Перестал работать тоннель OpenVPN0

Вчера 10.11.2020 примерно в 08:00 мск оборвался тоннель и больше не подключается.
В журнале постоянно вот так:
Ноя 11 13:52:17

OpenVPN0
OpenVPN 2.4.6 [SSL (OpenSSL)] [LZO] [LZ4] [EPOLL] [AEAD]
Ноя 11 13:52:17

OpenVPN0
library versions: OpenSSL 1.1.1d 10 Sep 2019, LZO 2.10
Ноя 11 13:52:17

OpenVPN0
WARNING: --ns-cert-type is DEPRECATED. Use --remote-cert-tls instead.
Ноя 11 13:52:18

OpenVPN0
UDP link local (bound): [AF_INET][undef]:1194
Ноя 11 13:52:18

OpenVPN0
UDP link remote: [AF_INET]84.201.157.25:35779
Ноя 11 13:52:18

OpenVPN0
NOTE: UID/GID downgrade will be delayed because of --client, --pull, or --up-delay
Ноя 11 13:53:18

OpenVPN0
TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity)
Ноя 11 13:53:18

OpenVPN0
TLS Error: TLS handshake failed
Ноя 11 13:53:18

OpenVPN0
SIGTERM received, sending exit notification to peer
Ноя 11 13:53:18

OpenVPN0
SIGTERM[soft,tls-error] received, process exiting
Ноя 11 13:53:18

ndm
Service: "OpenVPN0": unexpectedly stopped.
Ноя 11 13:53:21

OpenVPN0
OpenVPN 2.4.6 [SSL (OpenSSL)] [LZO] [LZ4] [EPOLL] [AEAD]
Ноя 11 13:53:21

OpenVPN0
library versions: OpenSSL 1.1.1d 10 Sep 2019, LZO 2.10
Ноя 11 13:53:21

OpenVPN0
WARNING: --ns-cert-type is DEPRECATED. Use --remote-cert-tls instead.
Ноя 11 13:53:21

OpenVPN0
UDP link local (bound): [AF_INET][undef]:1194
Ноя 11 13:53:21

OpenVPN0
UDP link remote: [AF_INET]84.201.157.25:35779
Ноя 11 13:53:21

OpenVPN0
NOTE: UID/GID downgrade will be delayed because of --client, --pull, or --up-delay



В интернетах пишут, что это говорит о проблеме на стороне сервера: "...клиент достучаться до сервера не может"
Вроде тут подобная проблема была:
vpnki.ru/questions/support-forum/tuns-ro...%D1%81%D1%8F-openvpn

На сервере вроде бы все ок
1. попробуйте с этого устройства выполнить пинг 84.201.157.25
2. сообщите внешний IP адрес устройства (узнать можно на whatismyip.com)

PPTP и L2TP на этом устройстве поднимаются
в данный момент запущен тоннель по L2TP
user8125
пинг
sending ICMP ECHO request to 84.201.157.25...
PING 84.201.157.25 (84.201.157.25) 56 (84) bytes of data.
84 bytes from 84.201.157.25: icmp_req=1, ttl=49, time=41.40 ms.
84 bytes from 84.201.157.25: icmp_req=2, ttl=49, time=39.48 ms.
84 bytes from 84.201.157.25: icmp_req=3, ttl=49, time=28.93 ms.
84 bytes from 84.201.157.25: icmp_req=4, ttl=49, time=40.11 ms.
84 bytes from 84.201.157.25: icmp_req=5, ttl=49, time=37.49 ms.
--- 84.201.157.25 ping statistics ---
5 packets transmitted, 5 packets received, 0% packet loss,
0 duplicate(s), time 4039.91 ms.
Round-trip min/avg/max = 28.93/37.48/41.40 ms.

В разделе Инструменты-Инструменты текущее активное подключение имеет Station IP = 31.173.86.122 - это внешний адрес?
удаленно подключаюсь к роутеру, не соображу как посмотреть иначе внешний айпишник

Да, я вижу сейчас трафик L2TP с 31.173.86.122
Чтобы понять суть проблемы с openvpn нужно отключить L2TP и попробовать установить openvpn

отключил л2тп, включил опенвпн, в журнале теже ошибки

вижу отключение и больше трафика L2TP нет...
но нет и трафика openvpn... даже попыток нет

т.е. вероятно клиент OpenVPN поломался?
роутер перезагружал, не помогает.
что еще можно попробовать?

Признаться, я не понимаю как такое может быть ...

а сделайте пинг msk.vpnki.ru еще раз, пожалуйста.

точно ли адрес 31.173.86.122 ? вы ведь перезапускали рутер - он мог и поменяться

что за роутер?

Нет, сейчас не перезагружался, вчера перезагружался пару раз
роутер Keenetik Extra
Тоннель до этого проработал в этом режиме около года, в настройки не залазил, последний раз лазил как раз настроить оупенвпн, т.к. л2тп часто стал падать

sending ICMP ECHO request to msk.vpnki.ru...
PING msk.vpnki.ru (84.201.157.25) 56 (84) bytes of data.
84 bytes from msk.vpnki.ru (84.201.157.25): icmp_req=1, ttl=49, time=44.87 ms.
84 bytes from msk.vpnki.ru (84.201.157.25): icmp_req=2, ttl=49, time=42.29 ms.
84 bytes from msk.vpnki.ru (84.201.157.25): icmp_req=3, ttl=49, time=42.60 ms.
84 bytes from msk.vpnki.ru (84.201.157.25): icmp_req=4, ttl=49, time=27.90 ms.
84 bytes from msk.vpnki.ru (84.201.157.25): icmp_req=5, ttl=49, time=31.72 ms.
--- msk.vpnki.ru ping statistics ---
5 packets transmitted, 5 packets received, 0% packet loss,
0 duplicate(s), time 4033.88 ms.
Round-trip min/avg/max = 27.90/37.87/44.87 ms.

пинги пришли, адрес не менялся

если это имеет значение, то этот роутер выхдоит в интернет через другой роутер с 4г модемом... но если бы была проблема в этом, наверное, и л2тп не поднималось?

кстати есть доступное обновление прошивки роутера, в котором есть и обновление для опенвпн клиента... можно попробовать и обновиться)

не думаю, что в этом проблема
если пинги ходят - значит маршруты есть и пакеты ходят.
однако пакеты UDP на ваш порт OpenVPN на сервере 35779 почему-то до сервера не доходят.
тут есть два варианта - либо они не выходят с рутера, либо они заблокированы где-то по дороге
по первому варианту - если у вас под рукой промежуточный рутер, то вы можете попробовать поймать эти пакеты на нем
по второму варианту - вы можете ради теста поменять в файле .ovpn номер порта на любой другой и перезапустить openvpn
(понятно, что openvpn не установится, но может быть я увижу пакеты от вашего адреса, пусть и по другому порту - главное это будет от вашего процесса openvpn)

поменял порт на 1194.
запустил

вот что пришло ...порт 35817... а вы что на что поменяли?

интерееесно
был порт 35779, поменял на 1194

да, но на картинке порт 35817 -это порт на вашем оборудовании и я допускаю, что это выбрано динамически и корректно
но нет порта, на который идет запрос - он пуст. Просто написано UDP...
можно констатировать факт, что что-то приходит, но в каком-то некорректном виде.
А поставьте пожалуйста порт msk.vpnki.ru 44444 в конфигурационном файле

аааа, все корректно, в дебаге написано VPNKI.openvpn - слово openvpn заменило собой порт 1194 который вы поставили

т.е. запросы с портом 1194 проходят, а с 35779 нет. и это означет что ктото блокирует 35779 порт?
если я у себя ничего не трогал, то получается провайдер чтото намудрил?

Да, похоже на то, что этот порт "чем-то где-то занят"...
Поменяйте его на нужный - 35779 и переустановите соединение.
А вы можете перезагрузить ваш транзитный рутер? На всякий случай

Ну и если не поможет, то тогда в личном кабинете VPNKI снимите галочку Использовать OpenVPN - в этом случае на сервере удалится ваш профиль опенвпн и освободится порт 35779. Затем попробуйте еще раз поставить галочку. В этом случае создастся новый конфигурационый файл и назначится новый порт. Есть вероятность, что он будет другим.
Затем скачайте новый ovpn файл или просто замените в своем старом номер порта (отличие будет только в нем)

вернул прежний порт 35779, ошибки все те же
к сожалению не могу перезагрузить транзитный роутер... но скоро физически там буду и попробую, если манипуляции с профилем - сменой порта не помогут.
Спасибо!

ничего не делал, попробовал включить OpenVPN0 и соединение установилось и работает.
Вы чтото у себя делали?

admin пишет: Да, похоже на то, что этот порт "чем-то где-то занят"...
Поменяйте его на нужный - 35779 и переустановите соединение.
А вы можете перезагрузить ваш транзитный рутер? На всякий случай

Ну и если не поможет, то тогда в личном кабинете VPNKI снимите галочку Использовать OpenVPN - в этом случае на сервере удалится ваш профиль опенвпн и освободится порт 35779. Затем попробуйте еще раз поставить галочку. В этом случае создастся новый конфигурационый файл и назначится новый порт. Есть вероятность, что он будет другим.
Затем скачайте новый ovpn файл или просто замените в своем старом номер порта (отличие будет только в нем)

ничего не делал, попробовал включить OpenVPN0 и соединение установилось и работает.
Вы чтото у себя делали?

Нет, я ничего не делал