OpenVPN сервер за NAT multi new connection by client to be dropped

Indeez · Непрочитанное сообщение **Indeez** » 2026-01-21 9:11:37

Добрый день, прошу вашей помощи! Много пересмотрел форумов, но решения не нашёл. Есть шлюз с двумя сетевыми картами. Одна смотрит в инет, вторая в локалку. На нём проброшено подключение из вне к OpenVPN серверу. Сервер c Ubuntu 22.04 находится в локальной сети.
Настройки на шлюзе следующие:

Код: Выделить всё

iptables -t nat -A PREROUTING -s 0/0 -d 92.92.92.92/32 -p udp -m udp --dport 1194 -j DNAT --to-destination 192.168.1.11:1194
iptables -A FORWARD -p udp -s 0/0 -d 192.168.1.11 --dport 1194 -j ACCEPT
iptables -A FORWARD -p udp -d 0/0 -s 192.168.1.11 --sport 1194 -j ACCEPT

На OpenVPN сервере настройки такие
server.conf

Код: Выделить всё

mode server
port 1194
proto udp
dev tun
management localhost 7505
ca ca.crt
cert srv-ovpn.crt
key srv-ovpn.key
dh dh.pem
tls-crypt ta.key
server 20.20.28.0 255.255.252.0
ifconfig-pool-persist ipp.txt
client-config-dir /etc/openvpn/server/ccd
push "route 192.168.1.0 255.255.255.0"
push "dhcp-option DNS 192.168.1.1"
topology subnet
keepalive 10 120
comp-lzo
user nobody
group nogroup
persist-key
persist-tun
status /var/log/openvpn/openvpn-status.log
log /var/log/openvpn/openvpn.log
verb 4
cipher AES-256-GCM
auth SHA256
tls-version-min 1.2
crl-verify crl.pem

client.conf

Код: Выделить всё

client
dev tun
proto udp
remote 92.92.92.92 1194
resolv-retry infinite
nobind
persist-key
persist-tun
ca ca.crt
cert pso.crt
key pso.key
remote-cert-tls server
tls-crypt ta.key 1
comp-lzo
verb 3
cipher AES-256-GCM
auth SHA256
tls-version-min 1.2

Пытался /etc/openvpn/server/ccd добавить в неё файлы
pso с текстом

Код: Выделить всё

ifconfig-push 20.20.28.3 20.20.28.4
iroute 20.20.28.0 255.255.252.0

gorka1 с текстом

Код: Выделить всё

ifconfig-push 20.20.28.5 20.20.28.6
iroute 20.20.28.0 255.255.252.0

Сервер будто начихал на них. Путь правил до ccd.

cat /etc/sysctl.conf

Код: Выделить всё

net.ipv4.ip_forward=1
net.ipv4.conf.all.forwarding=1

в iptables стоит

Код: Выделить всё

-A POSTROUTING -s 20.20.28.0/22 -d 0/0 -j SNAT --to-source 192.168.1.11 (192.168.1.11 адрес ВПН сервера в локалке)

Проблема в том что при подключении из вне к OpenVPN серверу может подключиться только один клиент. Клиенты в филиале сидят за белым IP адресом, роутером. На ПК (4 шт.) стоит Windows 7/10 с установленными openvpn клиентами. У каждого в конфиге свой сертификат.
При подключении второго клиента выходит ошибка на сервере!
В итоге клиент не может подключиться.

MULTI: new connection by client 'gorka1' will cause previous active sessions by this client to be dropped. Remember to use the --duplicate-cn option if you want multiple clients using the same certificate or username to concurrently connect.
MULTI: bad source address from client [::], packet dropped

Если на сам шлюз установить OpenVPN сервер то всё работает как часы. Прошу вашей помощи ребята.

Хостинг HostFood.ru · **Хостинг HostFood.ru**

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

Indeez · Непрочитанное сообщение **Indeez** » 2026-01-21 11:50:16

Полный лог при подключении второго пользователя

Код: Выделить всё

MULTI: multi_create_instance called
92.124.131.56:60637 Re-using SSL/TLS context
92.124.131.56:60637 Outgoing Control Channel Encryption: Cipher 'AES-256-CTR' initialized with 256 bit key
92.124.131.56:60637 Outgoing Control Channel Encryption: Using 256 bit message hash 'SHA256' for HMAC authentication
92.124.131.56:60637 Incoming Control Channel Encryption: Cipher 'AES-256-CTR' initialized with 256 bit key
92.124.131.56:60637 Incoming Control Channel Encryption: Using 256 bit message hash 'SHA256' for HMAC authentication
92.124.131.56:60637 LZO compression initializing
92.124.131.56:60637 Control Channel MTU parms [ L:1622 D:1156 EF:94 EB:0 ET:0 EL:3 ]
92.124.131.56:60637 Data Channel MTU parms [ L:1622 D:1450 EF:122 EB:406 ET:0 EL:3 ]
92.124.131.56:60637 Local Options String (VER=V4): 'V4,dev-type tun,link-mtu 1550,tun-mtu 1500,proto UDPv4,comp-lzo,cipher AES-256-GCM,auth [null-digest],keysize 256,key-method 2,tls-server'
92.124.131.56:60637 Expected Remote Options String (VER=V4): 'V4,dev-type tun,link-mtu 1550,tun-mtu 1500,proto UDPv4,comp-lzo,cipher AES-256-GCM,auth [null-digest],keysize 256,key-method 2,tls-client'
92.124.131.56:60637 TLS: Initial packet from [AF_INET]92.124.131.56:60637, sid=33ab7156 68214a6e
92.124.131.56:60637 VERIFY OK: depth=1, CN=CA_OGSE_2026
92.124.131.56:60637 VERIFY OK: depth=0, CN=pso
92.124.131.56:60637 peer info: IV_VER=2.4.6
92.124.131.56:60637 peer info: IV_PLAT=win
92.124.131.56:60637 peer info: IV_PROTO=2
92.124.131.56:60637 peer info: IV_NCP=2
92.124.131.56:60637 peer info: IV_LZ4=1
92.124.131.56:60637 peer info: IV_LZ4v2=1
92.124.131.56:60637 peer info: IV_LZO=1
92.124.131.56:60637 peer info: IV_COMP_STUB=1
92.124.131.56:60637 peer info: IV_COMP_STUBv2=1
92.124.131.56:60637 peer info: IV_TCPNL=1
92.124.131.56:60637 Control Channel: TLSv1.2, cipher TLSv1.2 ECDHE-ECDSA-AES256-GCM-SHA384, peer certificate: 384 bit EC, curve secp384r1, signature: RSA-SHA256
92.124.131.56:60637 [pso] Peer Connection Initiated with [AF_INET]92.124.131.56:60637
MULTI: new connection by client 'pso' will cause previous active sessions by this client to be dropped.  Remember to use the --duplicate-cn option if you want multiple clients using the same certificate or username to concurrently connect.
MULTI_sva: pool returned IPv4=20.20.28.7, IPv6=(Not enabled)
MULTI: Learn: 20.20.28.7 -> pso/92.124.131.56:60637
MULTI: primary virtual IP for pso/92.124.131.56:60637: 20.20.28.7
Outgoing Data Channel: Cipher 'AES-256-GCM' initialized with 256 bit key
Incoming Data Channel: Cipher 'AES-256-GCM' initialized with 256 bit key
pso/92.124.131.56:60637 PUSH: Received control message: 'PUSH_REQUEST'
pso/92.124.131.56:60637 SENT CONTROL [pso]: 'PUSH_REPLY,route 192.168.1.0 255.255.255.0,dhcp-option DNS 192.168.1.1,route-gateway 20.20.28.1,topology subnet,ping 10,ping-restart 120,ifconfig 20.20.28.7 255.255.252.0,peer-id 2,cipher AES-256-GCM' (status=1)
pso/92.124.131.56:60637 MULTI: bad source address from client [::], packet dropped

Indeez · Непрочитанное сообщение **Indeez** » 2026-01-21 11:50:56

Показываю что сертификаты разные!

Код: Выделить всё

root@srv-ovpn:/etc/openvpn/ca/easy-rsa/pki/issued# openssl x509 -in pso.crt -serial -issuer -fingerprint -pubkey -noout
serial=B55D8910894758B3DAE28A6FD2AF84E2
issuer=CN = CA_OGSE_2026
SHA1 Fingerprint=57:75:B8:DC:3B:85:55:21:E8:AF:38:DF:AC:2F:E1:48:AD:AB:9C:A6
-----BEGIN PUBLIC KEY-----
MHYwEAYHKoZIzj0CAQYFK4EEACIDYgAE9di9gZxh1BaIgrD+t9ksSq4b+UfTSnD4
pvbdLaZfXedZWIA1xOfo+El+rs70sv7k01i8L+rzeJ3wrJvIFomLyYdlJVKOVNzg
HvW9fBsb4lONCde7m+aMevVlSBvruIfl
-----END PUBLIC KEY-----
root@srv-ovpn:/etc/openvpn/ca/easy-rsa/pki/issued# openssl x509 -in gorka1.crt -serial -issuer -fingerprint -pubkey -noout
serial=5374350977D0BA054EF7876306FA915D
issuer=CN = CA_OGSE_2026
SHA1 Fingerprint=71:E4:30:D1:D2:65:E9:CE:C0:80:D7:57:05:B3:D0:8B:62:A3:77:1F
-----BEGIN PUBLIC KEY-----
MHYwEAYHKoZIzj0CAQYFK4EEACIDYgAE55I01zSjQZHcVkW6tO7KZVGKqz83M/Gq
LqLnxk/zWvHSh2v/v4eLPYQjoLjHaYkfmL3LNKWnQ0Ry38P8w0OJPCML2P8MPYC/
d6PCpjgYCx80ve6QPwFNUnWWmWIgKz3M
-----END PUBLIC KEY-----

forum.lissyara.su