Страница 1 из 1
OpenVPN клиент
Добавлено: 2013-04-12 8:41:50
tyler56
Приветствую читателей форума.
Есть сервер openvpn и клиент соответственно на FreeBSD оба.
Клиент подключается через isa прокси.
У сервера динамический ip и настроен на dyndns.
При смене адреса у сервера клиент не реконектится и процесс openvpn останавливается.
Вопрос это нормальное поведение клиента.
Конфиг сервера:
Код: Выделить всё
#порт на котором работает сервер
port 443
# протокол - советую udp
proto tcp
# - используемый тип устройства и номер
dev tun0
dh /usr/local/etc/openvpn/dh1024.pem
ca /usr/local/etc/openvpn/ca.crt
cert /usr/local/etc/openvpn/server.crt
key /usr/local/etc/openvpn/server.key
crl-verify /usr/local/etc/openvpn/crl.pem
#задаем подсеть VPN
server 192.168.7.0 255.255.255.0
push "redirect-gateway def1"
#добавляет на стороне клиента маршрут к виртуальной частной сети
push "route 192.168.7.0 255.255.255.0"
push "route 192.168.0.0 255.255.255.0"
# добавляет на стороне сервера маршруты к локальным подсетям,
# находящимся за клиентами
route 192.168.2.0 255.255.255.0
route 192.168.3.0 255.255.255.0
script-security 3
up /usr/local/etc/openvpn/if-up.sh
down /usr/local/etc/openvpn/if-down.sh
ifconfig-pool-persist /usr/local/etc/openvpn/ipp.txt 0
client-config-dir ccd
client-to-client
keepalive 10 120
comp-lzo
max-clients 100
user nobody
group nobody
persist-key
persist-tun
status /var/log/openvpn/openvpn-status.log
log /var/log/openvpn/openvpn.log
verb 3
Конфиг клиента:
Код: Выделить всё
dev tun
proto tcp
remote xxx.dyndns.org
port 443
http-proxy 192.168.4.100 8080 loginx ntlm
client
resolv-retry infinite
pkcs12 client4.p12
ns-cert-type server
script-security 2
comp-lzo
persist-key
persist-tun
keepalive 10 120
status /var/log/openvpn/openvpn-status.log
log /var/log/openvpn/openvpn.log
verb 3
mute 20
Re: OpenVPN клиент
Добавлено: 2013-04-15 21:24:08
mak_v_
Где лог с моментом остановки процесса?
Re: OpenVPN клиент
Добавлено: 2013-04-18 18:44:22
tyler56
Сервер подключен к провайдеру через pppoe adsl.
Адрес меняется раз в трое суток.
Сегодня адрес сменился. Завтра выложу лог с сервера и клиента.
Re: OpenVPN клиент
Добавлено: 2013-04-19 11:08:42
tyler56
Адрес сервера xxx.dyndns.org
Адрес клиента за прокси 200.200.200.200
Адрес прокси 192.168.4.100:8080
Сервер
cat /var/log/messages
Код: Выделить всё
Apr 17 18:29:42 admin ddclient[2560]: SUCCESS: updating xxx.dyndns.org: good: IP address set to 86.57.139.225
cat /var/log/openvpn/openvpn.log
Код: Выделить всё
Wed Apr 17 18:30:19 2013 MULTI: multi_create_instance called
Wed Apr 17 18:30:19 2013 Re-using SSL/TLS context
Wed Apr 17 18:30:19 2013 LZO compression initialized
Wed Apr 17 18:30:19 2013 Control Channel MTU parms [ L:1544 D:140 EF:40 EB:0 ET:0 EL:0 ]
Wed Apr 17 18:30:19 2013 Data Channel MTU parms [ L:1544 D:1450 EF:44 EB:135 ET:0 EL:0 AF:3/1 ]
Wed Apr 17 18:30:19 2013 Local Options hash (VER=V4): 'c0103fa8'
Wed Apr 17 18:30:19 2013 Expected Remote Options hash (VER=V4): '69109d17'
Wed Apr 17 18:30:19 2013 TCP connection established with 86.19.116.103:52764
Wed Apr 17 18:30:19 2013 TCPv4_SERVER link local: [undef]
Wed Apr 17 18:30:19 2013 TCPv4_SERVER link remote: 86.19.116.103:52764
Wed Apr 17 18:30:19 2013 86.19.116.103:52764 WARNING: Bad encapsulated packet length from peer (44320), which must be > 0 and <= 1544 -- please ensure that --tun-mtu or --link-mtu is equal on both peers -- this condition could also indicate a possible active attack on the TCP link -- [Attempting restart...]
Wed Apr 17 18:30:19 2013 86.19.116.103:52764 Connection reset, restarting [0]
Wed Apr 17 18:30:19 2013 86.19.116.103:52764 SIGUSR1[soft,connection-reset] received, client-instance restarting
Wed Apr 17 18:30:19 2013 TCP/UDP: Closing socket
Wed Apr 17 18:31:55 2013 client4/200.200.200.200:43163 [client4] Inactivity timeout (--ping-restart), restarting
Wed Apr 17 18:31:55 2013 client4/200.200.200.200:43163 SIGUSR1[soft,ping-restart] received, client-instance restarting
Wed Apr 17 18:31:55 2013 TCP/UDP: Closing socket
Клиент
Код: Выделить всё
Wed Apr 17 18:28:35 2013 246 variation(s) on previous 20 message(s) suppressed by --mute
Wed Apr 17 18:28:35 2013 Connection reset, restarting [0]
Wed Apr 17 18:28:35 2013 SIGUSR1[soft,connection-reset] received, process restarting
Wed Apr 17 18:28:35 2013 Restart pause, 5 second(s)
Wed Apr 17 18:28:40 2013 NOTE: the current --script-security setting may allow this configuration to call user-defined scripts
Wed Apr 17 18:28:40 2013 Socket Buffers: R=[65536->65536] S=[32768->65536]
Wed Apr 17 18:28:40 2013 Attempting to establish TCP connection with [AF_INET]192.168.4.100:8080 [nonblock]
Wed Apr 17 18:28:41 2013 TCP connection established with [AF_INET]192.168.4.100:8080
Wed Apr 17 18:28:41 2013 Send to HTTP proxy: 'CONNECT xxx.dyndns.org:443 HTTP/1.0'
Wed Apr 17 18:28:41 2013 Attempting NTLM Proxy-Authorization phase 1
Wed Apr 17 18:28:46 2013 recv_line: TCP port read timeout expired: Operation now in progress (errno=36)
Wed Apr 17 18:28:46 2013 /sbin/route delete -net 192.168.0.0 192.168.7.17 255.255.255.0
delete net 192.168.0.0: gateway 192.168.7.17
Wed Apr 17 18:28:46 2013 /sbin/route delete -net 192.168.7.0 192.168.7.17 255.255.255.0
delete net 192.168.7.0: gateway 192.168.7.17
Wed Apr 17 18:28:46 2013 /sbin/route delete -net 0.0.0.0 192.168.7.17 128.0.0.0
delete net 0.0.0.0: gateway 192.168.7.17
Wed Apr 17 18:28:46 2013 /sbin/route delete -net 128.0.0.0 192.168.7.17 128.0.0.0
delete net 128.0.0.0: gateway 192.168.7.17
Wed Apr 17 18:28:46 2013 Closing TUN/TAP interface
Wed Apr 17 18:28:46 2013 /sbin/ifconfig tun0 destroy
Wed Apr 17 18:28:46 2013 SIGTERM[soft,init_instance] received, process exiting
Re: OpenVPN клиент
Добавлено: 2013-04-19 11:25:20
mak_v_
Attempting NTLM Proxy-Authorization phase 1
Wed Apr 17 18:28:46 2013 recv_line: TCP port read timeout expired: Operation now in progress (errno=36)
Ковыряйте поделку ISA на предмет отсутствия аутентификации
Re: OpenVPN клиент
Добавлено: 2013-04-19 19:04:07
tyler56
mak_v_ писал(а):Attempting NTLM Proxy-Authorization phase 1
Wed Apr 17 18:28:46 2013 recv_line: TCP port read timeout expired: Operation now in progress (errno=36)
Ковыряйте поделку ISA на предмет отсутствия аутентификации
Так даже если клиент получает отказ при авторизации почему не происходит попыток переподключения.
Процесс полностью останавливается.
Re: OpenVPN клиент
Добавлено: 2013-04-19 19:20:28
Гость
А ваш прокси случаем не кэширует DNS запросы?
Адрес сервера сменился а прокси из кеша ломится на старый адрес.
Re: OpenVPN клиент
Добавлено: 2013-04-19 19:26:48
tyler56
Так в том то и дело, что по логам клиента он не пробует переподключаться а просто останавливается процесс.
Причем если остановить сервер openvpn и запустить, клиент переподключается без проблем.
То есть проблема возникает при смене адреса у сервера.
А по dns опция resolv-retry infinite вроде отвечает за подключение к серверам с динамическими адресами.
Re: OpenVPN клиент
Добавлено: 2013-04-19 19:37:46
Гость
sockstat | grep openvpn
На сервере до и после смены IP.
Код: Выделить всё
openvpn openvpn 75310 4 udp4 ХХ.ХХ.ХХ.ХХ:1194 *:*
Видимо сервер привязывается к IP при старте.
Re: OpenVPN клиент
Добавлено: 2013-04-19 19:46:28
tyler56
Код: Выделить всё
sockstat | grep openvpn
nobody openvpn 4890 5 tcp4 *:443 *:*
nobody openvpn 4890 8 tcp4 86.57.139.225:443 200.200.200.200:55282
Адрес клиента изменен) Но он белый.
Не просто не понятно почему падает клиент а не пробует реконектиться.
Re: OpenVPN клиент
Добавлено: 2013-04-19 20:32:57
mak_v_
внесите днс сервера с список некешируемых ресурсов.
Так а что с аутентификацией?
Re: OpenVPN клиент
Добавлено: 2013-04-19 20:43:23
tyler56
mak_v_ писал(а):внесите днс сервера с список некешируемых ресурсов.
Так а что с аутентификацией?
Авторизация на прокси разрешена в определенное время с 8.00 до 17.00.
Но если авторизация пройдена в это время то существующее соединение не разрывается.
По идее клиент должен даже при отсутствии успешной авторизации пытаться подключиться к серверу или я ошибаюсь. А клиент совсем падает и естественно не пытается больше соединиться.
Re: OpenVPN клиент
Добавлено: 2013-04-19 21:28:41
mak_v_
ЖурналЪ ИСЫ религия не позволяет посмотреть?
Re: OpenVPN клиент
Добавлено: 2013-04-19 21:36:02
tyler56
mak_v_ писал(а):ЖурналЪ ИСЫ религия не позволяет посмотреть?
К сожалению ису админит другой человек)
Re: OpenVPN клиент
Добавлено: 2013-04-24 13:10:07
tyler56
Разобрался.
Проблемы были из-за прокси сервера.
Имя в днс обновляется не сразу. Прокси сервер не может соединиться с openvpn и разрывает соединение.
По умолчанию клиент openvpn не реконектит соединение с прокси сервером. Для этого есть опции.
Re: OpenVPN клиент
Добавлено: 2013-04-24 13:23:37
mak_v_
Ну гагбе мой второй ответ в топике на это и намекал..
Re: OpenVPN клиент
Добавлено: 2013-04-24 15:02:32
tyler56
Непонятно почему
connect-retry
включен по умолчанию а
http-proxy-retry
нет.