[РЕШЕНО] Внезапно перестал работать OpenVPN (пинг есть только до ovpn-сервера)

Обсуждение настройки и работы сервисов, резервирования, сетевых настроек и вопросов безопасности ОС.

Модератор: SLEDopit

Ответить
vkapas
Сообщения: 199
ОС: Ubuntu 20.04
Контактная информация:
Контактная информация пользователя vkapas

[РЕШЕНО] Внезапно перестал работать OpenVPN

Сообщение vkapas »

Полгода пользовался зарубежным OpenVPN сервером на Rocky Linux, и несколько часов назад внезапно отвалился линк с него в интернет. Клиенты успешно подключаются, получают IP, видят сервер, но больше — ничего. В чём может быть загвоздка?
server.conf
port 443
proto udp
dev tun
ca /etc/openvpn/server/ca.crt
cert /etc/openvpn/server/server.crt
key /etc/openvpn/server/server.key
dh none
server 10.8.0.0 255.255.255.0
ifconfig-pool-persist ipp.txt
push "redirect-gateway def1 bypass-dhcp"
push "block-outside-dns"
push "dhcp-option DNS 208.67.222.222"
push "dhcp-option DNS 208.67.220.220"
keepalive 10 120
tls-crypt /etc/openvpn/server/ta.key
auth SHA256
cipher AES-256-GCM
user nobody
group nobody
persist-key
persist-tun
status openvpn-status.log
verb 3
explicit-exit-notify 1
client.conf
client
dev tun
proto udp
remote 10.20.30.40 443
resolv-retry infinite
nobind
persist-key
persist-tun
remote-cert-tls server
cipher AES-256-GCM
auth SHA256
key-direction 1
askpass /etc/openvpn/pass
script-security 2
up /etc/openvpn/update-resolv-conf
down /etc/openvpn/update-resolv-conf
verb 3
<ca>

</ca>
<cert>

</cert>
<key>

</key>
<tls-crypt>

</tls-crypt>
лог сервера
Sep 21 15:21:25 ovpn openvpn[6359]: 11.22.33.44:60585 TLS: Initial packet from [AF_INET]11.22.33.44:60585, sid=a46d7164 c76246c5
Sep 21 15:21:25 ovpn openvpn[6359]: 11.22.33.44:60585 VERIFY OK: depth=1, CN=Easy-RSA CA
Sep 21 15:21:25 ovpn openvpn[6359]: 11.22.33.44:60585 VERIFY OK: depth=0, CN=ovpn-client
Sep 21 15:21:25 ovpn openvpn[6359]: 11.22.33.44:60585 peer info: IV_VER=2.4.7
Sep 21 15:21:25 ovpn openvpn[6359]: 11.22.33.44:60585 peer info: IV_PLAT=linux
Sep 21 15:21:25 ovpn openvpn[6359]: 11.22.33.44:60585 peer info: IV_PROTO=2
Sep 21 15:21:25 ovpn openvpn[6359]: 11.22.33.44:60585 peer info: IV_NCP=2
Sep 21 15:21:25 ovpn openvpn[6359]: 11.22.33.44:60585 peer info: IV_LZ4=1
Sep 21 15:21:25 ovpn openvpn[6359]: 11.22.33.44:60585 peer info: IV_LZ4v2=1
Sep 21 15:21:25 ovpn openvpn[6359]: 11.22.33.44:60585 peer info: IV_LZO=1
Sep 21 15:21:25 ovpn openvpn[6359]: 11.22.33.44:60585 peer info: IV_COMP_STUB=1
Sep 21 15:21:25 ovpn openvpn[6359]: 11.22.33.44:60585 peer info: IV_COMP_STUBv2=1
Sep 21 15:21:25 ovpn openvpn[6359]: 11.22.33.44:60585 peer info: IV_TCPNL=1
Sep 21 15:21:25 ovpn openvpn[6359]: 11.22.33.44:60585 Control Channel: TLSv1.3, cipher TLSv1.3 TLS_AES_256_GCM_SHA384, 2048 bit RSA
Sep 21 15:21:25 ovpn openvpn[6359]: 11.22.33.44:60585 [ovpn-client] Peer Connection Initiated with [AF_INET]11.22.33.44:60585
Sep 21 15:21:25 ovpn openvpn[6359]: MULTI: new connection by client 'ovpn-client' will cause previous active sessions by this client to be dropped. Remember to>
Sep 21 15:21:25 ovpn openvpn[6359]: MULTI_sva: pool returned IPv4=10.8.0.6, IPv6=(Not enabled)
Sep 21 15:21:25 ovpn openvpn[6359]: MULTI: Learn: 10.8.0.6 -> ovpn-client/11.22.33.44:60585
Sep 21 15:21:25 ovpn openvpn[6359]: MULTI: primary virtual IP for ovpn-client/11.22.33.44:60585: 10.8.0.6
Sep 21 15:21:26 ovpn openvpn[6359]: ovpn-client/11.22.33.44:60585 PUSH: Received control message: 'PUSH_REQUEST'
Sep 21 15:21:26 ovpn openvpn[6359]: ovpn-client/11.22.33.44:60585 Outgoing Data Channel: Cipher 'AES-256-GCM' initialized with 256 bit key
Sep 21 15:21:26 ovpn openvpn[6359]: ovpn-client/11.22.33.44:60585 Incoming Data Channel: Cipher 'AES-256-GCM' initialized with 256 bit key
Sep 21 15:22:36 ovpn openvpn[6359]: read UDPv4 [ECONNREFUSED]: Connection refused (code=111)
Sep 21 15:22:46 ovpn openvpn[6359]: read UDPv4 [ECONNREFUSED]: Connection refused (code=111)
Sep 21 15:22:56 ovpn openvpn[6359]: read UDPv4 [ECONNREFUSED]: Connection refused (code=111)
Sep 21 15:23:06 ovpn openvpn[6359]: read UDPv4 [ECONNREFUSED]: Connection refused (code=111)
Sep 21 15:23:16 ovpn openvpn[6359]: read UDPv4 [ECONNREFUSED]: Connection refused (code=111)
tcpdump с сервера

Код: Выделить всё

# tcpdump -n -i tun0|grep 4.3.2.1                                                                                                         
dropped privs to tcpdump
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on tun0, link-type RAW (Raw IP), capture size 262144 bytes
15:21:29.253828 IP 10.8.0.6.37680 > 4.3.2.1.9999: Flags [S], seq 1093161769, win 64240, options [mss 1358,sackOK,TS val 3560039811 ecr 0,nop,wscale 7],
length 0
15:21:29.504331 IP 10.8.0.6.37682 > 4.3.2.1.9999: Flags [S], seq 3958350473, win 64240, options [mss 1358,sackOK,TS val 3560040061 ecr 0,nop,wscale 7],
length 0
15:21:30.283267 IP 10.8.0.6.37680 > 4.3.2.1.9999: Flags [S], seq 1093161769, win 64240, options [mss 1358,sackOK,TS val 3560040840 ecr 0,nop,wscale 7],
length 0
15:21:30.539121 IP 10.8.0.6.37682 > 4.3.2.1.9999: Flags [S], seq 3958350473, win 64240, options [mss 1358,sackOK,TS val 3560041096 ecr 0,nop,wscale 7],
length 0
15:21:32.299193 IP 10.8.0.6.37680 > 4.3.2.1.9999: Flags [S], seq 1093161769, win 64240, options [mss 1358,sackOK,TS val 3560042856 ecr 0,nop,wscale 7],
length 0
15:21:32.551086 IP 10.8.0.6.37682 > 4.3.2.1.9999: Flags [S], seq 3958350473, win 64240, options [mss 1358,sackOK,TS val 3560043108 ecr 0,nop,wscale 7],
length 0
15:21:36.518980 IP 10.8.0.6.37680 > 4.3.2.1.9999: Flags [S], seq 1093161769, win 64240, options [mss 1358,sackOK,TS val 3560047076 ecr 0,nop,wscale 7],
length 0
15:21:36.775000 IP 10.8.0.6.37682 > 4.3.2.1.9999: Flags [S], seq 3958350473, win 64240, options [mss 1358,sackOK,TS val 3560047332 ecr 0,nop,wscale 7],
length 0
15:21:44.711087 IP 10.8.0.6.37680 > 4.3.2.1.9999: Flags [S], seq 1093161769, win 64240, options [mss 1358,sackOK,TS val 3560055268 ecr 0,nop,wscale 7],
length 0
15:21:44.971031 IP 10.8.0.6.37682 > 4.3.2.1.9999: Flags [S], seq 3958350473, win 64240, options [mss 1358,sackOK,TS val 3560055528 ecr 0,nop,wscale 7],
length 0
15:22:00.842683 IP 10.8.0.6.37680 > 4.3.2.1.9999: Flags [S], seq 1093161769, win 64240, options [mss 1358,sackOK,TS val 3560071400 ecr 0,nop,wscale 7],
length 0
15:22:01.094861 IP 10.8.0.6.37682 > 4.3.2.1.9999: Flags [S], seq 3958350473, win 64240, options [mss 1358,sackOK,TS val 3560071652 ecr 0,nop,wscale 7],
length 0
1240 packets captured
1240 packets received by filter
0 packets dropped by kernel
tcpdump с клиента

Код: Выделить всё

$ sudo tcpdump -n -i tun0|grep 4.3.2.1
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on tun0, link-type RAW (Raw IP), capture size 262144 bytes
18:21:29.241499 IP 10.8.0.6.37680 > 4.3.2.1.9999: Flags [S], seq 1093161769, win 64240, options [mss 1460,sackOK,TS val 3560039811 ecr 0,nop,wscale 7], length 0
18:21:29.491863 IP 10.8.0.6.37682 > 4.3.2.1.9999: Flags [S], seq 3958350473, win 64240, options [mss 1460,sackOK,TS val 3560040061 ecr 0,nop,wscale 7], length 0
18:21:30.270792 IP 10.8.0.6.37680 > 4.3.2.1.9999: Flags [S], seq 1093161769, win 64240, options [mss 1460,sackOK,TS val 3560040840 ecr 0,nop,wscale 7], length 0
18:21:30.526812 IP 10.8.0.6.37682 > 4.3.2.1.9999: Flags [S], seq 3958350473, win 64240, options [mss 1460,sackOK,TS val 3560041096 ecr 0,nop,wscale 7], length 0
18:21:32.286851 IP 10.8.0.6.37680 > 4.3.2.1.9999: Flags [S], seq 1093161769, win 64240, options [mss 1460,sackOK,TS val 3560042856 ecr 0,nop,wscale 7], length 0
18:21:32.538799 IP 10.8.0.6.37682 > 4.3.2.1.9999: Flags [S], seq 3958350473, win 64240, options [mss 1460,sackOK,TS val 3560043108 ecr 0,nop,wscale 7], length 0
18:21:36.506770 IP 10.8.0.6.37680 > 4.3.2.1.9999: Flags [S], seq 1093161769, win 64240, options [mss 1460,sackOK,TS val 3560047076 ecr 0,nop,wscale 7], length 0
18:21:36.762779 IP 10.8.0.6.37682 > 4.3.2.1.9999: Flags [S], seq 3958350473, win 64240, options [mss 1460,sackOK,TS val 3560047332 ecr 0,nop,wscale 7], length 0
18:21:44.698782 IP 10.8.0.6.37680 > 4.3.2.1.9999: Flags [S], seq 1093161769, win 64240, options [mss 1460,sackOK,TS val 3560055268 ecr 0,nop,wscale 7], length 0
18:21:44.958807 IP 10.8.0.6.37682 > 4.3.2.1.9999: Flags [S], seq 3958350473, win 64240, options [mss 1460,sackOK,TS val 3560055528 ecr 0,nop,wscale 7], length 0
18:22:00.830819 IP 10.8.0.6.37680 > 4.3.2.1.9999: Flags [S], seq 1093161769, win 64240, options [mss 1460,sackOK,TS val 3560071400 ecr 0,nop,wscale 7], length 0
18:22:01.082784 IP 10.8.0.6.37682 > 4.3.2.1.9999: Flags [S], seq 3958350473, win 64240, options [mss 1460,sackOK,TS val 3560071652 ecr 0,nop,wscale 7], length 0
tcpdump: pcap_loop: The interface went down
1354 packets captured
1358 packets received by filter
0 packets dropped by kernel
Условный IP 4.3.2.1 с условным портом 9999 — ресурс, доступный отовсюду, в т.ч. с сервера напрямую, например, через wget.
Но при этом он недоступен для OpenVPN-клиентов после подключения к OpenVPN-серверу (как и любой другой внешний ресурс).

Возможно, совпадение (а возможно и нет), но сервер хостинга был также сегодня недоступен примерно в то же время, когда появились проблемы. Через 10 минут хостер отчитался, что всё ОК, но проблема осталась. Да и с самого сервера доступ во внешнюю сеть есть.

P.S. У клиента часовой пояс UTC+3, у сервера — UTC.
Последний раз редактировалось vkapas 22.09.2022 02:31, всего редактировалось 1 раз.
Спасибо сказали:
Вернуться к началу
vkapas
Сообщения: 199
ОС: Ubuntu 20.04
Контактная информация:
Контактная информация пользователя vkapas

Re: Внезапно перестал работать OpenVPN

Сообщение vkapas »

Да, рановато я решился на создание темы в этом разделе. Более подходящим местом было бы «Администрирование для начинающих».

Зато теперь запомнил, что работу правил iptables, которые разрешают хождение трафика, нужно проверять после настройки в т.ч. и перезагрузкой, т.к. сервис iptables может быть в статусе disabled.
Спасибо сказали:
Вернуться к началу
Ответить

Вернуться в «Администрирование»