LINUX.ORG.RU
ФорумAdmin

Openvpn и Drop(ы)

 , , , ,


0

0

Использую VPS(debian 6)для openvpn.

В логе сервера куча таких записей, после подключения клиента
---------------------------------------------
Sun Oct 21 21:24:50 2012 us=435824 phone/some_wan_ip:35962 MULTI: bad source address from client [192.168.1.107], packet dropped
Sun Oct 21 21:24:50 2012 us=720867 phone/some_wan_ip:35962 MULTI: bad source address from client [192.168.1.107], packet dropped
Sun Oct 21 21:24:51 2012 us=382626 phone/some_wan_ip:35962 MULTI: bad source address from client [192.168.1.107], packet dropped
---------------------------------------------

server.conf
---------------------------------------------
port 11944
proto tcp
dev tun
ca data/ca.crt
cert data/server.crt
key data/server.key
dh data/dh1024.pem
tls-server
tls-auth data/ta.key 0
remote-cert-tls client
cipher AES-256-CBC
server 10.10.10.0 255.255.255.0
ifconfig-pool-persist ipp.txt
push «redirect-gateway def1 bypass-dhcp»
push «dhcp-option DNS 8.8.8.8»
push «dhcp-option DNS 8.8.4.4»
client-to-client
client-config-dir ccd
keepalive 10 120
comp-lzo
persist-key
persist-tun
max-clients 5
status /var/log/status-openvpn.log
log /var/log/openvpn.log
verb 4

auth-user-pass-verify /etc/openvpn/verify.sh via-file
username-as-common-name
tmp-dir /tmp
script-security 2
---------------------------------------------

на сервере iptables -L -n
---------------------------------------------
Chain INPUT (policy ACCEPT)
target prot opt source destination

Chain FORWARD (policy ACCEPT)
target prot opt source destination
ACCEPT all  — 10.10.10.0/24 0.0.0.0/0
ACCEPT all  — 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED

Chain OUTPUT (policy ACCEPT)
target prot opt source destination
---------------------------------------------

client.conf
---------------------------------------------
remote xxx 11944
client
dev tun
ping 10
comp-lzo
proto tcp
tls-client
tls-auth data/ta.key 1
pkcs12 data/vpn.laptop.p12
remote-cert-tls server
persist-key
persist-tun
cipher AES-256-CBC
verb 3
pull
auth-user-pass /home/pollux/.openvpn/users.db #«user\n pass»
---------------------------------------------

Подскажите куда копать? или почему возникает данная проблема.

Нашел:
---------------------------------------------
How to fix the errors «MULTI: bad source address from client [192.168.100.249], packet dropped» or «GET INST BY VIRT: 192.168.100.249 [failed]»?
These errors occur because OpenVPN doesn't have an internal route for 192.168.100.249. Consequently, it doesn't know how to route the packet to this machine, so it drops the packet.
Use client-config-dir and create a ccd file for your client containing the iroute option to tell OpenVPN that the 192.168.100.0/24 network is available behind this client.
---------------------------------------------
Не помогло.



Последнее исправление: Klymedy (всего исправлений: 3)
{asterisk} Можно ли заставить asterisk при входящем звонке на его FXO не брать трубку сразу, а ждать, пока возьмут трубку на воайпифоне?
Nginx и IF

Ответ на: комментарий от crimson

Пропишите в ccd IP клиентов явно. На клиентах на виртуальных интерфейсов IP явно не выставляйте.

zgen ★★★★★
()
Ответ на: комментарий от zgen

Сделал

1. Прописал в конфиге сервера
----------
client-config-dir /etc/openvpn/ccd
route 10.10.10.0 255.255.255.0
----------
и добавил в cdd
Все равное дропы есть, но уже не в таком количестве. Хммм основная их часть в первые 10 минут после подключения клиента. И их в логе 15-25 где-то

Посмотрел Jan Just Keijser - OpenVPN 2 Cookbook
Часть из книги Там тоже советуют поменять конфиг соответствующим образом.

Господа, еще у теории есть почему так? или такое количество дропов допустимое?

crimson
() автор топика
Ответ на: Сделал от crimson

и добавил в cdd

Херню ты в cdd добавил, что ж удивляться, что ничего не изменилось. Надо не (только) роуты, но ip раздавать.

zgen ★★★★★
()
Ответ на: комментарий от zgen

Спасибо за feedback, но пожалуйста можно чуть подробнее. Потому что мои кривые руки еще еще не исправили проблемы

cat ccd/laptop
----------------------------------------------------------------------------------------
iroute 10.10.10.0 255.255.255.0
ifconfig-push 10.10.10.9 10.10.10.10
----------------------------------------------------------------------------------------

server.conf
----------------------------------------------------------------------------------------
port 1194 #
proto udp
dev tun
ca data/ca.crt
cert data/server.crt
key data/server.key
dh data/dh1024.pem
tls-server
tls-auth data/ta.key 0
remote-cert-tls client
cipher AES-256-CBC
server 10.10.10.0 255.255.255.0
push «redirect-gateway def1 bypass-dhcp»
push «dhcp-option DNS 8.8.8.8»
client-to-client
client-config-dir /etc/openvpn/ccd
route 10.10.10.0 255.255.255.0
keepalive 10 120
comp-lzo
persist-key
persist-tun
max-clients 5
status /var/log/status-openvpn.log
log /var/log/openvpn.log
verb 4
auth-user-pass-verify /etc/openvpn/verify.sh via-file
tmp-dir /tmp
script-security 2
----------------------------------------------------------------------------------------

crimson
() автор топика
Ответ на: комментарий от crimson

Сначала пуш, потом роут.

script-security 2

Не правильно. Правильно так:

script-security 2 system

И еще route gateway нету директивы.

tazhate ★★★★★
()
Ответ на: комментарий от tazhate

Спасибо,

server.conf
----------------------------------------------------------
port 1194 #
proto udp
dev tun
ca data/ca.crt
cert data/server.crt
key data/server.key
dh data/dh1024.pem
tls-server
tls-auth data/ta.key 0
remote-cert-tls client
cipher AES-256-CBC
server 10.10.10.0 255.255.255.0
push «redirect-gateway def1 bypass-dhcp»
push «dhcp-option DNS 8.8.8.8»
push «route-gateway 10.10.10.1»
client-to-client
client-config-dir /etc/openvpn/ccd
#!!!!! route 10.10.10.0 255.255.255.0
keepalive 10 120
comp-lzo
persist-key
persist-tun
max-clients 5
status /var/log/status-openvpn.log
log /var/log/openvpn.log
verb 4
auth-user-pass-verify /etc/openvpn/verify.sh via-file
tmp-dir /tmp
script-security 2 system
----------------------------------------------------------

cat ccd/laptop
----------------------------------------------------------
ifconfig-push 10.10.10.9 10.10.10.10
iroute 10.10.10.0 255.255.255.0
----------------------------------------------------------

----------------------------------------------------------
on Oct 22 17:16:46 2012 us=323762 laptop/xxxx:1194 REMOVE PUSH ROUTE: 'route 10.10.10.0 255.255.255.0'
Mon Oct 22 17:16:48 2012 us=523732 laptop/xxxx:1194 PUSH: Received control message: 'PUSH_REQUEST'
Mon Oct 22 17:16:48 2012 us=523934 laptop/xxxx:1194 SENT CONTROL [phone]: 'PUSH_REPLY,redirect-gateway def1 bypass-dhcp,dhcp-option DNS
8.8.8.8,route-gateway 10.10.10.1,topology net30,ping 10,ping-restart 120,ifconfig 10.10.10.9 10.10.10.10' (status=1)
Mon Oct 22 17:28:46 2012 us=376835 laptop/xxxxxx:1194 MULTI: bad source address from client [192.168.1.107], packet dropped
.......
Mon Oct 22 17:31:03 2012 us=310739 laptop/xxxxxx:1194 MULTI: bad source address from client [192.168.1.107], packet dropped
----------------------------------------------------------

Дропы - есть.

crimson
() автор топика
Ответ на: комментарий от crimson

Да и на клиенте лажа какая-то

Mon Oct 22 21:59:06 2012 ERROR: Linux route add command failed: external program exited with error status: 7
Mon Oct 22 21:59:06 2012 /sbin/route add -net 128.0.0.0 netmask 128.0.0.0 gw 10.10.10.1
SIOCADDRT: No such process
Mon Oct 22 21:59:06 2012 ERROR: Linux route add command failed: external program exited with error status: 7
Mon Oct 22 21:59:06 2012 /sbin/route add -net 10.10.10.0 netmask 255.255.255.0 gw 10.10.10.1
SIOCADDRT: No such process
Mon Oct 22 21:59:06 2012 ERROR: Linux route add command failed: external program exited with error status: 7
Mon Oct 22 21:59:06 2012 Initialization Sequence Completed

crimson
() автор топика
Ответ на: комментарий от crimson

the message is telling you that a host with the IP address IP has tried sending packets through the VPN via your connected OpenVPN client. The OpenVPN gateway has discarded this packet.

crimson
() автор топика
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.
{asterisk} Можно ли заставить asterisk при входящем звонке на его FXO не брать трубку сразу, а ждать, пока возьмут трубку на воайпифоне?
Admin
Nginx и IF