News:

Одно из неприятных свойств нашего времени состоит в том, что те, кто испытывает уверенность, глупы, а те, кто обладает хоть каким-то воображением и пониманием, исполнены сомнений и нерешительности. Бертран Рассел

Main Menu

Опять OpenVPN - опять проблема обрывов связи.

Started by Призрак, 28 May 2020, 21:41

Previous topic - Next topic

0 Members and 1 Guest are viewing this topic.

Призрак

Настроил я OpenVPN, руководствуясь темой, с этого замечательного форума. Всё до поры работало ну просто идеально, но вчера беда грянула - периодически обрывается связь, на клиентах. При этом я готов поклясться, что никаких настроек на серверах не проводилось вообще, всё было так, как было. Пишет, что связь потеряна, рестарт через пять секунд. При этом трассировка даже не идёт до 10.8.0.1 (до сервера), значок в лотке становится жёлтым. При этом пинг, основной инструмент, который я использую для диагностики, прерывается, в течении длительного времени.

На остовных шлюзах у меня система Windows Server 2008 R2, со всеми обновлениями и патчами, которые нужно.

После восстановления связи, как правило, проходит до пяти минут, иногда до десяти. Узнал я вчера, что была проблема технического характера у нашего провайдера, который на работе, говорят, что всё починили, вот теперь мне нужно доказать, что я не олень, а виноват провайдер, чтобы обязать его исправить ситуацию. Вот у меня есть второй шлюз, на pfsense, у него есть другой адрес и связь с другим корпусом, тоже с другим шлюзом, на pfsense. Сертификаты там те же, но до поры не было никаких проблем. Там в логах то и дело видно - связь разорвана, связь восстановлена. Связь разорвана, связь восстановлена... Так что это не шлюз, точно.

Маршруты все прописаны в службе маршрутизации (ну никак я не мог заставить сию трубу работать с маршрутами в конфигурационных файлах). Смотрел акулой, бесполезно, ничего существенного. Только тревожит то, что в портах коммутатора очень много дропнутых пакетов, как раз в тех, которые для Интернета. Коммутаторы новые, но поставили их с половины месяца назад, никаких проблем не было, разве что моя возня с коммутаторами. Но в той теме, соседней, я указывал, точь в точь, что я делал, никакой самодеятельности не было.

Часть лога

Thu May 28 23:29:40 2020 [UNDEF] Inactivity timeout (--ping-restart), restarting
Thu May 28 23:29:40 2020 TCP/UDP: Closing socket
Thu May 28 23:29:40 2020 SIGUSR1[soft,ping-restart] received, process restarting
Thu May 28 23:29:40 2020 MANAGEMENT: >STATE:1590690580,RECONNECTING,ping-restart,,,,,
Thu May 28 23:29:40 2020 Restart pause, 5 second(s)
Thu May 28 23:29:45 2020 Re-using SSL/TLS context
Thu May 28 23:29:45 2020 LZO compression initializing
Thu May 28 23:29:45 2020 Control Channel MTU parms [ L:1622 D:1212 EF:38 EB:0 ET:0 EL:3 ]
Thu May 28 23:29:45 2020 Data Channel MTU parms [ L:1622 D:1450 EF:122 EB:406 ET:0 EL:3 ]
Thu May 28 23:29:45 2020 Local Options String (VER=V4): 'V4,dev-type tun,link-mtu 1558,tun-mtu 1500,proto UDPv4,comp-lzo,cipher AES-256-CBC,auth SHA1,keysize 256,key-method 2,tls-client'
Thu May 28 23:29:45 2020 Expected Remote Options String (VER=V4): 'V4,dev-type tun,link-mtu 1558,tun-mtu 1500,proto UDPv4,comp-lzo,cipher AES-256-CBC,auth SHA1,keysize 256,key-method 2,tls-server'
Thu May 28 23:29:45 2020 TCP/UDP: Preserving recently used remote address: [AF_INET]XX.XXX.XXX.XXX:1200
Thu May 28 23:29:45 2020 Socket Buffers: R=[65536->65536] S=[65536->65536]
Thu May 28 23:29:45 2020 UDP link local (bound): [AF_INET][undef]:1200
Thu May 28 23:29:45 2020 UDP link remote: [AF_INET]XX.XXX.XXX.XXX:1200
Thu May 28 23:29:45 2020 MANAGEMENT: >STATE:1590690585,WAIT,,,,,,
Thu May 28 23:29:45 2020 TLS Error: Unroutable control packet received from [AF_INET]XX.XXX.XXX.XXX:1200 (si=3 op=P_ACK_V1)
Thu May 28 23:29:47 2020 TLS Error: Unroutable control packet received from [AF_INET]XX.XXX.XXX.XXX:1200 (si=3 op=P_ACK_V1)
Thu May 28 23:29:51 2020 MANAGEMENT: >STATE:1590690591,AUTH,,,,,,
Thu May 28 23:29:51 2020 TLS: Initial packet from [AF_INET]XX.XXX.XXX.XXX:1200, sid=ddeb5fd9 4b2e8837
Thu May 28 23:29:51 2020 VERIFY OK: depth=1, C=RU, ST=PermRegion, L=Perm, O=PGFA, OU=OIT, CN=PgfaVPN, name=PgfaVPN, emailAddress=mail@host.domain
Thu May 28 23:29:51 2020 VERIFY KU OK
Thu May 28 23:29:51 2020 Validating certificate extended key usage
Thu May 28 23:29:51 2020 ++ Certificate has EKU (str) TLS Web Server Authentication, expects TLS Web Server Authentication
Thu May 28 23:29:51 2020 VERIFY EKU OK
Thu May 28 23:29:51 2020 VERIFY OK: depth=0, C=RU, ST=PermRegion, L=Perm, O=PGFA, OU=OIT, CN=server, name=server, emailAddress=mail@host.domain
Thu May 28 23:29:51 2020 Control Channel: TLSv1.3, cipher TLSv1.3 TLS_AES_256_GCM_SHA384, 4096 bit RSA
Thu May 28 23:29:51 2020 [server] Peer Connection Initiated with [AF_INET]XX.XXX.XXX.XXX:1200
Thu May 28 23:29:52 2020 MANAGEMENT: >STATE:1590690592,GET_CONFIG,,,,,,
Thu May 28 23:29:52 2020 SENT CONTROL [server]: 'PUSH_REQUEST' (status=1)
Thu May 28 23:29:52 2020 PUSH: Received control message: 'PUSH_REPLY,route 192.168.10.0 255.255.255.0,route 192.168.128.0 255.255.255.0,route-gateway 10.8.0.1,topology subnet,ping 5,ping-restart 15,dhcp-option DNS 192.168.10.12,dhcp-option DOMAIN pgfa.local,route 192.168.20.0 255.255.255.0,route 192.168.30.0 255.255.255.0,route 192.168.50.0 255.255.255.0,route 192.168.60.0 255.255.255.0,ifconfig 10.8.0.7 255.255.255.0,peer-id 3,cipher AES-256-GCM'
Thu May 28 23:29:52 2020 OPTIONS IMPORT: timers and/or timeouts modified
Thu May 28 23:29:52 2020 OPTIONS IMPORT: --ifconfig/up options modified
Thu May 28 23:29:52 2020 OPTIONS IMPORT: route options modified
Thu May 28 23:29:52 2020 OPTIONS IMPORT: route-related options modified
Thu May 28 23:29:52 2020 OPTIONS IMPORT: --ip-win32 and/or --dhcp-option options modified
Thu May 28 23:29:52 2020 OPTIONS IMPORT: peer-id set
Thu May 28 23:29:52 2020 OPTIONS IMPORT: adjusting link_mtu to 1625
Thu May 28 23:29:52 2020 OPTIONS IMPORT: data channel crypto options modified
Thu May 28 23:29:52 2020 Data Channel: using negotiated cipher 'AES-256-GCM'
Thu May 28 23:29:52 2020 Data Channel MTU parms [ L:1553 D:1450 EF:53 EB:406 ET:0 EL:3 ]
Thu May 28 23:29:52 2020 Outgoing Data Channel: Cipher 'AES-256-GCM' initialized with 256 bit key
Thu May 28 23:29:52 2020 Incoming Data Channel: Cipher 'AES-256-GCM' initialized with 256 bit key
Thu May 28 23:29:52 2020 Preserving previous TUN/TAP instance: Подключение по локальной сети
Thu May 28 23:29:52 2020 Initialization Sequence Completed
Thu May 28 23:29:52 2020 MANAGEMENT: >STATE:1590690592,CONNECTED,SUCCESS,10.8.0.7,XX.XXX.XXX.XXX,1200,,

Файл сервера

proto udp
port 1200
dev tun
tls-server
topology subnet
route-method exe
route-delay 5
dev-node OpenVPN
server 10.8.0.0 255.255.255.0
route-gateway 10.8.0.1
client-config-dir "C:\\Program Files\\OpenVPN\\ccd"
ca  "C:\\Program Files\\OpenVPN\\easy-rsa\\keys\\ca.crt" 
cert "C:\\Program Files\\OpenVPN\\easy-rsa\\keys\\server.crt" 
key  "C:\\Program Files\\OpenVPN\\easy-rsa\\keys\\server.key" 
dh "C:\\Program Files\\OpenVPN\\easy-rsa\\keys\\dh2048.pem"
push "route 192.168.10.0 255.255.255.0"
push "route 192.168.128.0 255.255.255.0"
cipher AES-256-CBC
persist-tun
persist-key
comp-lzo
verb 3
keepalive 5 15

Файл моего клиента

dev tun
proto udp
port 1200
remote XX.XXX.XXX.XXX
tls-client
remote-cert-tls server
route-method exe
route-delay 5
pull
ca "C:\\Program Files\\OpenVPN\\new\\ca.crt"
cert "C:\\Program Files\\OpenVPN\\new\\ghost.crt"
key "C:\\Program Files\\OpenVPN\\new\\ghost.key"
cipher AES-256-CBC
comp-lzo
verb 5
auth-nocache
keepalive 5 15
persist-tun
persist-key



Уваров А.С.

Если у вас рвется связь между узлами и на интерфейсах коммутатора битые пакеты, то дело явно не в VPN. На своей стороне проверьте разъемы, кабельные соединения и т.д., потом уже задавайте вопрос провайдеру.

У одного моего знакомого был случай. Практически полностью пропадал трафик, скорость интернета падала до сотен килобит - единиц мегабит. Помогало выключение роутера из розетки минут на пять. При диагностике выяснилось появление большого числа ошибок передачи при этом явлении. Вылечилось заменой кабеля от ввода в квартиру до роутера. За 10 лет его лежания под плинтусом на нем начала рассыпаться изоляция, хотя внешне (если не трогать и не гнуть) кабель выглядел нормально.

Призрак

Нашёл проблему, из которой, на беду, возникла ещё одна. Шлюз там заражён оказался. Я его вычистил, но увы, не могу теперь установить антивирус. Просто сбрасывает переименование папки, если я хочу назвать её Kaspersky Lab. Если же я копировать её пытаюсь, то вылезает сообщение, как на снимке экрана. Если же устанавливать напрямую, то установщик пишет, что нельзя создать папку. Все права проверял, они стандартные, сравнивал с другой системой. Это имя пользователя, из под которого я зашёл. Что делать, не знаю. Очень неохота переустанавливать шлюз. Агрится только на эту папку.

Призрак

Я нашёл решение! Я вычислил зловредные процессы, после чего завершал их и быстро копировал необходимые утилиты, на рабочий стол, а именно:

1. Kaspersky Virus Removal Tool, запустил его, пролечил систему, выкинул при перезагрузке всех зловредов.

2. DR Web CureIT, проверил, ничего больше не нашёл.

3. Autoruns, выключил тот пункт, что выделен, а также ниже, FSProFilter2, потом удалил их вообще, из системы, из папки drivers. А также удалил выше пункт, fsprofit2. Тогда скрытая папка Kaspersky Lab оказалась отображена, а доступ к ней восстановился. Ох и хитрые стали, скоты, руки бы вырвать и в одно место воткнуть. Один мой очень хороший товарищ подсказал мне это решение, с удалением зловредов.

4. Переустановил заново антивирус и агента, к сожалению, версия 10 для серверов не справилась со своими задачами, установил 11 версию, Kaspersky Endpoint Security, с политикой и защитой, теперь фиг кто взломает.



Уваров А.С.

Quote from: Призрак on 31 May 2020, 20:45теперь фиг кто взломает

Это вопрос времени, так как вы продолжаете использовать снятую с поддержки ОС. Да и вообще, Windows Server в качестве шлюза - это не самый удачный вариант, можно даже сказать - расточительный.

Призрак

А что посоветуете, из шлюзов? У меня давно мысль возникла, перенести шлюз вообще на отдельную машину, а то и отдельное устройство, это самая больная для меня тема.

Уваров А.С.

Да много вариантов: тот же pfSense, Linux, Mikrotik (включая CHR). Берите то, что больше нравится/лучше знаете.