Ongelmia OpenVPN reitityksen kanssa (luultavasti).

[A Lake Elk]

Eli ongelmana on se, että OpenVPN-clientti lakkaa jonkin ajan kuluttua (aika vaihtelee laidasta laitaan) läpäisemästä liikennettä. Ja hetken kuluttua siitä OpenVPN-clientti yhdistää uudelleen serveriin.

Sen mitä Googletin, niin ongelmana olisi todennäköisesti lähtöverkon iso verkko (192.168.0.0/255.255.0.0), jonka sisään mahtuu tunnelointiverkon (192.168.188.0/255.255.255.0) ja itse kohdeverkon (192.168.88.0/255.255.255.0) osoitealueet.

Erikoista asiassa on, että tätä tapahtuu ainoastaan W10 koneella, muttei kännykässä vaikka se on samassa verkossa tuon W10 koneen kanssa.

Onko tuohon jotain vipuja, tai ratkaisua, jolla tuon W10:n saisi toimimaan ilman katkomista?

OpenVPN-serveri: pfSense 2.4.5-RELEASE-p1
W10 clientti: OpenVPN Connect v.3.2.0.(1064)
Android clientti: OpenVPN Connect 3.2.2.(5027).

[EDIT3] Homma ratkaistu vaihtamalla OpenVPN Connect -> pfSensen OpenVPN Client Exportista ladattavaan clienttiin. <-- EI AUTTANUTKAAN

Clientti conffi (xxx:t on sensurointia ):

dev tun
persist-tun
persist-key
cipher AES-256-CBC
ncp-ciphers AES-128-GCM
auth SHA256
tls-client
client
resolv-retry infinite
remote xxx.xxx.xxx 1194 udp4
setenv opt block-outside-dns
lport 0
verify-x509-name "xxx.xxx.xxx" name
auth-user-pass
remote-cert-tls server

Servu conffi (xxx:t on sensurointia ):

dev ovpns1
verb 1
dev-type tun
dev-node /dev/tun1
writepid /var/run/openvpn_server1.pid
#user nobody
#group nobody
script-security 3
daemon
keepalive 10 60
ping-timer-rem
persist-tun
persist-key
proto udp4
cipher AES-256-CBC
auth SHA256
up /usr/local/sbin/ovpn-linkup
down /usr/local/sbin/ovpn-linkdown
client-connect /usr/local/sbin/openvpn.attributes.sh
client-disconnect /usr/local/sbin/openvpn.attributes.sh
local xxx.xxx.xxx.xxx
engine cryptodev
tls-server
server 192.168.188.0 255.255.255.0
client-config-dir /var/etc/openvpn-csc/server1
username-as-common-name
plugin /usr/local/lib/openvpn/plugins/openvpn-plugin-auth-script.so /usr/local/sbin/ovpn*auth*verify_async user xxxxxxxxxxxx false server1 1194
tls-verify "/usr/local/sbin/ovpn*auth*verify tls 'xxx.xxx.xxx' 1"
lport 1194
management /var/etc/openvpn/server1.sock unix
push "dhcp-option DOMAIN xxx.xxx"
push "dhcp-option DNS 192.168.88.1"
push "dhcp-option DNS 192.168.88.3"
push "block-outside-dns"
push "register-dns"
push "dhcp-option WINS 192.168.88.3"
push "redirect-gateway def1"
client-to-client
ca /var/etc/openvpn/server1.ca
cert /var/etc/openvpn/server1.cert
key /var/etc/openvpn/server1.key
dh /etc/dh-parameters.2048
tls-crypt /var/etc/openvpn/server1.tls-crypt
ncp-ciphers AES-128-GCM
persist-remote-ip
float
topology subnet
fast-io

[EDIT1] Tässä osittaista logia tuosta W10:n OpenVPN-clientiltä:

netsh interface ip set dnsservers 13 static 192.168.88.1 register=primary validate=no
netsh interface ip add dnsservers 13 192.168.88.3 2 validate=no
NRPT::ActionCreate names=[.] dns_servers=[192.168.88.1,192.168.88.3]
ActionWFP openvpn_app_path=C:\Program Files\OpenVPN Connect\OpenVPNConnect.exe tap_index=13 enable=1
permit IPv4 DNS requests from OpenVPN app
permit IPv6 DNS requests from OpenVPN app
block IPv4 DNS requests from other apps
block IPv6 DNS requests from other apps
allow IPv4 traffic from TAP
allow IPv6 traffic from TAP
netsh interface ip set winsservers 13 static 192.168.88.3
ipconfig /flushdns
Windows IP Configuration
Successfully flushed the DNS Resolver Cache.
TAP handle: 300b000000000000
⏎3.8.2020 klo 12.22.38 Connected via TUN_WIN
⏎3.8.2020 klo 12.22.38 EVENT: CONNECTED xxx@mun.oma.domain:1194 (88.115.120.60) via /UDPv4 on TUN_WIN/192.168.188.2/ gw=[192.168.188.1/]
⏎3.8.2020 klo 12.25.31 Session invalidated: KEEPALIVE_TIMEOUT
⏎3.8.2020 klo 12.25.31 Client terminated, restarting in 2000 ms...
⏎3.8.2020 klo 12.25.31 SetupClient: signaling tun destroy event
⏎3.8.2020 klo 12.25.33 EVENT: RECONNECTING

[EDIT2] Lisäystä vielä sen verran, että kun avaan tuon OVPN yhteyden ekaa kertaa, niin yhteys ei toimi eli esim pingi ei kulje. Sen jälkeen kun yhdistän uudelleen käsin alkaa yhteys toimimaan, kunnes se taas katkeaa ja yhdistää uudelleen, molemmat siis itsestään tälläkertaa.

 

[user9999]

Eihän tuo ole joku client ongelma.

VPN P2S with OpenVPN keeps rconnecting - Microsoft Q&A

Hey folks, I set up an Azure Virtual Network Gateway (SKU VpnGw1) And vonfigured a P2S Connection for using OpenVPN. I also configured the Oen VPN Client using this…

docs.microsoft.com

Edit: Jos ei ratkea niin kannattaa postata tämä myös ketjuun.

Tee-se-itse: Rautapalomuurit (pfSense, Sophos UTM..) (Mitä käytätte ja miksi juuri se vaihtoehto?)

Laitetaan tälläinenkin keskustelu pystyyn. Eli mitä (ja miksi juuri se) itse-tehtyjä palomuureja porukka käyttää? :think: Vaihtoehtoja on moneen lähtöön ja itselle tällä hetkellä mielenkiintoisimmat ovat: pfSense (parhaillaan käytössä), Sophos UTM ja Simplewall. pfSense mietteitä tähän asti -...

bbs.io-tech.fi

Itsellä ei ole enää OpenVPN käytössä ja ei tullut käytettyä sitä Windowssilla. Tuolla rautapalomuuriketjussa on varmaan OpenVPN ja Windows käyttäjiä.

 

[A Lake Elk]

Onko missään määritetty ping ja ping-restart arvoja?

Tuo KEEPALIVE_TIMEOUT viittaisi niiden puutteeseen tai vääriin arvoihin mahdollisesti (ei tule pingiä -> luulee yhteyden olevan poikki).

pfSensessä näyttäis olevan niin, että pitää valita "Ping methodiksi" joko "keepalive" (joka on nyt päällä), tai sitten "ping".

Eli tämä on tilanne nyt:

Ja toinen vaihtoehto on tälläinen:

Vaihdanko tuon metodin "pingiksi" ja raksit ruutuihin "Push ping to VPN client" ja "Push ping-restart/ping-exit to VPN client"?

 

[A Lake Elk]

En osaa sanoa miten tarkalleen vaikuttaa, mutta eipä siinä mitään häviä ainakaan jos kokeilee.

Ei vaikuta ollenkaan...

Sen verran vielä lisäystä vikakuvaukseen, että kun yhdistän ekaa kertaa koneen käynnistyksen jälkeen, dataa ei mene läpi ollenkaan vaan se vaatii aina uudelleen yhdistämisen (joko käsin, tai automaattisesti), ennenkuin yhteys alkaa toimimaan.

 

[A Lake Elk]

Vaikuttaa siltä, että toi Windowsiin asennettava OpenVPN Connect on särki ku vaihdoin sen tilalle pfSensen Client Exportista ladatatun installerin asentaman softan, niin homma toimii ongelmitta .

 

[user9999]

Vaikuttaa siltä, että toi Windowsiin asennettava OpenVPN Connect on särki ku vaihdoin sen tilalle pfSensen Client Exportista ladatatun installerin asentaman softan, niin homma toimii ongelmitta .

Tuo OpenVPN Connect client on käsitykseni mukaan tarkoitettu maksulliseen OpenVPN Access Serveriin ja se ladataan Access Serverin webbisivulta.

OpenVPN Connect - Client Software For Windows | OpenVPN

OpenVPN’s Connect VPN software for Windows workstation platforms is developed & maintained by our team of experts. Download the client VPN software for your PC.

openvpn.net

 

[A Lake Elk]

Tuo OpenVPN Connect client on käsitykseni mukaan tarkoitettu maksulliseen OpenVPN Access Serveriin ja se ladataan Access Serverin webbisivulta.

OpenVPN Connect - Client Software For Windows | OpenVPN

OpenVPN’s Connect VPN software for Windows workstation platforms is developed & maintained by our team of experts. Download the client VPN software for your PC.

openvpn.net

Voi olla. Kuvittelin, että OpenVPN on OpenVPN ja servut/clientit toimis ongelmitta yhteen, mutta ilmeisesti näin ei ole...

Jää nyt hiertämään, että mikä niissä on erilaista, että se alkaa katkomaan tuota yhteyttä...

 

[user9999]

Voi olla. Kuvittelin, että OpenVPN on OpenVPN ja servut/clientit toimis ongelmitta yhteen, mutta ilmeisesti näin ei ole...

Jää nyt hiertämään, että mikä niissä on erilaista, että se alkaa katkomaan tuota yhteyttä...

OpenVPN Access Server on aika erillainen tuote vs. OpenVPN Community Edition.

Open Source Vs. OpenVPN Access Server | OpenVPN

Understanding the main differences between OpenVPN Access Server for business and the open source code of OpenVPN

openvpn.net

 

[A Lake Elk]

Voi v****... Ei se ratkennutkaan tuolla asiakkaan vaihdolla... Sama ongelma edelleen. Tosin nyt huomasin, että puhelinkin katkoo yhteyttä myös.

Mutta nyt alkaa ongelma tarkentumaan. Eli en pysty pitämään yhteyttä auki samaan aikaan tietokoneessa ja puhelimessa. Käytän siis molemmissa samaa conffia ja sitä myöden samaa certtiä.

Onko tuon saman certin ja/tain käyttäjän käyttö nyt se itse ongelma?

[EDIT] Tän mukaan pitäis käyttää vipua --duplicate-cn OpenVPN:ssä, tai sitten luoda oma käyttäjä ja certti joko koneelle tai luurille: https://forums.openvpn.net/viewtopic.php?t=22326

[EDIT1] Ny vaikuttaa, että ongelma on ratkaisu viimeinkin lopullisesti, tai no ainakin voin pitää W10 konetta ja luuria yhtäaikaa kiinni OpenVPN-serverissä.

Eli ongelmana oli toi, että käytin yhtä ja samaa käyttäjätunnusta + samaa certti/avain-paria, jolloin ensimmäisenä yhdistänyt clientti tippuu pois kun myöhemmin yhdistänyt clientti ottaa yhteyden. Ja toi nimenomaan vaati, että käyttää eri käyttäjätunnusta plus certti/avain-paria eri clienteissä, eli ne on periaatteessa laitekohtaisia noi käyttäjätunnukset mitä tulee OpenVPN:n.