Настроил я OpenVPN, руководствуясь темой, с этого замечательного форума. Всё до поры работало ну просто идеально, но вчера беда грянула - периодически обрывается связь, на клиентах. При этом я готов поклясться, что никаких настроек на серверах не проводилось вообще, всё было так, как было. Пишет, что связь потеряна, рестарт через пять секунд. При этом трассировка даже не идёт до 10.8.0.1 (до сервера), значок в лотке становится жёлтым. При этом пинг, основной инструмент, который я использую для диагностики, прерывается, в течении длительного времени.
На остовных шлюзах у меня система Windows Server 2008 R2, со всеми обновлениями и патчами, которые нужно.
После восстановления связи, как правило, проходит до пяти минут, иногда до десяти. Узнал я вчера, что была проблема технического характера у нашего провайдера, который на работе, говорят, что всё починили, вот теперь мне нужно доказать, что я не олень, а виноват провайдер, чтобы обязать его исправить ситуацию. Вот у меня есть второй шлюз, на pfsense, у него есть другой адрес и связь с другим корпусом, тоже с другим шлюзом, на pfsense. Сертификаты там те же, но до поры не было никаких проблем. Там в логах то и дело видно - связь разорвана, связь восстановлена. Связь разорвана, связь восстановлена... Так что это не шлюз, точно.
Маршруты все прописаны в службе маршрутизации (ну никак я не мог заставить сию трубу работать с маршрутами в конфигурационных файлах). Смотрел акулой, бесполезно, ничего существенного. Только тревожит то, что в портах коммутатора очень много дропнутых пакетов, как раз в тех, которые для Интернета. Коммутаторы новые, но поставили их с половины месяца назад, никаких проблем не было, разве что моя возня с коммутаторами. Но в той теме, соседней, я указывал, точь в точь, что я делал, никакой самодеятельности не было.
Часть лога
Thu May 28 23:29:40 2020 [UNDEF] Inactivity timeout (--ping-restart), restarting
Thu May 28 23:29:40 2020 TCP/UDP: Closing socket
Thu May 28 23:29:40 2020 SIGUSR1[soft,ping-restart] received, process restarting
Thu May 28 23:29:40 2020 MANAGEMENT: >STATE:1590690580,RECONNECTING,ping-restart,,,,,
Thu May 28 23:29:40 2020 Restart pause, 5 second(s)
Thu May 28 23:29:45 2020 Re-using SSL/TLS context
Thu May 28 23:29:45 2020 LZO compression initializing
Thu May 28 23:29:45 2020 Control Channel MTU parms [ L:1622 D:1212 EF:38 EB:0 ET:0 EL:3 ]
Thu May 28 23:29:45 2020 Data Channel MTU parms [ L:1622 D:1450 EF:122 EB:406 ET:0 EL:3 ]
Thu May 28 23:29:45 2020 Local Options String (VER=V4): 'V4,dev-type tun,link-mtu 1558,tun-mtu 1500,proto UDPv4,comp-lzo,cipher AES-256-CBC,auth SHA1,keysize 256,key-method 2,tls-client'
Thu May 28 23:29:45 2020 Expected Remote Options String (VER=V4): 'V4,dev-type tun,link-mtu 1558,tun-mtu 1500,proto UDPv4,comp-lzo,cipher AES-256-CBC,auth SHA1,keysize 256,key-method 2,tls-server'
Thu May 28 23:29:45 2020 TCP/UDP: Preserving recently used remote address: [AF_INET]XX.XXX.XXX.XXX:1200
Thu May 28 23:29:45 2020 Socket Buffers: R=[65536->65536] S=[65536->65536]
Thu May 28 23:29:45 2020 UDP link local (bound): [AF_INET][undef]:1200
Thu May 28 23:29:45 2020 UDP link remote: [AF_INET]XX.XXX.XXX.XXX:1200
Thu May 28 23:29:45 2020 MANAGEMENT: >STATE:1590690585,WAIT,,,,,,
Thu May 28 23:29:45 2020 TLS Error: Unroutable control packet received from [AF_INET]XX.XXX.XXX.XXX:1200 (si=3 op=P_ACK_V1)
Thu May 28 23:29:47 2020 TLS Error: Unroutable control packet received from [AF_INET]XX.XXX.XXX.XXX:1200 (si=3 op=P_ACK_V1)
Thu May 28 23:29:51 2020 MANAGEMENT: >STATE:1590690591,AUTH,,,,,,
Thu May 28 23:29:51 2020 TLS: Initial packet from [AF_INET]XX.XXX.XXX.XXX:1200, sid=ddeb5fd9 4b2e8837
Thu May 28 23:29:51 2020 VERIFY OK: depth=1, C=RU, ST=PermRegion, L=Perm, O=PGFA, OU=OIT, CN=PgfaVPN, name=PgfaVPN, emailAddress=mail@host.domain
Thu May 28 23:29:51 2020 VERIFY KU OK
Thu May 28 23:29:51 2020 Validating certificate extended key usage
Thu May 28 23:29:51 2020 ++ Certificate has EKU (str) TLS Web Server Authentication, expects TLS Web Server Authentication
Thu May 28 23:29:51 2020 VERIFY EKU OK
Thu May 28 23:29:51 2020 VERIFY OK: depth=0, C=RU, ST=PermRegion, L=Perm, O=PGFA, OU=OIT, CN=server, name=server, emailAddress=mail@host.domain
Thu May 28 23:29:51 2020 Control Channel: TLSv1.3, cipher TLSv1.3 TLS_AES_256_GCM_SHA384, 4096 bit RSA
Thu May 28 23:29:51 2020 [server] Peer Connection Initiated with [AF_INET]XX.XXX.XXX.XXX:1200
Thu May 28 23:29:52 2020 MANAGEMENT: >STATE:1590690592,GET_CONFIG,,,,,,
Thu May 28 23:29:52 2020 SENT CONTROL [server]: 'PUSH_REQUEST' (status=1)
Thu May 28 23:29:52 2020 PUSH: Received control message: 'PUSH_REPLY,route 192.168.10.0 255.255.255.0,route 192.168.128.0 255.255.255.0,route-gateway 10.8.0.1,topology subnet,ping 5,ping-restart 15,dhcp-option DNS 192.168.10.12,dhcp-option DOMAIN pgfa.local,route 192.168.20.0 255.255.255.0,route 192.168.30.0 255.255.255.0,route 192.168.50.0 255.255.255.0,route 192.168.60.0 255.255.255.0,ifconfig 10.8.0.7 255.255.255.0,peer-id 3,cipher AES-256-GCM'
Thu May 28 23:29:52 2020 OPTIONS IMPORT: timers and/or timeouts modified
Thu May 28 23:29:52 2020 OPTIONS IMPORT: --ifconfig/up options modified
Thu May 28 23:29:52 2020 OPTIONS IMPORT: route options modified
Thu May 28 23:29:52 2020 OPTIONS IMPORT: route-related options modified
Thu May 28 23:29:52 2020 OPTIONS IMPORT: --ip-win32 and/or --dhcp-option options modified
Thu May 28 23:29:52 2020 OPTIONS IMPORT: peer-id set
Thu May 28 23:29:52 2020 OPTIONS IMPORT: adjusting link_mtu to 1625
Thu May 28 23:29:52 2020 OPTIONS IMPORT: data channel crypto options modified
Thu May 28 23:29:52 2020 Data Channel: using negotiated cipher 'AES-256-GCM'
Thu May 28 23:29:52 2020 Data Channel MTU parms [ L:1553 D:1450 EF:53 EB:406 ET:0 EL:3 ]
Thu May 28 23:29:52 2020 Outgoing Data Channel: Cipher 'AES-256-GCM' initialized with 256 bit key
Thu May 28 23:29:52 2020 Incoming Data Channel: Cipher 'AES-256-GCM' initialized with 256 bit key
Thu May 28 23:29:52 2020 Preserving previous TUN/TAP instance: Подключение по локальной сети
Thu May 28 23:29:52 2020 Initialization Sequence Completed
Thu May 28 23:29:52 2020 MANAGEMENT: >STATE:1590690592,CONNECTED,SUCCESS,10.8.0.7,XX.XXX.XXX.XXX,1200,,
Файл сервера
proto udp
port 1200
dev tun
tls-server
topology subnet
route-method exe
route-delay 5
dev-node OpenVPN
server 10.8.0.0 255.255.255.0
route-gateway 10.8.0.1
client-config-dir "C:\\Program Files\\OpenVPN\\ccd"
ca "C:\\Program Files\\OpenVPN\\easy-rsa\\keys\\ca.crt"
cert "C:\\Program Files\\OpenVPN\\easy-rsa\\keys\\server.crt"
key "C:\\Program Files\\OpenVPN\\easy-rsa\\keys\\server.key"
dh "C:\\Program Files\\OpenVPN\\easy-rsa\\keys\\dh2048.pem"
push "route 192.168.10.0 255.255.255.0"
push "route 192.168.128.0 255.255.255.0"
cipher AES-256-CBC
persist-tun
persist-key
comp-lzo
verb 3
keepalive 5 15
Файл моего клиента
dev tun
proto udp
port 1200
remote XX.XXX.XXX.XXX
tls-client
remote-cert-tls server
route-method exe
route-delay 5
pull
ca "C:\\Program Files\\OpenVPN\\new\\ca.crt"
cert "C:\\Program Files\\OpenVPN\\new\\ghost.crt"
key "C:\\Program Files\\OpenVPN\\new\\ghost.key"
cipher AES-256-CBC
comp-lzo
verb 5
auth-nocache
keepalive 5 15
persist-tun
persist-key