Авторизация

Туннель отключается каждый час

  • nahznahz
  • Автор темы
  • Ушел
  • Осваиваюсь на форуме
  • Осваиваюсь на форуме
Подробнее
1 год 11 мес. назад #1 от nahznahz
Здравствуйте. С чем связано то, что туннель отключается каждый час и подключается сам только через 5 минут? user15608, протокол OpenVPN, туннель настроен на роутере с прошивкой Падаван по инструкции с данного сайта. Во вложении лог с сайта и с роутера.
Вложения:

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

Подробнее
1 год 11 мес. назад - 1 год 11 мес. назад #2 от admin
Добрый вечер, тут видимо есть две разные проблемы:
1. Отключение соединения через час
2. Переподключение через 5 минут после обрыва соединения

Но сначала прошу сообщить - это происходит при работе с ОpenVPN через TCP или UDP?

Длительность в час очень напоминает период смены ключей. Такое впечатление, что приходит пора менять ключи и стороны делают это некорректно, после чего соединение обрывается. Это лишь версия.
За период смены ключей отвечает параметр reneg-sec в файле OVPN. У нас он установлен в 0, чтобы смены ключей не было, так как у нас есть ежесуточная перезагрузка OpenVPN соединений. Можно предположить, что Padavan игнорирует это значение reneg-sec и все-таки пытается поменять ключ, что заканчивается неудачей. Можно попробовать удалить соединение, установить значение reneg-sec 90000 в файле ovpn (это 25 часов), создать соединение заново с новым ovpn-файлом и посмотреть что будет.

Что касается 6 минут на подключение. Это тоже похоже на какой-то таймаут, в течение которого или клиент не пытается подключаться вовсе, ну либо сервер не принимает соединение, так как считает, что от клиента еще подключено старое соединение. Но я бы понял такое при подключении OpenVPN через UDP, но мне кажется, что у вас TCP, а с ним обрыв соединения четко фиксируется сервером. И даже если сервер не понял, что клиент уже не подключен, то тайм-аут на сервере стоит в 2 минуты, но не в 5.

В общем, прошу провести эксперимент с reneg-sec и ответить на вопрос о TCP или UDP.

если все заработало, то, пожалуйста, donate сюда - yoomoney.ru/to/410014618210530
Последнее редактирование: 1 год 11 мес. назад пользователем admin.

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

  • nahznahz
  • Автор темы
  • Ушел
  • Осваиваюсь на форуме
  • Осваиваюсь на форуме
Подробнее
1 год 11 мес. назад #3 от nahznahz
nahznahz ответил в теме Туннель отключается каждый час
1. При настройке OpenVPN я выбрал пункт работы по TCP c шифрованием.
2. Дело в том, что файл .ovpn загружается в версию OpenVPN-клиента для Windows, а в роутере с прошивкой Padavan я не видел в каком месте можно указать reneg-sec = 90000.
3. По умолчанию, при сбросе роутера в дефолтные настройки, на странице VPN-клиента есть пункты "Расширенная конфигурация OpenVPN" и "Выполнить скрипт после подключения/отключения к VPN-серверу:", в которых имеются некоторые настройки. Может быть они как-то влияют на отключение? Привожу эти настройки в файлах во вложении.
4. Создал такой же туннель к другому роутеру с прошивкой Padavan - user15612. Он так же отключается каждый час и подключается с пятиминутной задержкой. Полдня так проработал, а потом отключился насовсем, написав в логах роутера:
Oct 27 19:46:00 openvpn-cli[21093]: WARNING: --ns-cert-type is DEPRECATED.  Use --remote-cert-tls instead.
Oct 27 19:46:00 openvpn-cli[21093]: NOTE: the current --script-security setting may allow this configuration to call user-defined scripts
Oct 27 19:46:00 openvpn-cli[21093]: Could not determine IPv4/IPv6 protocol
Oct 27 19:46:05 openvpn-cli[21093]: WARNING: --ns-cert-type is DEPRECATED.  Use --remote-cert-tls instead.
Oct 27 19:46:05 openvpn-cli[21093]: NOTE: the current --script-security setting may allow this configuration to call user-defined scripts
Oct 27 19:46:05 openvpn-cli[21093]: Could not determine IPv4/IPv6 protocol
Oct 27 19:46:10 openvpn-cli[21093]: WARNING: --ns-cert-type is DEPRECATED.  Use --remote-cert-tls instead.
Oct 27 19:46:10 openvpn-cli[21093]: NOTE: the current --script-security setting may allow this configuration to call user-defined scripts
Oct 27 19:46:10 openvpn-cli[21093]: Could not determine IPv4/IPv6 protocol
Oct 27 19:46:15 openvpn-cli[21093]: WARNING: --ns-cert-type is DEPRECATED.  Use --remote-cert-tls instead.
Oct 27 19:46:15 openvpn-cli[21093]: NOTE: the current --script-security setting may allow this configuration to call user-defined scripts
Oct 27 19:46:17 openvpn-cli[21093]: WARNING: this configuration may cache passwords in memory -- use the auth-nocache option to prevent this
Oct 27 19:46:20 openvpn-cli[21093]: AUTH: Received control message: AUTH_FAILED
Вложения:

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

Подробнее
1 год 11 мес. назад - 1 год 11 мес. назад #4 от admin
1. Спасибо, то что это происходит с TCP мне странно. Значит дело не в том, о чем я думал.

2. Ааа, да, у вас же там поля в веб-интерфейсе. Тогда можно попробовать подключиться по telnet или ssh к устройству и поискать - где же на самом деле находится файл профиля подключения. Есть вероятность, что заполненные поля формы, в итоге, становятся текстом в файле профиля ovpn в файловой системе рутера. Если удастся найти файл и вписать туда строку reneg-sec 0 или reneg-sec 90000, то интересно будет посмотреть на результат. Может быть можно погуглить и найти как народ добавляет нужные параметры в профиль подключения OpenVPN, если этих полей нет в веб-интерфейсе.

3. Выполнить скрипт - это не подойдет, так как он выполняется уже после установления соединения. А нужный файл профиля описывает само соединение

4. По поводу лога, видно, что было три цикла, которые завершались сообщением Could not determine IPv4/IPv6 protocol - что это означает я не знаю. А потом, видимо, была попытка подключения, которая закончилась сообщением AUTH  Received control message: AUTH_FAILED и, скорее всего, сервер не пустил клиента из-за того, что считал его уже подключенным. Однако почему клиент не продолжил дальше попытки подключения тоже не понятно. Он должен был бы пытаться подключиться и дальше, до тех пор, пока не подключился бы.

если все заработало, то, пожалуйста, donate сюда - yoomoney.ru/to/410014618210530
Последнее редактирование: 1 год 11 мес. назад пользователем admin.

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

  • nahznahz
  • Автор темы
  • Ушел
  • Осваиваюсь на форуме
  • Осваиваюсь на форуме
Подробнее
1 год 11 мес. назад - 1 год 11 мес. назад #5 от nahznahz
nahznahz ответил в теме Туннель отключается каждый час
1. Разобрался с отключениями - действительно помогла настройка reneg-sec 0. Но, поскольку настройки роутера осуществляются не через файл ovpn, то данный параметр нужно указывать в поле "Расширенная конфигурация OpenVPN" (скриншот во вложении).

2. Теперь следующий этап. Туннели создавались, чтобы объединить несколько локаций устройств умного дома на базе сервера Home Assistant (сервер, естественно, в одной из локаций). Но сейчас сервер Home Assistant "не видит" устройств из другой локации, только из "своей". На форуме нашел аналогичную тему (vpnki.ru/questions/support-forum/url-pub...-home-assistant#5496), в которой приведен алгоритм проверки работы туннелей:
Этап 1
1. Подключение VPN туннеля, при этом туннель может быть установлен как с маршрутизатора, так и с устройства с HomeAssistant
1.1. В случае подключения туннеля с маршрутизатора вы должны успешно выполнить пинг адреса 172.16.0.1 с этого маршрутизатора
1.2. В случае подключения туннеля с маршрутизатора вы должны успешно выполнить пинг со страницы Инструменты адреса - 172.16...., который назначен вашему маршрутизатору в сети VPNKI.
1.3. В случае подключения туннеля с маршрутизатора вы должны успешно выполнить пинг со страницы Инструменты адреса маршрутизатора во внутренней сети (например 192.168.0.1)
1.4. Затем вы должны успешно выполнить пинг адреса устройства HomeAssistant со страницы Инструменты (например 192.168.0.10)
1.5. Затем вы должны успешно выполнить запрос порта (например 80) вашего устройства HomeAssistant со страницы Инструменты

При проверке пункты 1.1 - 1.3 прошли успешно. Пункт 1.4 - на сервер Home Assistant пинг не проходит, а на другие устройства этой подсети - проходит. Сервер развернут на Raspberry Pi 4 Модель B.
Можете подсказать куда копать?
Вложения:
Последнее редактирование: 1 год 11 мес. назад пользователем nahznahz.

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

Подробнее
1 год 11 мес. назад #6 от admin
О! Значит "Дополнительные параметры" позволяют задать нужные строки. Это хорошо!

Насчет пингов до Home Assistant, предполагаю, что какое-то правило блокирует ответ на пинги. Поэтому нужно посмотреть вывод двух команд на Распберри: ip route и iptables -nvL
Приложите их вывод сюда и посмотрим

если все заработало, то, пожалуйста, donate сюда - yoomoney.ru/to/410014618210530

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

Время создания страницы: 0.105 секунд