Непонятка с VPN подключением [Решено]

abc	# 1 год, 7 месяцев назад (отредактировано 1 год, 6 месяцев назад)
Темы: 38 Сообщения: 223 Участник с: 30 августа 2016	Есть личный впн сервер "в подвале". Все работало почти год без проблем. ВПН используется только для доступа к локальной сети сервера. Всего подключено 4 андроида, 2 ПК и ноут. В начале года обновил арч на сервере и на компах (везде версия OpenVPN 2.5.0). На днях заметил, что на ноуте начало глючить соединение с впн сервером. Примерно каждые 2 минуты пропадает связь примерно на минуту, потом само восстанавливается. Если запустить пинг, то через 500-700 пингов, идет простой, после восстановления связи пинг продолжается. Интернет при этом продолжает работать без сбоев. Тестил через три интернета: проводной местный провайдер, раздача с мобилы и вайфай на работе. В логах сервера ничего странного нет: /var/log/openvpn.log `DEPRECATED OPTION: --cipher set to 'AES-256-CBC' but missing in --data-ciphers (AES-256-GCM:AES-128-GCM). Future OpenVPN version will ignore --cipher for cipher negotiations. Add 'AES-256-CBC' to --data-ciphers or change --cipher 'AES-256-CBC' to --data-ciphers-fallback 'AES-256-CBC' to silence this warning. Could not determine IPv4/IPv6 protocol. Using AF_INET` /var/log/openvpn-status.log TITLE,OpenVPN 2.4.9 [git:makepkg/9b0dafca6c50b8bb+] x86_64-pc-linux-gnu [SSL (OpenSSL)] [LZO] [LZ4] [EPOLL] [PKCS11] [MH/PKTINFO] [AEAD] built on Apr 20 2020 TIME,Tue Jan 12 12:08:48 2021,1610442528 HEADER,CLIENT_LIST,Common Name,Real Address,Virtual Address,Virtual IPv6 Address,Bytes Received,Bytes Sent,Connected Since,Connected Since (time_t),Username,Client ID,Peer ID CLIENT_LIST,alina-pc,85.140.6.219:56527,10.8.0.18,,90915,98585,Tue Jan 12 08:24:46 2021,1610429086,UNDEF,2170,2 CLIENT_LIST,like-pc,85.140.6.219:49920,10.8.0.14,,6900399,27892775,Tue Jan 12 08:15:29 2021,1610428529,UNDEF,2169,1 HEADER,ROUTING_TABLE,Virtual Address,Common Name,Real Address,Last Ref,Last Ref (time_t) ROUTING_TABLE,10.8.0.14,like-pc,85.140.6.219:49920,Tue Jan 12 12:08:28 2021,1610442508 ROUTING_TABLE,10.8.0.18,alina-pc,85.140.6.219:56527,Tue Jan 12 12:04:55 2021,1610442295 GLOBAL_STATS,Max bcast/mcast queue length,5 END systemctl status openvpn-server@server.service openvpn-server@server.service - OpenVPN service for server Loaded: loaded (/usr/lib/systemd/system/openvpn-server@.service; enabled; vendor preset: disabled) Active: active (running) since Tue 2021-01-12 12:09:20 MSK; 21h ago Docs: man:openvpn(8) https://community.openvpn.net/openvpn/wiki/Openvpn24ManPage https://community.openvpn.net/openvpn/wiki/HOWTO Main PID: 472290 (openvpn) Status: "Initialization Sequence Completed" Tasks: 1 (limit: 19069) Memory: 2.3M CGroup: /system.slice/system-openvpn\x2dserver.slice/openvpn-server@server.service └─472290 /usr/bin/openvpn --status /run/openvpn-server/status-server.log --status-version 2 --suppress-timestamps --config server.conf янв 12 12:09:20 b12srv systemd[1]: Starting OpenVPN service for server... янв 12 12:09:20 b12srv systemd[1]: Started OpenVPN service for server. На двух ПК и андроидах перебоев нет. На ноуте и ПК арч почти идентичен. В чем может быть проблема? Что проверить?

# 1 год, 7 месяцев назад (отредактировано 1 год, 6 месяцев назад)

Сообщения: 223

Участник с: 30 августа 2016

Есть личный впн сервер "в подвале". Все работало почти год без проблем. ВПН используется только для доступа к локальной сети сервера. Всего подключено 4 андроида, 2 ПК и ноут. В начале года обновил арч на сервере и на компах (везде версия OpenVPN 2.5.0).

На днях заметил, что на ноуте начало глючить соединение с впн сервером. Примерно каждые 2 минуты пропадает связь примерно на минуту, потом само восстанавливается. Если запустить пинг, то через 500-700 пингов, идет простой, после восстановления связи пинг продолжается.

Интернет при этом продолжает работать без сбоев. Тестил через три интернета: проводной местный провайдер, раздача с мобилы и вайфай на работе.

В логах сервера ничего странного нет:
/var/log/openvpn.log

DEPRECATED OPTION: --cipher set to 'AES-256-CBC' but missing in --data-ciphers (AES-256-GCM:AES-128-GCM). Future OpenVPN version will ignore --cipher for cipher negotiations. Add 'AES-256-CBC' to --data-ciphers or change --cipher 'AES-256-CBC' to --data-ciphers-fallback 'AES-256-CBC' to silence this warning.
Could not determine IPv4/IPv6 protocol. Using AF_INET

/var/log/openvpn-status.log

TITLE,OpenVPN 2.4.9 [git:makepkg/9b0dafca6c50b8bb+] x86_64-pc-linux-gnu [SSL (OpenSSL)] [LZO] [LZ4] [EPOLL] [PKCS11] [MH/PKTINFO] [AEAD] built on Apr 20 2020
TIME,Tue Jan 12 12:08:48 2021,1610442528
HEADER,CLIENT_LIST,Common Name,Real Address,Virtual Address,Virtual IPv6 Address,Bytes Received,Bytes Sent,Connected Since,Connected Since (time_t),Username,Client ID,Peer ID
CLIENT_LIST,alina-pc,85.140.6.219:56527,10.8.0.18,,90915,98585,Tue Jan 12 08:24:46 2021,1610429086,UNDEF,2170,2
CLIENT_LIST,like-pc,85.140.6.219:49920,10.8.0.14,,6900399,27892775,Tue Jan 12 08:15:29 2021,1610428529,UNDEF,2169,1
HEADER,ROUTING_TABLE,Virtual Address,Common Name,Real Address,Last Ref,Last Ref (time_t)
ROUTING_TABLE,10.8.0.14,like-pc,85.140.6.219:49920,Tue Jan 12 12:08:28 2021,1610442508
ROUTING_TABLE,10.8.0.18,alina-pc,85.140.6.219:56527,Tue Jan 12 12:04:55 2021,1610442295
GLOBAL_STATS,Max bcast/mcast queue length,5
END

systemctl status openvpn-server@server.service

openvpn-server@server.service - OpenVPN service for server
     Loaded: loaded (/usr/lib/systemd/system/openvpn-server@.service; enabled; vendor preset: disabled)
     Active: active (running) since Tue 2021-01-12 12:09:20 MSK; 21h ago
       Docs: man:openvpn(8)
             https://community.openvpn.net/openvpn/wiki/Openvpn24ManPage
             https://community.openvpn.net/openvpn/wiki/HOWTO
   Main PID: 472290 (openvpn)
     Status: "Initialization Sequence Completed"
      Tasks: 1 (limit: 19069)
     Memory: 2.3M
     CGroup: /system.slice/system-openvpn\x2dserver.slice/openvpn-server@server.service
             └─472290 /usr/bin/openvpn --status /run/openvpn-server/status-server.log --status-version 2 --suppress-timestamps --config server.conf

янв 12 12:09:20 b12srv systemd[1]: Starting OpenVPN service for server...
янв 12 12:09:20 b12srv systemd[1]: Started OpenVPN service for server.

На двух ПК и андроидах перебоев нет. На ноуте и ПК арч почти идентичен.

В чем может быть проблема? Что проверить?

kurych	# 1 год, 7 месяцев назад
Темы: 0 Сообщения: 1394 Участник с: 06 ноября 2011	Если проблема наблюдается только с подключением ноута, то и проблему, очевидно, надо искать на ноуте. Логи, dmesg...

abc	# 1 год, 7 месяцев назад
Темы: 38 Сообщения: 223 Участник с: 30 августа 2016	kurych Логи, dmesg На ноутбуке при запуске впн соединения в статусе: systemctl status openvpn-client@laptop.service ● openvpn-client@laptop.service - OpenVPN tunnel for laptop Loaded: loaded (/usr/lib/systemd/system/openvpn-client@.service; enabled; vendor preset: disabled) Active: active (running) since Tue 2021-01-12 13:23:23 MSK; 22h ago ... янв 13 11:44:19 archlinux openvpn[1634]: OPTIONS IMPORT: --ifconfig/up options modified янв 13 11:44:19 archlinux openvpn[1634]: OPTIONS IMPORT: route options modified янв 13 11:44:19 archlinux openvpn[1634]: OPTIONS IMPORT: peer-id set янв 13 11:44:19 archlinux openvpn[1634]: OPTIONS IMPORT: adjusting link_mtu to 1624 янв 13 11:44:19 archlinux openvpn[1634]: OPTIONS IMPORT: data channel crypto options modified янв 13 11:44:19 archlinux openvpn[1634]: Data Channel: using negotiated cipher 'AES-256-GCM' янв 13 11:44:19 archlinux openvpn[1634]: Outgoing Data Channel: Cipher 'AES-256-GCM' initialized with 256 bit key янв 13 11:44:19 archlinux openvpn[1634]: Incoming Data Channel: Cipher 'AES-256-GCM' initialized with 256 bit key янв 13 11:44:19 archlinux openvpn[1634]: Preserving previous TUN/TAP instance: tun0 янв 13 11:44:19 archlinux openvpn[1634]: Initialization Sequence Completed Во время потери связи в статусе через некоторое время добавляется: `янв 13 11:53:58 archlinux openvpn[1634]: [b12] Inactivity timeout (--ping-restart), restarting янв 13 11:53:58 archlinux openvpn[1634]: SIGUSR1[soft,ping-restart] received, process restarting янв 13 11:53:58 archlinux openvpn[1634]: Restart pause, 5 second(s)` То есть как и при пинге, сервер перестает пинговаться. Потом происходит переподключение. В dmesg в это время нечего не появляется. journalctl показывает то же самое, что и листинг выше. На сервере в конфиге впн пробовал менять параметр keepalive. Было 10 120, ставил 5-30 30-300 (первая цифра период пингования в сек, вторая цифра время на ответ на пинг) Других логов у меня нет или я не знаю, что еще смотреть.

abc

# 1 год, 7 месяцев назад

Темы: 38

Сообщения: 223

Участник с: 30 августа 2016

kurych
Логи, dmesg

На ноутбуке при запуске впн соединения в статусе:
systemctl status openvpn-client@laptop.service

● openvpn-client@laptop.service - OpenVPN tunnel for laptop
     Loaded: loaded (/usr/lib/systemd/system/openvpn-client@.service; enabled; vendor preset: disabled)
     Active: active (running) since Tue 2021-01-12 13:23:23 MSK; 22h ago
...
янв 13 11:44:19 archlinux openvpn[1634]: OPTIONS IMPORT: --ifconfig/up options modified
янв 13 11:44:19 archlinux openvpn[1634]: OPTIONS IMPORT: route options modified
янв 13 11:44:19 archlinux openvpn[1634]: OPTIONS IMPORT: peer-id set
янв 13 11:44:19 archlinux openvpn[1634]: OPTIONS IMPORT: adjusting link_mtu to 1624
янв 13 11:44:19 archlinux openvpn[1634]: OPTIONS IMPORT: data channel crypto options modified
янв 13 11:44:19 archlinux openvpn[1634]: Data Channel: using negotiated cipher 'AES-256-GCM'
янв 13 11:44:19 archlinux openvpn[1634]: Outgoing Data Channel: Cipher 'AES-256-GCM' initialized with 256 bit key
янв 13 11:44:19 archlinux openvpn[1634]: Incoming Data Channel: Cipher 'AES-256-GCM' initialized with 256 bit key
янв 13 11:44:19 archlinux openvpn[1634]: Preserving previous TUN/TAP instance: tun0
янв 13 11:44:19 archlinux openvpn[1634]: Initialization Sequence Completed

Во время потери связи в статусе через некоторое время добавляется:

янв 13 11:53:58 archlinux openvpn[1634]: [b12] Inactivity timeout (--ping-restart), restarting
янв 13 11:53:58 archlinux openvpn[1634]: SIGUSR1[soft,ping-restart] received, process restarting
янв 13 11:53:58 archlinux openvpn[1634]: Restart pause, 5 second(s)

То есть как и при пинге, сервер перестает пинговаться. Потом происходит переподключение.

В dmesg в это время нечего не появляется. journalctl показывает то же самое, что и листинг выше.

На сервере в конфиге впн пробовал менять параметр keepalive. Было 10 120, ставил 5-30 30-300 (первая цифра период пингования в сек, вторая цифра время на ответ на пинг)

Других логов у меня нет или я не знаю, что еще смотреть.

abc	# 1 год, 7 месяцев назад
Темы: 38 Сообщения: 223 Участник с: 30 августа 2016	Если со стандартным значением keepalive 10 120 остальные клиенты работают без потери связи, то проблема точно не на сервере. Конфиги на всех ПК одинаковые, за исключением ключей/сертификатов. Сейчас я на работе. ПК с утра пинговал впн сервер три часа без потери пакетов. Проблема точно в ноутбуке.

abc

# 1 год, 7 месяцев назад

Темы: 38

Сообщения: 223

Участник с: 30 августа 2016

Если со стандартным значением keepalive 10 120 остальные клиенты работают без потери связи, то проблема точно не на сервере. Конфиги на всех ПК одинаковые, за исключением ключей/сертификатов. Сейчас я на работе. ПК с утра пинговал впн сервер три часа без потери пакетов. Проблема точно в ноутбуке.

Holden	# 1 год, 7 месяцев назад
Темы: 14 Сообщения: 155 Участник с: 29 октября 2020	abc Если у Вас версия OpenVPN 2.5.0 , то самым быстрым решением будет откат до 2.4.0. /var/log/openvpn.log DEPRECATED OPTION: –cipher set to 'AES-256-CBC' but missing in –data-ciphers (AES-256-GCM:AES-128-GCM). Future OpenVPN version will ignore –cipher for cipher negotiations…… Или загуглите по вышеприведенному фрагменту Вашего лога.

Holden

# 1 год, 7 месяцев назад

Темы: 14

Сообщения: 155

Участник с: 29 октября 2020

abc

Если у Вас версия OpenVPN 2.5.0 , то самым быстрым решением будет откат до 2.4.0.

/var/log/openvpn.log
DEPRECATED OPTION: –cipher set to 'AES-256-CBC' but missing in –data-ciphers (AES-256-GCM:AES-128-GCM). Future OpenVPN version will ignore –cipher for cipher negotiations……

Или загуглите по вышеприведенному фрагменту Вашего лога.

abc	# 1 год, 7 месяцев назад
Темы: 38 Сообщения: 223 Участник с: 30 августа 2016	Holden DEPRECATED OPTION: –cipher set to 'AES-256-CBC' but missing in –data-ciphers (AES-256-GCM:AES-128-GCM). Future OpenVPN version will ignore –cipher for cipher negotiations Исправил. Holden откат до 2.4.0. Нашел 2.4.8. Так же разрывает соединение.

abc

# 1 год, 7 месяцев назад

Темы: 38

Сообщения: 223

Участник с: 30 августа 2016

Holden
DEPRECATED OPTION: –cipher set to 'AES-256-CBC' but missing in –data-ciphers (AES-256-GCM:AES-128-GCM). Future OpenVPN version will ignore –cipher for cipher negotiations

Исправил.

Holden
откат до 2.4.0.

Нашел 2.4.8. Так же разрывает соединение.

Holden	# 1 год, 7 месяцев назад
Темы: 14 Сообщения: 155 Участник с: 29 октября 2020	abc Вы попробуйте отсюда начать. Первая ссылка которую startpage мне открыл. Проблемы с ключами шифрования. Мне просто не на чем попробовать у себя, вообще, я всегда под ВПН, но у меня сейчас не дедик. Просто купил годовую подписку и все.

Holden

# 1 год, 7 месяцев назад

Темы: 14

Сообщения: 155

Участник с: 29 октября 2020

abc

Вы попробуйте отсюда начать. Первая ссылка которую startpage мне открыл. Проблемы с ключами шифрования. Мне просто не на чем попробовать у себя, вообще, я всегда под ВПН, но у меня сейчас не дедик. Просто купил годовую подписку и все.

vasek	# 1 год, 7 месяцев назад (отредактировано 1 год, 7 месяцев назад)
Темы: 48 Сообщения: 11320 Участник с: 17 февраля 2013	Holden Проблемы с ключами шифрования Вряд ли проблема связана с шифрованием, проблема в другом. Его система понимает устаревший шифр AES-256-CBC, иначе бы не было соединения вообще (скорее всего используется TLS 1.2, который понимает более 30 шифров, в том числе и AES-256-CBC). Ошибки не исчезают с опытом - они просто умнеют

vasek

# 1 год, 7 месяцев назад (отредактировано 1 год, 7 месяцев назад)

Темы: 48

Сообщения: 11320

Участник с: 17 февраля 2013

Holden
Проблемы с ключами шифрования

Вряд ли проблема связана с шифрованием, проблема в другом.
Его система понимает устаревший шифр AES-256-CBC, иначе бы не было соединения вообще (скорее всего используется TLS 1.2, который понимает более 30 шифров, в том числе и AES-256-CBC).

Ошибки не исчезают с опытом - они просто умнеют

abc	# 1 год, 7 месяцев назад
Темы: 38 Сообщения: 223 Участник с: 30 августа 2016	Все само починилось, я ничего не нажимал. На днях из-за метели свет вырубили. После включения сервера проблема исчезла. За неделю-две до начала проблем обновлял сервер. Видимо требовался ребут.