Ongelmia OpenVPN reitityksen kanssa (luultavasti).

A Lake Elk

BANNATTU
BANNED
Liittynyt
12.11.2019
Viestejä
1 443
Eli ongelmana on se, että OpenVPN-clientti lakkaa jonkin ajan kuluttua (aika vaihtelee laidasta laitaan) läpäisemästä liikennettä. Ja hetken kuluttua siitä OpenVPN-clientti yhdistää uudelleen serveriin.

Sen mitä Googletin, niin ongelmana olisi todennäköisesti lähtöverkon iso verkko (192.168.0.0/255.255.0.0), jonka sisään mahtuu tunnelointiverkon (192.168.188.0/255.255.255.0) ja itse kohdeverkon (192.168.88.0/255.255.255.0) osoitealueet.

Erikoista asiassa on, että tätä tapahtuu ainoastaan W10 koneella, muttei kännykässä vaikka se on samassa verkossa tuon W10 koneen kanssa.

Onko tuohon jotain vipuja, tai ratkaisua, jolla tuon W10:n saisi toimimaan ilman katkomista?

OpenVPN-serveri: pfSense 2.4.5-RELEASE-p1
W10 clientti: OpenVPN Connect v.3.2.0.(1064)
Android clientti: OpenVPN Connect 3.2.2.(5027).

[EDIT3] Homma ratkaistu vaihtamalla OpenVPN Connect -> pfSensen OpenVPN Client Exportista ladattavaan clienttiin. <-- EI AUTTANUTKAAN

Clientti conffi (xxx:t on sensurointia :) ):
Koodi:
dev tun
persist-tun
persist-key
cipher AES-256-CBC
ncp-ciphers AES-128-GCM
auth SHA256
tls-client
client
resolv-retry infinite
remote xxx.xxx.xxx 1194 udp4
setenv opt block-outside-dns
lport 0
verify-x509-name "xxx.xxx.xxx" name
auth-user-pass
remote-cert-tls server

Servu conffi (xxx:t on sensurointia :) ):
Koodi:
dev ovpns1
verb 1
dev-type tun
dev-node /dev/tun1
writepid /var/run/openvpn_server1.pid
#user nobody
#group nobody
script-security 3
daemon
keepalive 10 60
ping-timer-rem
persist-tun
persist-key
proto udp4
cipher AES-256-CBC
auth SHA256
up /usr/local/sbin/ovpn-linkup
down /usr/local/sbin/ovpn-linkdown
client-connect /usr/local/sbin/openvpn.attributes.sh
client-disconnect /usr/local/sbin/openvpn.attributes.sh
local xxx.xxx.xxx.xxx
engine cryptodev
tls-server
server 192.168.188.0 255.255.255.0
client-config-dir /var/etc/openvpn-csc/server1
username-as-common-name
plugin /usr/local/lib/openvpn/plugins/openvpn-plugin-auth-script.so /usr/local/sbin/ovpn*auth*verify_async user xxxxxxxxxxxx false server1 1194
tls-verify "/usr/local/sbin/ovpn*auth*verify tls 'xxx.xxx.xxx' 1"
lport 1194
management /var/etc/openvpn/server1.sock unix
push "dhcp-option DOMAIN xxx.xxx"
push "dhcp-option DNS 192.168.88.1"
push "dhcp-option DNS 192.168.88.3"
push "block-outside-dns"
push "register-dns"
push "dhcp-option WINS 192.168.88.3"
push "redirect-gateway def1"
client-to-client
ca /var/etc/openvpn/server1.ca
cert /var/etc/openvpn/server1.cert
key /var/etc/openvpn/server1.key
dh /etc/dh-parameters.2048
tls-crypt /var/etc/openvpn/server1.tls-crypt
ncp-ciphers AES-128-GCM
persist-remote-ip
float
topology subnet
fast-io

[EDIT1] Tässä osittaista logia tuosta W10:n OpenVPN-clientiltä:
Koodi:
netsh interface ip set dnsservers 13 static 192.168.88.1 register=primary validate=no
netsh interface ip add dnsservers 13 192.168.88.3 2 validate=no
NRPT::ActionCreate names=[.] dns_servers=[192.168.88.1,192.168.88.3]
ActionWFP openvpn_app_path=C:\Program Files\OpenVPN Connect\OpenVPNConnect.exe tap_index=13 enable=1
permit IPv4 DNS requests from OpenVPN app
permit IPv6 DNS requests from OpenVPN app
block IPv4 DNS requests from other apps
block IPv6 DNS requests from other apps
allow IPv4 traffic from TAP
allow IPv6 traffic from TAP
netsh interface ip set winsservers 13 static 192.168.88.3
ipconfig /flushdns
Windows IP Configuration
Successfully flushed the DNS Resolver Cache.
TAP handle: 300b000000000000
⏎3.8.2020 klo 12.22.38 Connected via TUN_WIN
⏎3.8.2020 klo 12.22.38 EVENT: CONNECTED xxx@mun.oma.domain:1194 (88.115.120.60) via /UDPv4 on TUN_WIN/192.168.188.2/ gw=[192.168.188.1/]
⏎3.8.2020 klo 12.25.31 Session invalidated: KEEPALIVE_TIMEOUT
⏎3.8.2020 klo 12.25.31 Client terminated, restarting in 2000 ms...
⏎3.8.2020 klo 12.25.31 SetupClient: signaling tun destroy event
⏎3.8.2020 klo 12.25.33 EVENT: RECONNECTING

[EDIT2] Lisäystä vielä sen verran, että kun avaan tuon OVPN yhteyden ekaa kertaa, niin yhteys ei toimi eli esim pingi ei kulje. Sen jälkeen kun yhdistän uudelleen käsin alkaa yhteys toimimaan, kunnes se taas katkeaa ja yhdistää uudelleen, molemmat siis itsestään tälläkertaa.
 
Viimeksi muokattu:
Eihän tuo ole joku client ongelma.

Edit: Jos ei ratkea niin kannattaa postata tämä myös ketjuun.

Itsellä ei ole enää OpenVPN käytössä ja ei tullut käytettyä sitä Windowssilla. Tuolla rautapalomuuriketjussa on varmaan OpenVPN ja Windows käyttäjiä.
 
Viimeksi muokattu:
Onko missään määritetty ping ja ping-restart arvoja?

Tuo KEEPALIVE_TIMEOUT viittaisi niiden puutteeseen tai vääriin arvoihin mahdollisesti (ei tule pingiä -> luulee yhteyden olevan poikki).

pfSensessä näyttäis olevan niin, että pitää valita "Ping methodiksi" joko "keepalive" (joka on nyt päällä), tai sitten "ping".

Eli tämä on tilanne nyt:
pfsense_keepalive.JPG


Ja toinen vaihtoehto on tälläinen:
pfsense_ping.JPG


Vaihdanko tuon metodin "pingiksi" ja raksit ruutuihin "Push ping to VPN client" ja "Push ping-restart/ping-exit to VPN client"?
 
En osaa sanoa miten tarkalleen vaikuttaa, mutta eipä siinä mitään häviä ainakaan jos kokeilee.

Ei vaikuta ollenkaan...

Sen verran vielä lisäystä vikakuvaukseen, että kun yhdistän ekaa kertaa koneen käynnistyksen jälkeen, dataa ei mene läpi ollenkaan vaan se vaatii aina uudelleen yhdistämisen (joko käsin, tai automaattisesti), ennenkuin yhteys alkaa toimimaan.
 
Vaikuttaa siltä, että toi Windowsiin asennettava OpenVPN Connect on särki ku vaihdoin sen tilalle pfSensen Client Exportista ladatatun installerin asentaman softan, niin homma toimii ongelmitta :hmm:.
 
Vaikuttaa siltä, että toi Windowsiin asennettava OpenVPN Connect on särki ku vaihdoin sen tilalle pfSensen Client Exportista ladatatun installerin asentaman softan, niin homma toimii ongelmitta :hmm:.
Tuo OpenVPN Connect client on käsitykseni mukaan tarkoitettu maksulliseen OpenVPN Access Serveriin ja se ladataan Access Serverin webbisivulta.
 
Tuo OpenVPN Connect client on käsitykseni mukaan tarkoitettu maksulliseen OpenVPN Access Serveriin ja se ladataan Access Serverin webbisivulta.

Voi olla. Kuvittelin, että OpenVPN on OpenVPN ja servut/clientit toimis ongelmitta yhteen, mutta ilmeisesti näin ei ole...

Jää nyt hiertämään, että mikä niissä on erilaista, että se alkaa katkomaan tuota yhteyttä...
 
Voi olla. Kuvittelin, että OpenVPN on OpenVPN ja servut/clientit toimis ongelmitta yhteen, mutta ilmeisesti näin ei ole...

Jää nyt hiertämään, että mikä niissä on erilaista, että se alkaa katkomaan tuota yhteyttä...
OpenVPN Access Server on aika erillainen tuote vs. OpenVPN Community Edition.

 
Voi v****... Ei se ratkennutkaan tuolla asiakkaan vaihdolla... Sama ongelma edelleen. Tosin nyt huomasin, että puhelinkin katkoo yhteyttä myös.

Mutta nyt alkaa ongelma tarkentumaan. Eli en pysty pitämään yhteyttä auki samaan aikaan tietokoneessa ja puhelimessa. Käytän siis molemmissa samaa conffia ja sitä myöden samaa certtiä.

Onko tuon saman certin ja/tain käyttäjän käyttö nyt se itse ongelma?

[EDIT] Tän mukaan pitäis käyttää vipua --duplicate-cn OpenVPN:ssä, tai sitten luoda oma käyttäjä ja certti joko koneelle tai luurille: https://forums.openvpn.net/viewtopic.php?t=22326

[EDIT1] Ny vaikuttaa, että ongelma on ratkaisu viimeinkin lopullisesti, tai no ainakin voin pitää W10 konetta ja luuria yhtäaikaa kiinni OpenVPN-serverissä.

Eli ongelmana oli toi, että käytin yhtä ja samaa käyttäjätunnusta + samaa certti/avain-paria, jolloin ensimmäisenä yhdistänyt clientti tippuu pois kun myöhemmin yhdistänyt clientti ottaa yhteyden. Ja toi nimenomaan vaati, että käyttää eri käyttäjätunnusta plus certti/avain-paria eri clienteissä, eli ne on periaatteessa laitekohtaisia noi käyttäjätunnukset mitä tulee OpenVPN:n.
 
Viimeksi muokattu:

Statistiikka

Viestiketjuista
260 632
Viestejä
4 524 955
Jäsenet
74 657
Uusin jäsen
NIJO

Hinta.fi

Back
Ylös Bottom