LINUX.ORG.RU
ФорумAdmin

OpenVPN не подключается по WiFi

 ,


0

2

Наблюдаю очень интересную (а если честно, паршивую) проблему.

Есть сервер с OpenVPN на борту.

Если подключаюсь из дома (ADSL-роутер + WiFi), то всё работает.
Если подключаюсь по мобильному интернету (смартфон, который раздаёт WiFi на ноутбук), то всё работает.
Если подключаюсь из офиса по ethernet, то всё работает.
Если подключаюсь из офиса по WiFi, то... не работает.
В офисе стоит D-Link DSR-1000N (раздёт и WiFi и ethernet).
Все тесты проводились с одного ноутбука без изменения конфигов (тест с ethernet с WiFi в офисе шёл один за другим).
Ethernet и WiFi в разных VLAN'ах и в разных подсетях (по-моему, это единственное различие с точки зрения L3).

В логи при подключении по офисному WiFi пишет следующее:

Mon Mar 11 11:50:24 2013 12 variation(s) on previous 20 message(s) suppressed by --mute
Mon Mar 11 11:50:24 2013 MULTI: multi_create_instance called
Mon Mar 11 11:50:24 2013 109.202.***.***:39552 Re-using SSL/TLS context
Mon Mar 11 11:50:24 2013 109.202.***.***:39552 LZO compression initialized
Mon Mar 11 11:50:24 2013 109.202.***.***:39552 Control Channel MTU parms [ L:1542 D:166 EF:66 EB:0 ET:0 EL:0 ]
Mon Mar 11 11:50:24 2013 109.202.***.***:39552 Data Channel MTU parms [ L:1542 D:1450 EF:42 EB:135 ET:0 EL:0 AF:3/1 ]
Mon Mar 11 11:50:24 2013 109.202.***.***:39552 Local Options hash (VER=V4): '14168603'
Mon Mar 11 11:50:24 2013 109.202.***.***:39552 Expected Remote Options hash (VER=V4): '504e774e'
Mon Mar 11 11:50:24 2013 109.202.***.***:39552 TLS: Initial packet from [AF_INET]109.202.***.***:39552, sid=5e5fc776 9d33de47
Mon Mar 11 11:50:24 2013 109.202.***.***:39552 TLS Error: Unroutable control packet received from [AF_INET]109.202.***.***:39552 (si=3 op=P_ACK_V1)
Mon Mar 11 11:50:24 2013 109.202.***.***:39552 TLS Error: Unroutable control packet received from [AF_INET]109.202.***.***:39552 (si=3 op=P_CONTROL_V1)
Mon Mar 11 11:50:26 2013 109.202.***.***:39552 TLS Error: Unroutable control packet received from [AF_INET]109.202.***.***:39552 (si=3 op=P_CONTROL_V1)

Куда смотреть в первую очередь?

Конфиг OpenVPN:

local 93.189.***.***
port 1194
proto udp
dev tun0
ca /etc/openvpn/keys/ca.crt
cert /etc/openvpn/keys/server.crt
dh /etc/openvpn/keys/dh2048.pem
server 10.24.0.0 255.255.0.0
ifconfig-pool-persist ipp.txt
client-config-dir /etc/openvpn/ccd
route 10.24.0.0 255.255.0.0
push «route 10.24.0.0 255.255.0.0»
keepalive 10 40
comp-lzo
user openvpn
group openvpn
persist-key
persist-tun
status /var/log/openvpn-status.log
log /var/log/openvpn.log
log-append /var/log/openvpn.log
verb 3
mute 20

★★

Куда смотреть в первую очередь?

На то, поднят ли ethernet на буке (даже при отключенном кабеле), и какой там IP-адрес, если не DHCP.

AS ★★★★★
()
Ответ на: комментарий от AS

Как-то так (при подключении по wi-fi):

ifconfig

eth0 Link encap:Ethernet HWaddr a0:b3:cc:6b:02:85
UP BROADCAST MULTICAST MTU:1500 Metric:1
RX packets:0 errors:0 dropped:0 overruns:0 frame:0
TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:0 (0.0 B) TX bytes:0 (0.0 B)
Interrupt:41 Base address:0xc000

wlan0 Link encap:Ethernet HWaddr 08:ed:b9:0c:fc:01
inet addr:192.168.32.14 Bcast:192.168.32.255 Mask:255.255.255.0
inet6 addr: fe80::aed:b9ff:fe0c:fc01/64 Scope:Link
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:3294 errors:0 dropped:0 overruns:0 frame:42487
TX packets:3468 errors:26 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:1392690 (1.3 MiB) TX bytes:1105739 (1.0 MiB)
Interrupt:16

SaBo ★★
() автор топика
Ответ на: комментарий от SaBo

eth0 Link encap:Ethernet HWaddr a0:b3:cc:6b:02:85
UP BROADCAST MULTICAST MTU:1500 Metric:1

То есть, без IP. Тогда моё предположение сходу - не в тему.

Тогда
доступен ли VPN сервер через офисный WiFi ?
работает ли смартфон через офисный WiFi, как клиент ?

Может быть, будет понятнее, куда копать...

AS ★★★★★
()
Последнее исправление: AS (всего исправлений: 2)

какой адрес ты получаешь при подключении по офисному wifi? а при подключении там же через ethernet? tcp вместо udp не проверял?

xtraeft ★★☆☆
()
Последнее исправление: xtraeft (всего исправлений: 2)
Ответ на: комментарий от xtraeft

какой адрес ты получаешь при подключении по офисному wifi? а при подключении там же через ethernet?

При подключении по WiFi из подсетки 192.168.32.0/24
При подключении по Ethernet из подсетки 192.168.31.0/24

Или нужны конкретные IP?

tcp вместо udp не проверял?

В смысле, OpenVPN по tcp?
Не проверял - проверю, если надо.

SaBo ★★
() автор топика

Я теперь только понял, почему форум у d-link сломали. Не иначе, как чтобы люди перед покупкой не узнали о страшно глючных dsr. Там же были огромные треды жалоб на него. И обещания как нибудь все пофиксить.

anonymous
()
Ответ на: комментарий от xtraeft

109.202.***.*** - адрес длинка?

Да, внешний адрес.

SaBo ★★
() автор топика

выключи lzo и проверь еще раз.

А вообще - похоже на бред, ибо все выглядит так, как будто используются разные ключи.

zgen ★★★★★
()
Ответ на: комментарий от zgen

А вообще - похоже на бред, ибо все выглядит так, как будто используются разные ключи.

++
или дата-время кривые

xtraeft ★★☆☆
()
Ответ на: комментарий от zgen

выключи lzo и проверь еще раз.

Тоже самое.

А вообще - похоже на бред, ибо все выглядит так, как будто используются разные ключи.

Но ноутбук-то один и тот же.
Я бы грешил на network manager, но дома и по мобильному интернету по wifi работает...

ключи проверь попробуй с pki

В смысле, с pki?
Так там и так: сертификат УЦ, сертификат клиента, закрытый ключ клиента и TLS.

или дата-время кривые

Одинаковые. Первым делом, как проблема возникла, синхронизировался с ntp.org

SaBo ★★
() автор топика
Ответ на: комментарий от SaBo

нет возможности убедиться, что проблема не в длинке? мне очень интересно стало уже самому

xtraeft ★★☆☆
()
Ответ на: комментарий от tazhate

нет возможности убедиться, что проблема не в длинке? мне очень интересно стало уже самому

Только если подключить его к другому провайдеру, но другого провайдера у нас нет.
Домой переть не очень хочется ))

mtu поменяй.

MTU на чём?
На WAN-порту?

SaBo ★★
() автор топика
Ответ на: комментарий от SaBo

MTU на чём?
На WAN-порту?

Видимо, на WiFi ))
Это Fragmentation Threshold у вайфая называется?
Сейчас там 2346 и RTS Threshold 2346.
Уменьшить раза в два?

SaBo ★★
() автор топика
Ответ на: комментарий от tazhate

В конфиге впна. Поставь 1400 для начала.

Поставил 1400 - тоже самое, 700 - тоже самое.

П.С. Ставил директивой tun-mtu 700

SaBo ★★
() автор топика
Ответ на: комментарий от SaBo

А тьфу ты. Что за бред.
Простая ошибка же.

Какая сеть у тебя там, где вифи?
TLS Error: Unroutable control packet received from
Эта ошибка значит, что у тебя не роутятся нормально пакеты. В 80% ситуаций это значит, что сеть где клиент и сеть в конфиге сервера находятся в одном префиксе.

tazhate ★★★★★
()
Ответ на: комментарий от tazhate

keepalive 5 30 добавь

Не получилось.

мту прописал в обоих конфигах?

Да. В логи выводит: WARNING: normally if you use --mssfix and/or --fragment, you should also set --tun-mtu 1500 (currently it is 1400) (и на сервере и на клиенте)

SaBo ★★
() автор топика
Ответ на: комментарий от tazhate

Какая сеть у тебя там, где вифи?

192.168.32.0/24

В 80% ситуаций это значит, что сеть где клиент и сеть в конфиге сервера находятся в одном префиксе.

Роут на сервере:

route

Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref Use Iface
10.24.0.2 * 255.255.255.255 UH 0 0 0 tun0
93.189.***.*** * 255.255.255.0 U 0 0 0 eth0
10.24.0.0 10.24.0.2 255.255.0.0 UG 0 0 0 tun0
default 93.189.***.*** 0.0.0.0 UG 0 0 0 eth0
default 93.189.***.*** 0.0.0.0 UG 0 0 0 eth0
default 93.189.***.*** 0.0.0.0 UG 0 0 0 eth0

Роут на ноутбуке:

route

Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref Use Iface
default 192.168.32.1 0.0.0.0 UG 0 0 0 wlan0
192.168.32.0 * 255.255.255.0 U 2 0 0 wlan0
192.168.122.0 * 255.255.255.0 U 0 0 0 virbr0


Роут на роутере:
Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref Use Iface
127.0.0.1 127.0.0.1 255.255.255.255 UGH 1 0 0 lo
192.168.2.0 0.0.0.0 255.255.255.0 U 0 0 0 bdg4
192.168.2.0 192.168.2.1 255.255.255.0 UG 1 0 0 bdg4
192.168.32.0 0.0.0.0 255.255.255.0 U 0 0 0 bdg3
192.168.32.0 192.168.32.1 255.255.255.0 UG 1 0 0 bdg3
192.168.31.0 0.0.0.0 255.255.255.0 U 0 0 0 bdg2
192.168.31.0 192.168.31.1 255.255.255.0 UG 1 0 0 bdg2
192.168.30.0 0.0.0.0 255.255.255.0 U 0 0 0 bdg1
192.168.30.0 192.168.30.1 255.255.255.0 UG 1 0 0 bdg1
109.202.***.0 0.0.0.0 255.255.255.0 U 0 0 0 eth1
109.202.***.0 109.202.***.*** 255.255.255.0 UG 1 0 0 eth1
239.0.0.0 0.0.0.0 255.0.0.0 U 0 0 0 bdg1
0.0.0.0 109.202.***.*** 0.0.0.0 UG 0 0 0 eth1

SaBo ★★
() автор топика
Ответ на: комментарий от SaBo

Попробовать подсетку на WiFi сменить что-ли?
Да только на гостевом WiFi (этот же роутер) с подседкой 192.168.2.0/24 такая же ерунда.

SaBo ★★
() автор топика
Ответ на: комментарий от SaBo

Только если подключить его к другому провайдеру, но другого провайдера у нас нет.

другого роутера нет?

xtraeft ★★☆☆
()
Ответ на: комментарий от xtraeft

другого роутера нет?

С WiFi - нет.

SaBo ★★
() автор топика
8 августа 2013 г.
Ответ на: комментарий от SaBo

Столкнулись с такой же проблемой. По WiFi не подключается OpenVPN с такими же записями в логе. Если подключиться к нему (дэлинку) через провода — работает. Пробовали на двух разных провайдерах.

anonymous
()
Ответ на: комментарий от anonymous

Да, до прошивки последней версией софта OpenVPN на нём же работал. Только WiFi глючил как зараза.

anonymous
()
Ответ на: комментарий от SaBo

Пингани айпишку сервера при выключенном впне и поснифай, куда уходят пакеты.
Точно где-то беда с маршрутизацией.

tazhate ★★★★★
()
Ответ на: комментарий от anonymous

В сервисе после второй прошивки исправили и не стали никак комментировать.

anonymous
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.
Admin