сержант
Сообщения: 198
Зарегистрирован: 2009-06-03 18:10:15

Re: OpenVPN клиент

Непрочитанное сообщение tyler56 » 2013-04-18 18:44:22

Сервер подключен к провайдеру через pppoe adsl.
Адрес меняется раз в трое суток.
Сегодня адрес сменился. Завтра выложу лог с сервера и клиента.

tyler56
сержант
Сообщения: 198
Зарегистрирован: 2009-06-03 18:10:15

Re: OpenVPN клиент

Непрочитанное сообщение tyler56 » 2013-04-19 11:08:42

Адрес сервера xxx.dyndns.org
Адрес клиента за прокси 200.200.200.200
Адрес прокси 192.168.4.100:8080

Сервер
cat /var/log/messages

Код: Выделить всё

Apr 17 18:29:42 admin ddclient[2560]: SUCCESS:  updating xxx.dyndns.org: good: IP address set to 86.57.139.225
cat /var/log/openvpn/openvpn.log

Код: Выделить всё

Wed Apr 17 18:30:19 2013 MULTI: multi_create_instance called
Wed Apr 17 18:30:19 2013 Re-using SSL/TLS context
Wed Apr 17 18:30:19 2013 LZO compression initialized
Wed Apr 17 18:30:19 2013 Control Channel MTU parms [ L:1544 D:140 EF:40 EB:0 ET:0 EL:0 ]
Wed Apr 17 18:30:19 2013 Data Channel MTU parms [ L:1544 D:1450 EF:44 EB:135 ET:0 EL:0 AF:3/1 ]
Wed Apr 17 18:30:19 2013 Local Options hash (VER=V4): 'c0103fa8'
Wed Apr 17 18:30:19 2013 Expected Remote Options hash (VER=V4): '69109d17'
Wed Apr 17 18:30:19 2013 TCP connection established with 86.19.116.103:52764
Wed Apr 17 18:30:19 2013 TCPv4_SERVER link local: [undef]
Wed Apr 17 18:30:19 2013 TCPv4_SERVER link remote: 86.19.116.103:52764
Wed Apr 17 18:30:19 2013 86.19.116.103:52764 WARNING: Bad encapsulated packet length from peer (44320), which must be > 0 and <= 1544 -- please ensure that --tun-mtu or --link-mtu is equal on both peers -- this condition could also indicate a possible active attack on the TCP link -- [Attempting restart...]
Wed Apr 17 18:30:19 2013 86.19.116.103:52764 Connection reset, restarting [0]
Wed Apr 17 18:30:19 2013 86.19.116.103:52764 SIGUSR1[soft,connection-reset] received, client-instance restarting
Wed Apr 17 18:30:19 2013 TCP/UDP: Closing socket
Wed Apr 17 18:31:55 2013 client4/200.200.200.200:43163 [client4] Inactivity timeout (--ping-restart), restarting
Wed Apr 17 18:31:55 2013 client4/200.200.200.200:43163 SIGUSR1[soft,ping-restart] received, client-instance restarting
Wed Apr 17 18:31:55 2013 TCP/UDP: Closing socket
Клиент

Код: Выделить всё

Wed Apr 17 18:28:35 2013 246 variation(s) on previous 20 message(s) suppressed by --mute
Wed Apr 17 18:28:35 2013 Connection reset, restarting [0]
Wed Apr 17 18:28:35 2013 SIGUSR1[soft,connection-reset] received, process restarting
Wed Apr 17 18:28:35 2013 Restart pause, 5 second(s)
Wed Apr 17 18:28:40 2013 NOTE: the current --script-security setting may allow this configuration to call user-defined scripts
Wed Apr 17 18:28:40 2013 Socket Buffers: R=[65536->65536] S=[32768->65536]
Wed Apr 17 18:28:40 2013 Attempting to establish TCP connection with [AF_INET]192.168.4.100:8080 [nonblock]
Wed Apr 17 18:28:41 2013 TCP connection established with [AF_INET]192.168.4.100:8080
Wed Apr 17 18:28:41 2013 Send to HTTP proxy: 'CONNECT xxx.dyndns.org:443 HTTP/1.0'
Wed Apr 17 18:28:41 2013 Attempting NTLM Proxy-Authorization phase 1
Wed Apr 17 18:28:46 2013 recv_line: TCP port read timeout expired: Operation now in progress (errno=36)
Wed Apr 17 18:28:46 2013 /sbin/route delete -net 192.168.0.0 192.168.7.17 255.255.255.0
delete net 192.168.0.0: gateway 192.168.7.17
Wed Apr 17 18:28:46 2013 /sbin/route delete -net 192.168.7.0 192.168.7.17 255.255.255.0
delete net 192.168.7.0: gateway 192.168.7.17
Wed Apr 17 18:28:46 2013 /sbin/route delete -net 0.0.0.0 192.168.7.17 128.0.0.0
delete net 0.0.0.0: gateway 192.168.7.17
Wed Apr 17 18:28:46 2013 /sbin/route delete -net 128.0.0.0 192.168.7.17 128.0.0.0
delete net 128.0.0.0: gateway 192.168.7.17
Wed Apr 17 18:28:46 2013 Closing TUN/TAP interface
Wed Apr 17 18:28:46 2013 /sbin/ifconfig tun0 destroy
Wed Apr 17 18:28:46 2013 SIGTERM[soft,init_instance] received, process exiting

mak_v_
проходил мимо

Re: OpenVPN клиент

Непрочитанное сообщение mak_v_ » 2013-04-19 11:25:20

Attempting NTLM Proxy-Authorization phase 1
Wed Apr 17 18:28:46 2013 recv_line: TCP port read timeout expired: Operation now in progress (errno=36)
Ковыряйте поделку ISA на предмет отсутствия аутентификации

tyler56
сержант
Сообщения: 198
Зарегистрирован: 2009-06-03 18:10:15

Re: OpenVPN клиент

Непрочитанное сообщение tyler56 » 2013-04-19 19:04:07

mak_v_ писал(а):
Attempting NTLM Proxy-Authorization phase 1
Wed Apr 17 18:28:46 2013 recv_line: TCP port read timeout expired: Operation now in progress (errno=36)
Ковыряйте поделку ISA на предмет отсутствия аутентификации
Так даже если клиент получает отказ при авторизации почему не происходит попыток переподключения.
Процесс полностью останавливается.

Гость
проходил мимо

Re: OpenVPN клиент

Непрочитанное сообщение Гость » 2013-04-19 19:20:28

А ваш прокси случаем не кэширует DNS запросы?
Адрес сервера сменился а прокси из кеша ломится на старый адрес.

tyler56
сержант
Сообщения: 198
Зарегистрирован: 2009-06-03 18:10:15

Re: OpenVPN клиент

Непрочитанное сообщение tyler56 » 2013-04-19 19:26:48

Так в том то и дело, что по логам клиента он не пробует переподключаться а просто останавливается процесс.
Причем если остановить сервер openvpn и запустить, клиент переподключается без проблем.
То есть проблема возникает при смене адреса у сервера.
А по dns опция resolv-retry infinite вроде отвечает за подключение к серверам с динамическими адресами.

Гость
проходил мимо

Re: OpenVPN клиент

Непрочитанное сообщение Гость » 2013-04-19 19:37:46

sockstat | grep openvpn
На сервере до и после смены IP.

Код: Выделить всё

openvpn  openvpn    75310 4  udp4   ХХ.ХХ.ХХ.ХХ:1194      *:*
Видимо сервер привязывается к IP при старте.

tyler56
сержант
Сообщения: 198
Зарегистрирован: 2009-06-03 18:10:15

Re: OpenVPN клиент

Непрочитанное сообщение tyler56 » 2013-04-19 19:46:28

Код: Выделить всё

sockstat | grep openvpn
nobody   openvpn    4890  5  tcp4   *:443                 *:*
nobody   openvpn    4890  8  tcp4   86.57.139.225:443     200.200.200.200:55282
Адрес клиента изменен) Но он белый.
Не просто не понятно почему падает клиент а не пробует реконектиться.

mak_v_
проходил мимо

Re: OpenVPN клиент

Непрочитанное сообщение mak_v_ » 2013-04-19 20:32:57

внесите днс сервера с список некешируемых ресурсов.
Так а что с аутентификацией?

tyler56
сержант
Сообщения: 198
Зарегистрирован: 2009-06-03 18:10:15

Re: OpenVPN клиент

Непрочитанное сообщение tyler56 » 2013-04-19 20:43:23

mak_v_ писал(а):внесите днс сервера с список некешируемых ресурсов.
Так а что с аутентификацией?
Авторизация на прокси разрешена в определенное время с 8.00 до 17.00.
Но если авторизация пройдена в это время то существующее соединение не разрывается.
По идее клиент должен даже при отсутствии успешной авторизации пытаться подключиться к серверу или я ошибаюсь. А клиент совсем падает и естественно не пытается больше соединиться.

mak_v_
проходил мимо

Re: OpenVPN клиент

Непрочитанное сообщение mak_v_ » 2013-04-19 21:28:41

ЖурналЪ ИСЫ религия не позволяет посмотреть?

tyler56
сержант
Сообщения: 198
Зарегистрирован: 2009-06-03 18:10:15

Re: OpenVPN клиент

Непрочитанное сообщение tyler56 » 2013-04-19 21:36:02

mak_v_ писал(а):ЖурналЪ ИСЫ религия не позволяет посмотреть?
К сожалению ису админит другой человек)

tyler56
сержант
Сообщения: 198
Зарегистрирован: 2009-06-03 18:10:15

Re: OpenVPN клиент

Непрочитанное сообщение tyler56 » 2013-04-24 13:10:07

Разобрался.
Проблемы были из-за прокси сервера.
Имя в днс обновляется не сразу. Прокси сервер не может соединиться с openvpn и разрывает соединение.
По умолчанию клиент openvpn не реконектит соединение с прокси сервером. Для этого есть опции.

Код: Выделить всё

http-proxy-retry
http-proxy-timeout 20

mak_v_
проходил мимо

Re: OpenVPN клиент

Непрочитанное сообщение mak_v_ » 2013-04-24 13:23:37

Ну гагбе мой второй ответ в топике на это и намекал..

tyler56
сержант
Сообщения: 198
Зарегистрирован: 2009-06-03 18:10:15

Re: OpenVPN клиент

Непрочитанное сообщение tyler56 » 2013-04-24 15:02:32

Непонятно почему
connect-retry
включен по умолчанию а
http-proxy-retry
нет.