LINUX.ORG.RU
ФорумAdmin

openvpn отваливается


0

1

Добрый день. OpenVPN отваливается через некоторое время. Может два дня может 3 может через час! В качестве сервера использую CintOS В качестве клиента использую dir-615(E4)

port 1178 
proto tcp-server
dev tun138 
ca /etc/openvpn/easy-rsa/2.0/keys/ca.crt
cert /etc/openvpn/easy-rsa/2.0/keys/server.crt
key /etc/openvpn/easy-rsa/2.0/keys/server.key 
dh /etc/openvpn/easy-rsa/2.0/keys/dh1024.pem
ifconfig 10.10.11.13 10.10.11.14
keepalive 10 120
comp-lzo
tls-server
user _openvpn
group _openvpn
persist-key
persist-tun
status /etc/mannaz/tun/filial_1/openvpn-status.log 60
log-append /etc/mannaz/tun/filial_1/openvpn.log
verb 4
mute 20
route 172.16.1.0 255.255.255.0 10.10.11.14

Клиент

port 1178
tls-client
remote 8*.16*.24*.11* 1178
ifconfig 10.10.11.14 10.10.11.13
dev tun29
proto tcp-client
user root
persist-key
persist-tun
ca /etc/openvpn/ca.crt
cert /etc/openvpn/filial_1.crt
key /etc/openvpn/filial_1.key
comp-lzo
verb 4
mute 20
keepalive 10 120
script-security 3
up /etc/openvpn/route_openvpn.sh

log сервера

Fri Feb  3 16:08:23 2012 us=953922 [filial_1] Inactivity timeout (--ping-restart), restarting
Fri Feb  3 16:08:23 2012 us=954090 TCP/UDP: Closing socket
Fri Feb  3 16:08:23 2012 us=954150 SIGUSR1[soft,ping-restart] received, process restarting
Fri Feb  3 16:08:23 2012 us=954170 Restart pause, 1 second(s)
Fri Feb  3 16:08:24 2012 us=955060 NOTE: OpenVPN 2.1 requires '--script-security 2' or higher to call user-defined scripts or executables
Fri Feb  3 16:08:24 2012 us=955111 Re-using SSL/TLS context
Fri Feb  3 16:08:24 2012 us=955128 LZO compression initialized
Fri Feb  3 16:08:24 2012 us=955209 Control Channel MTU parms [ L:1544 D:140 EF:40 EB:0 ET:0 EL:0 ]
Fri Feb  3 16:08:24 2012 us=955241 Preserving previous TUN/TAP instance: tun138
Fri Feb  3 16:08:24 2012 us=955256 Data Channel MTU parms [ L:1544 D:1450 EF:44 EB:135 ET:0 EL:0 AF:3/1 ]
Fri Feb  3 16:08:24 2012 us=955288 Local Options String: 'V4,dev-type tun,link-mtu 1544,tun-mtu 1500,proto TCPv4_SERVER,ifconfig 10.10.11.14 10.10.11.13,comp-lzo,cipher BF-CBC,auth SHA1,keysize 128,key-method 2,tls-server'
Fri Feb  3 16:08:24 2012 us=955298 Expected Remote Options String: 'V4,dev-type tun,link-mtu 1544,tun-mtu 1500,proto TCPv4_CLIENT,ifconfig 10.10.11.13 10.10.11.14,comp-lzo,cipher BF-CBC,auth SHA1,keysize 128,key-method 2,tls-client'
Fri Feb  3 16:08:24 2012 us=955318 Local Options hash (VER=V4): 'c77da408'
Fri Feb  3 16:08:24 2012 us=955335 Expected Remote Options hash (VER=V4): 'bf8de8ae'
Fri Feb  3 16:08:24 2012 us=955351 Listening for incoming TCP connection on [undef]:1178
Fri Feb  3 16:08:29 2012 us=959904 TCP connection established with 86.102.196.50:58597
Fri Feb  3 16:08:29 2012 us=959963 Socket Buffers: R=[87380->131072] S=[16384->131072]
Fri Feb  3 16:08:29 2012 us=959982 TCPv4_SERVER link local (bound): [undef]:1178
Fri Feb  3 16:08:29 2012 us=959995 TCPv4_SERVER link remote: 86.102.196.50:58597

В чём косяк не знаю! Помогите разобраться! Проблема со связью мало вероятно! Склонюсь что OpenVPN корявый именно который у меня используется

Ответ на: комментарий от mannaz2004

что значит «отваливается». Потом то подключается? И еще у тебя расширяемость такого конфига = 0, при добавлении новых клиентов, придется менять конфиг. делай сразу правильно и хорошо.

uspen ★★★★★
()
Ответ на: комментарий от mannaz2004

когда то пытался филиалы перевести на подобные железки, плюнул я потом на эту идею, они глючили все по разному. Пробовал несколько моделей.

GoNaX ★★★
()
Ответ на: комментарий от uspen

Меня устраивает нужен будет новый туннель подниму новый процесс! Мне так удобней! Но с час не об этом

mannaz2004
() автор топика
Ответ на: комментарий от GoNaX

капец полный! И я про тоже стоит 3 роутера! 1 который держит связь, два проста контрольных! Один отвалился два нет! Если бы были проблемы со связью отвалились бы все 3!

mannaz2004
() автор топика
Ответ на: комментарий от mannaz2004

выкинь тупую железку и поставь (раз денег нет) писюк. Проку больше будет. А филиал на soho держать выше моего понимания.

uspen ★★★★★
()

Оно?

Fri Feb  3 16:08:23 2012 us=953922 [filial_1] Inactivity timeout (--ping-restart), restarting
Fri Feb  3 16:08:23 2012 us=954090 TCP/UDP: Closing socket
Fri Feb  3 16:08:23 2012 us=954150 SIGUSR1[soft,ping-restart] received, process restarting

Смотри в мане опции --ping-restart, --ping и другие связанные.

Deleted
()
Ответ на: комментарий от uspen

Долго объяснять! Можно до упора кричать что PC лучше поставить! Тут я и не спорю! Но есть свои задачи и есть свои ограничения!

mannaz2004
() автор топика
Ответ на: Оно? от Deleted

Ну и? что оно ? я вижу что перезапуск соединения! Дальше что? Я тоже логи умею читать!

keepalive 10 120 в опция говорит о том что каждых 10 секунд делать пинг 120 секунд ждать

mannaz2004
() автор топика
Ответ на: комментарий от mannaz2004

я так понимаю решения нет моей проблемы это отказаться тока от этих роутеров!

решение твоей проблемы - начать читать розенталя

shty ★★★★★
()
Ответ на: комментарий от mannaz2004

Ну и? что оно ? я вижу что перезапуск соединения! Дальше что? Я тоже логи умею читать!

keepalive 10 120 в опция говорит о том что каждых 10 секунд делать пинг 120 секунд ждать

А теперь читаем man:

In any case, OpenVPN's internal ping packets (which are just keepalives) and TLS control packets are not considered «activity», nor are they counted as traffic, as they are used internally by OpenVPN and are not an indication of actual user activity.

Deleted
()
Ответ на: комментарий от shty

Все такие умные прям не могу! Луше бы чем помогли бы! Чем умничать!

mannaz2004
() автор топика
Ответ на: комментарий от uspen

Прикол в том что у меня 2 филиала

один сидит счас на tcp второй на udp раньше оба сидели на udp счас решил один попробовать на tcp заметно стало меньше обломов но сёравно! есть!

reneg-sec сколька поставить? сутки или больше?

mannaz2004
() автор топика
Ответ на: комментарий от Deleted
 --keepalive n m A helper directive designed to simplify the expression of --ping and --ping-restart in server mode configurations. For example, --keepalive 10 60 expands as follows:

if mode server: ping 10 ping-restart 120 push "ping 10" push "ping-restart 60" else ping 10 ping-restart 60 

с официального сайта

mannaz2004
() автор топика
Ответ на: комментарий от uspen

Поправь меня если я не прав! Эта опция нужна для смены ключей. По умолчанию там 60 минут! Ну допустим я укажу что раз в сутки! Думаешь что та измениться? Ведь смена ключей у меня нормуль проходит! и обламывает не в то время когда ключ должен смениться! Или я совсем не прав?

mannaz2004
() автор топика
Ответ на: комментарий от mannaz2004

чего споришь? Действительно я про это даже не подумал, так как ты первым делом должен был проанализировать это, а не восклицать на местных!

увеличь ping-restart и прочее и/или поддерживай активность канала.

uspen ★★★★★
()
Ответ на: комментарий от uspen

Поставил пока 5 дней! Посмотрим что измениться!

mannaz2004
() автор топика
Ответ на: комментарий от uspen

Не нашёл в описании где эта опция указывается на сервере или клиенте! По идее на клиенте!

mannaz2004
() автор топика
Ответ на: комментарий от mannaz2004

--keepalive n m A helper directive designed to simplify the expression of --ping and --ping-restart in server mode configurations. For example, --keepalive 10 60 expands as follows:

if mode server: ping 10 ping-restart 120 push «ping 10» push «ping-restart 60» else ping 10 ping-restart 60

с официального сайта

Значит осталось только выяснить где правда и что именно имели ввиду авторы =).

Deleted
()
Ответ на: комментарий от shty

Ну раз я такой чайник! Покажи мастер класс!

mannaz2004
() автор топика
Ответ на: комментарий от uspen

Не помогло! Как отваливалось так и отваливается! Все без результата!

mannaz2004
() автор топика
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.