LINUX.ORG.RU
решено ФорумAdmin

трабла и решение с openvpn на мелких роутерах

 , ,


0

1

проблема решена - решил написать - авось кто с такой же столкнется проблемой

есть кучка мелких роутеров asus500gpv2 - и центральный vpn - подключается по openvpn

изредка - роутеры которые стоят на определенных провайдерах - крайне хреново конектились к серверу
в логах и дампе это выглядит как будто клинет конектится - общается с сервером и внезапно сам клиент рвет сессию
и заново пытаеться

проблема была неособо острой - и бывало сама проходила
и я грешил скорее на самих провайдеров - думая что чтото в натах провайдера - мешает нормально работать сессии openvpn

но тут попалась точка - на которую именно так вела - но до которой точно небыло никаких натов и подобное
полез я разбираться - и все оказалось крайне просто


суть в том - что у мелких роутеров нет встроенных часов - и время и дату - они на себе ставь тока когда подключаются в инет - через ntp
но если ntp по какойто причине не срабатывает - то время так и остается на роутера в 1970 году

и когда опенвпн конектиться - а конектиться то он по сертификату - он при общение с сервером и обьявляет что этот сертификат - неправильный - и думаю что дело плохо - рвет сессию и заново

p.s. если настраиваете на мелких роутерах openvpn с сертификатами - не забудьте прописать в стартовые скрипты - установку времени (через date -s) на какой то более менее вменяемую дату - чтоб даже при не работе ntp - сертификат приняли

★★

не понял, а откуда у роутеров доступ к ntp без установленного vpn'а? или инет у них был не через vpn, а через какой-то другой интерфейс?

anonymous
()

Да, проблема известная, была у меня на WRT54GL. Но NTP в общем-то всегда работал (чего бы ему не работать, если есть инет) и через пару минут OpenVPN уже поднималсо.

blind_oracle ★★★★★
()
Ответ на: комментарий от no-dashi

черт, перепутал vpn c l2tp и прочими pppoe

anonymous
()
Ответ на: комментарий от blind_oracle

а терь прикинь - poll.ntp.org отваливаеться
и ты получаеш кучу неработающих точек с асусами

ae1234 ★★
() автор топика
Ответ на: комментарий от ae1234

1. не poll, а pool :)

2. За ним триста серверов, хрен отвалится.

3. Указываешь помимо него свой OpenVPN сервер в качестве источника времени. Если уж он отвалился - то время тебе всё равно уже не поможет :)

blind_oracle ★★★★★
()
Ответ на: комментарий от blind_oracle

1. ну и ладно 2. отваливание это общий термин начиная от локальных инет проблем - и до ... 3. моч то могу - но предустановка даты в стартовом скрипте - вообще отменяет эту проблему

ae1234 ★★
() автор топика
Ответ на: комментарий от blind_oracle

простейший пример
локальная сеть - наружу выпушены тока несколько портом - а порт ntp не выпушен
если включить роутер - то он пойдет конектиться к локальному (в тойже сети) серверу - и весь прикол в том - что он НЕСМОГЕТ приконектиться
и ток когда догадаються разрешить ntp - он таки установит канал

ae1234 ★★
() автор топика

и я грешил скорее на самих провайдеров - думая что чтото в натах провайдера - мешает нормально работать сессии openvpn

nat не мешает работе openvpn никак вообще.

xtraeft ★★☆☆
()
Ответ на: комментарий от ae1234

Проблемы всегда можно найти, если у тебя тебя проблемы с портом NTP наружу, то нужно менять интернет-провайдера или еще что-то. Либо переходи на статические ключи.

blind_oracle ★★★★★
()
Ответ на: комментарий от blind_oracle

или

echo «date -s '2012-01-01 00:00:00'» >> /usr/local/sbin/post-boot
profit !!!

ae1234 ★★
() автор топика
Ответ на: комментарий от ae1234

Ну ваще надо логи читать. Там оно чётко пишет, что «The certificate is not yet valid», никакой двусмысленности.

Можно конечно и date -s, но я как-то всегда NTP обходился. Ладно, не суть.

blind_oracle ★★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.