OpenVPN и gateway parameter

0

1

Добрый день. Буду благодарен за любые соображения, так как я уже исчерпал себя и нахожусь в морально подавленном состоянии.

Имеется CentOS 7 с поднятым OpenVPN. Приведу конфиг сервера и клиента.

local 192.168.205.210
port 1194
proto udp
dev tun
ca keys/ca.crt
cert keys/issued/vpn-server.crt
key keys/private/vpn-server.key
dh keys/dh.pem
remote-cert-tls client
tls-auth keys/ta.key 0
server 192.168.148.0 255.255.252.0
#ifconfig-pool-persist ipp.txt
duplicate-cn
keepalive 10 120
max-clients 750
client-to-client
persist-key
persist-tun
status /var/log/openvpn/openvpn-status.log
log-append /var/log/openvpn/openvpn.log
verb 0
mute 20
daemon
mode server
tls-server
comp-lzo

management localhost 1195

username-as-common-name
plugin /usr/lib64/openvpn/plugin/lib/openvpn-auth-ldap.so /etc/openvpn/auth/ldap.conf

push "dhcp-option DOMAIN xxx.xxxxx.ru"

push "route 192.168.200.0 255.255.248.0"
push "route 192.168.72.0 255.255.254.0"
push "route 192.168.100.0 255.255.255.0"

push "dhcp-option DNS 192.168.200.2"
push "dhcp-option DNS 192.168.200.4"
push "dhcp-option DNS 192.168.72.4"
push "dhcp-option DNS 192.168.72.8"
push "dhcp-option DNS 192.168.100.4"

client
resolv-retry infinite
nobind
remote xxx.xxxxx.ru 1194
proto udp
dev tun
comp-lzo
ca ca.crt
cert client1.crt
key client1.key
remote-cert-tls server
tls-client
tls-auth ta.key 1
float
keepalive 10 120
persist-key
persist-tun
auth-nocache
auth-user-pass
verb 0

Нагрузка на сервер — несколько сотен человек, клиенты разнообразные, включая Windows, Linux, MacOS, Android, iOS etc.

До недавнего времени все работало хорошо, пока вдруг у пользователей не начали отваливаться клиенты с ошибкой:

OpenVPN needs a gateway parameter for a --route option and no default was specified by either --route-gateway or --ifconfig options

Проблема была около часа или более, потом после перезапуска сервиса все заработало как раньше. Я не нашел в логах информации, которая могла бы указать на причины подобного поведения сервера. Есть подозрение, что кто-то из клиентов подключился и произошел какой-то конфликт в маршрутизации. Есть ли у вас какие-нибудь мысли?

Ссылка

←	strongswan + xl2tpd и клиенты macOS/iOS не дружат

OpenVPN маршрутизация

→

IP-адресов хватает, у вас ведь net30 топология?

Проблема была около часа

Сколько при этом было подключенных клиентов (через management interface)?

mky ★★★★★
(07.04.20 22:06:29 MSK)

Ответ на: комментарий от mky 07.04.20 22:06:29 MSK

200-300.

naemeless
(07.04.20 22:27:39 MSK) автор топика

Ссылка

Ответ на: комментарий от mky 07.04.20 22:06:29 MSK

Правильно ли я понимаю, что при текущей топологии следует учитывать по 4 адреса на клиента и, возможно, неявная ошибка с маршрутизацией была вызвана тем, что просто закончились адреса?

naemeless
(07.04.20 22:33:32 MSK) автор топика

Ответ на: комментарий от naemeless 07.04.20 22:33:32 MSK

Вполне возможно. Вы просто не сказали, действительно ли у вас net30 по умолчанию. Раньше так было, а сейчас может что поменялось.

mky ★★★★★
(07.04.20 22:43:44 MSK)

Ответ на: комментарий от mky 07.04.20 22:43:44 MSK

Да, насколько я понял из описания с официального сайта, эта топология используется по-умолчанию из-за боязни потери обратной совместимости с устаревшими клиентами. Но у нас самая старая версия клиентской системы у пользователей это Windows XP, на которую можно поставить клиент 2.3.18.

Спасибо за наводку, завтра посмотрю за стабильностью сервера с топологией subnet.

naemeless
(07.04.20 23:04:25 MSK) автор топика

Ответ на: комментарий от naemeless 07.04.20 23:04:25 MSK

Да, насколько я понял из описания с официального сайта

Это можно увидеть в логах :)
А так присоединяюсь к mky, если допускаете что клиентов будет больше 252 то самое оно. Для начала считаем «по головам» если уже больше, то 100%. Но так как у вас duplicate-cn то упрется в max-clients 750 что в любом случае больше чем 252.

anc ★★★★★
(08.04.20 12:52:15 MSK)

Ответ на: комментарий от anc 08.04.20 12:52:15 MSK

Уже за полдень, на сервере много народа и он стабилен с топологией subnet. Думаю, вчерашние проблемы были связаны как раз с топологией по-умолчанию net30. Маска /22 в сетях предоставляет 1022 хоста, но поскольку в net30 на клиента для построения тоннеля создается виртуальная сеть для каждого с маской /30, то один адрес уходит на сеть, один на бродкаст и два для тоннеля. Соответственно, с маской /22 максимальное количество клиентов может быть не более 256, а при превышении выдается неочевидная ошибка про маршрутизацию, которая сбивает с толка.

Думаю, вопрос можно закрывать как решенным, всем спасибо за участие.

naemeless
(08.04.20 13:12:10 MSK) автор топика

Ответ на: комментарий от naemeless 08.04.20 13:12:10 MSK

максимальное количество клиентов может быть не более 256

252 первые четыре у сервера.

anc ★★★★★
(08.04.20 13:22:39 MSK)

Ответ на: комментарий от anc 08.04.20 13:22:39 MSK

Точно. :)

naemeless
(08.04.20 13:23:20 MSK) автор топика

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	strongswan + xl2tpd и клиенты macOS/iOS не дружат

Admin

OpenVPN маршрутизация

→

Похожие темы