← Вернуться в раздел «В помощь системному администратору»

» OpenVPN

Автор: admin931
Дата сообщения: 11.09.2015 02:28

подключенный VPN может менять по-хорошему только маршрутизацию
отсюда два вывода
1) простым путем разделить доступ к сайту test.www.test и RDP на том-же сервере нельзя.
но можно разделить доступ к прочим сайтам и к серверу test.www.test, маршрут на который вы можете получить от VPN-сервера.

2) в вашем случае вам нужно отказаться от получения "дефолтной" маршутизации от сервера
при этом вам скорее всего прописать маршруты до вашего сервера RDP ручками.

"секурность" - вопрос относительный... можно доверять партнером рабочий RDP, но не доверять свои личные секреты...
для работы с серверами смена маршрута по умолчанию - скорее лень админа, чтобы не разбираться с кучей проблем и меньше настраивать.

Автор: vlary
Дата сообщения: 11.09.2015 11:58

admin931
Цитата:

для работы с серверами смена маршрута по умолчанию - скорее лень админа

Зачем писать ерунду? Смена маршрута по умолчанию сделана для того,
чтобы возможный злоумышленник не смог через клиентский компьюте получить
доступ к подключенной через VPN удаленной сети.

Автор: admin931
Дата сообщения: 11.09.2015 12:44

Цитата:

Зачем писать ерунду? Смена маршрута по умолчанию сделана для того,
чтобы возможный злоумышленник не смог через клиентский компьюте получить
доступ к подключенной через VPN удаленной сети.

При правильной настройке не получит =)
Не надо путать мягкое с теплым. администратор сети должен за не следить - это его обязанность.
а вот следить за ПК клиента он уже не должен (особенно если клиент на это согласие не давал).
получается, что в вашем случае, для обеспечения безопасности сети, вы ставите под колпак всех своих клиентов... хорошо это или плохо спорный вопрос...
если ваши клиенты должны осуществлять доступ к другим ресурсам помимо ваших то вы должны брать на себя и ответственность за работу с этими ресурсами.
на самом то деле это вопрос больше доверия...
приведу пример вашего варианта

1 - ряд программ перестанет работать, т.к. они перестали быть их легитимным пользователем.
допустим мне нужен ваш терминал из дома, я к вам подключился...
и у меня тут-же отвалился банк-клиент, т.к. банк считает, что я подключился к нему из другого места - вашего офиса...

2 - я могу быть плохой бякой (например заразил свой компьютер спам-вирусом), и весь это спам пойдет через вас или будет штурмовать ваш фаервол... в любом случае это проблема которую можно было-бы избежать...

3 - я как ваш клиент допустим даже хороший, совершаю покупку в магазине, но вот вы простите плохой компаньон - вас ломанули, в результате мои учетные данные утекли/кто-то совершил покупку за мой счет.
виноват будет крайний - т.е. вы, так как перенаправили трафик через себя.

4 - и т.п.

зачем все это?
причины могут быть разными, результат один - не всегда это удобно и безопасно.
на мой взгляд, если вы предоставляете какой-то ресурс в своей сети, то не нужно лениться правильно прописать маршруты до этих самых ресурсов.
не берите на себя проблемы других.
Если ваша задача защитить ресурсы вашей сети, так защищай-те только ее. Не нужно думать за клиента.

Добавлено:

Цитата:

Смена маршрута по умолчанию сделана для того,
чтобы возможный злоумышленник не смог через клиентский компьюте получить
доступ к подключенной через VPN удаленной сети.

это простите полный бред.
начнем с того, что вы не сможете контролировать клиента полностью.

Автор: vlary
Дата сообщения: 11.09.2015 14:05

admin931
Цитата:

начнем с того, что вы не сможете контролировать клиента полностью.

Продвинутого - да. С помощью некоторых манипуляций он сможет "поправить" шлюз.
Но у него и ПК более-менее в порядке. А вот "чайников", у которых на ПК могут в изобилии
пастись трояны и бэкдоры, и которые представляют наибольшую угрозу компрометации
безопасности сети компании, контролировать можно и нужно.

Автор: StaDen
Дата сообщения: 01.10.2015 21:33

Всем привет подскажите пожалуйста, как настроить маршрутизацию через windows 2008 R2 Std SP1 к внутренней сети (192.168.1.x/24) ?
На сервере win2008 R2 поднят сервер OpenVPN 2.3.8-I601-x86_64.
IP адрес локального интерфейса сервера 192.168.1.100/24
С клиента удается только достучаться до локального интерфейса сервера.
__
Часть настроек SERVER.ovpn:
# Виртуальная подсеть, когда клиенты буду подключатся к OpenVPN серверу, они будут получать IP адрес этой сети.
server 172.18.0.0 255.255.255.0
# маршрут для сервера, чтобы видеть сети за клиентом
push "route 192.168.1.0 255.255.255.0"
# разрешает vpn-клиентам видеть друг-друга, в противном случае все vpn-клиенты будут видеть только сервер
client-to-client
__
Пробовал включить настройки маршрутизации через реестр:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Tcpip\Parameters
IpEnableRouter типа REG_DWORD значение 1
- Не помогло-(
Далее на win 2008 добавил роль Network Policy and Access Services + роль RRAS (Routing and Remove Access)
Ну и пока без результата-(

Автор: vlary
Дата сообщения: 01.10.2015 22:51

StaDen
Цитата:

С клиента удается только достучаться до локального интерфейса сервера.

Цитата:

адрес этой сети.server 172.18.0.0 255.255.255.0

А хосты сети 192.168.1.x/24 знают, что путь к сети 172.18.0.0
лежит через шлюз 192.168.1.100?
Либо настраивай тип подключения ТАР, и выдавай клиентам адреса из 192.168.1.x/24.

Автор: StaDen
Дата сообщения: 01.10.2015 23:44

vlary

Дополню
С клиента удается только достучаться до локального интерфейса сервера и естественно до туннельного интерфейса с которого ему был присвоен IP (172.18.0.x/24).

Цитата:

А хосты сети 192.168.1.x/24 знают, что путь к сети 172.18.0.0

нет, отдельно я маршрут не прописывал.

Цитата:

Либо настраивай тип подключения ТАР, и выдавай клиентам адреса из 192.168.1.x/24.

Не понял, это типа мостового соединения?

Автор: vlary
Дата сообщения: 02.10.2015 12:06

StaDen
Цитата:

нет, отдельно я маршрут не прописывал.

Ну так чего же ты тогда хочешь?
Цитата:

Не понял, это типа мостового соединения?

Именно. http://www.pavelec.net/adam/openvpn/bridge/

Автор: Dor
Дата сообщения: 05.10.2015 09:45

Всем Hi! Появилась потребность использовать OpenVPN. Первый трабл вылез с использованием версии клиента под Windows, а именно:
Скачал вот отсюда клиента
https://swupdate.openvpn.org/community/releases/openvpn-install-2.3.8-I601-x86_64.exe
Установил, создал файл конфигурации все по мануалу, но при подключении клиента в белом поле просто мигает курсор, никакого соединения не устанавливается и самое неприятное не пишется лог, по которому можно было бы понять причину ошибки. Насколько я понимаю в процессе подключения в этом белом поле как раз должны бежать строчки выполняемого текущего действия, а их нет. Может это как то включается? И почему лог файл (журнал) пустой?
действия выполнял как на 64-битной версии клиента, так и на 32 битной. Результат одинаковый. Пробовал даже на разных компьютерах.

Автор: admin931
Дата сообщения: 05.10.2015 21:28

Цитата:

Установил, создал файл конфигурации все по мануалу, но при подключении клиента в белом поле просто мигает курсор

для начала проверьте: был ли создан интерфейс?
в системе должна быть виртуальная сетевая карта с драйвером
"Tap - windоws adapter v9"

Автор: akulanikolay
Дата сообщения: 14.10.2015 19:48

Здравствуйте.
Клиенты подключенные по VPN за сервером VPN ничего не видят и наоборот.

------------------------------------------------------------------------------------------------------------
VPN сервер

Настройка протокола IP для Windows
Имя компьютера . . . . . . . . . : OPENVPN
Основной DNS-суффикс . . . . . . :
Тип узла. . . . . . . . . . . . . : неизвестный
IP-маршрутизация включена . . . . : да
WINS-прокси включен . . . . . . . : да

Интернет - Ethernet адаптер:
DNS-суффикс этого подключения . . :
Описание . . . . . . . . . . . . : Realtek RTL8139/810x Family Fast Ethernet NIC #3
Физический адрес. . . . . . . . . : 00-40-F4-B2-45-DB
Dhcp включен. . . . . . . . . . . : нет
IP-адрес . . . . . . . . . . . . : 62.78.81.24
Маска подсети . . . . . . . . . . : 255.255.255.240
Основной шлюз . . . . . . . . . . : 62.78.81.30
DNS-серверы . . . . . . . . . . . : 62.78.95.245

VPN - Ethernet адаптер:
DNS-суффикс этого подключения . . :
Описание . . . . . . . . . . . . : TAP-Windows Adapter V9
Физический адрес. . . . . . . . . : 00-FF-D5-3C-37-A8
Dhcp включен. . . . . . . . . . . : да
Автонастройка включена . . . . . : да
IP-адрес . . . . . . . . . . . . : 192.168.15.1
Маска подсети . . . . . . . . . . : 255.255.255.0
Основной шлюз . . . . . . . . . . :
DHCP-сервер . . . . . . . . . . . : 192.168.15.254
Аренда получена . . . . . . . . . : 14 октября 2015 г. 23:27:27
Аренда истекает . . . . . . . . . : 13 октября 2016 г. 23:27:27

Служебная - Ethernet адаптер:

DNS-суффикс этого подключения . . :
Описание . . . . . . . . . . . . : Marvell Yukon 88E8001/8003/8010 PCI Gigabit Ethernet Controller
Физический адрес. . . . . . . . . : 00-14-85-EE-04-0A
Dhcp включен. . . . . . . . . . . : нет
IP-адрес . . . . . . . . . . . . : 10.2.80.2
Маска подсети . . . . . . . . . . : 255.255.252.0
Основной шлюз . . . . . . . . . . :

----------------------------------------------------------------------------------------------------------
Настройки файла OpenVPN.ovpn

port 1194
proto udp
dev tun
dev-node "VPN"
dh C:\\OpenVPN\\ssl\\dh1024.pem
ca C:\\OpenVPN\\ssl\\ca.crt
cert C:\\OpenVPN\\ssl\\VPN.crt
key C:\\OpenVPN\\ssl\\VPN.key
server 192.168.15.0 255.255.255.0
cipher DES-CBC
status C:\\OpenVPN\\log\\openvpn-status.log
log C:\\OpenVPN\\log\\openvpn.log
verb 2
mute 20
max-clients 100
keepalive 10 120
client-to-client
comp-lzo
persist-key
persist-tun
#Маршруты добавляются через .exe если без него, то не у всех прописываются маршруты
route-method exe
#Задержка перед добавлением маршрута
route-delay 5
#Команда которая сообщает клиентам что за сервером локальная сеть с адресами 192.168.0.0 255.255.255.0
push "route 10.2.80.0 255.255.252.0"
#Прописывает маршрут на сервере чтобы видеть сеть за клиентом
route 192.168.1.0 255.255.255.0 192.168.15.1
#Шлюз
route-gateway 192.168.15.1
# каждому клиенту выдается по 1 адресу, без виртуальных портов маршрутизатора
topology subnet

--------------------------------------------------------------------------------------------------

Настройка файла User1.ovpn

client
proto udp
dev tun
ca ca.crt
dh dh1024.pem
cert user1.crt
key user1.key
remote 62.78.81.24 1194
cipher DES-CBC
user nobody
group nogroup
verb 2
mute 20
keepalive 10 120
comp-lzo
persist-key
persist-tun
float
resolv-retry infinite
nobind

----------------------------------------------------------------------------------------
Таблица маршрутизации на сервере

===========================================================================
‘ЇЁб®Є Ё-вҐадҐ©б®ў
0x1 ........................... MS TCP Loopback interface
0x2 ...00 40 f4 b2 45 db ...... Realtek RTL8139 Family PCI Fast Ethernet NIC #3 - Минипорт планировщика пакетов
0x30003 ...00 ff d5 3c 37 a8 ...... TAP-Windows Adapter V9 - Минипорт планировщика пакетов
0x30006 ...00 14 85 ee 04 0a ...... Marvell Yukon 88E8001/8003/8010 PCI Gigabit Ethernet Controller - Минипорт планировщика пакетов
===========================================================================
===========================================================================
ЂЄвЁў-лҐ ¬ аиагвл:
‘ҐвҐў®© ¤аҐб Њ бЄ бҐвЁ Ђ¤аҐб и«о§ €-вҐадҐ©б ЊҐваЁЄ
0.0.0.0 0.0.0.0 62.78.81.30 62.78.81.24     20
10.2.80.0 255.255.252.0 10.2.80.2 10.2.80.2     10
10.2.80.2 255.255.255.255 127.0.0.1 127.0.0.1     10
10.255.255.255 255.255.255.255 10.2.80.2 10.2.80.2     10
62.78.81.16 255.255.255.240 62.78.81.24 62.78.81.24     20
62.78.81.24 255.255.255.255 127.0.0.1 127.0.0.1     20
62.255.255.255 255.255.255.255 62.78.81.24 62.78.81.24     20
127.0.0.0 255.0.0.0 127.0.0.1 127.0.0.1     1
192.168.1.0 255.255.255.0 192.168.15.1 192.168.15.1     1
192.168.15.0 255.255.255.0 192.168.15.1 192.168.15.1     30
192.168.15.1 255.255.255.255 127.0.0.1 127.0.0.1     30
192.168.15.255 255.255.255.255 192.168.15.1 192.168.15.1     30
224.0.0.0 240.0.0.0 10.2.80.2 10.2.80.2     10
224.0.0.0 240.0.0.0 62.78.81.24 62.78.81.24     20
224.0.0.0 240.0.0.0 192.168.15.1 192.168.15.1     30
255.255.255.255 255.255.255.255 10.2.80.2 10.2.80.2     1
255.255.255.255 255.255.255.255 62.78.81.24 62.78.81.24     1
255.255.255.255 255.255.255.255 192.168.15.1 192.168.15.1     1
Ћб-®ў-®© и«о§: 62.78.81.30
===========================================================================
Џ®бв®п--лҐ ¬ аиагвл:
ЋвбгвбвўгҐв

-----------------------------------------------------------------------------------------------

Клиент

Настройка протокола IP для Windows
Имя компьютера . . . . . . . . . : i7
Основной DNS-суффикс . . . . . . :
Тип узла. . . . . . . . . . . . . : Гибридный
IP-маршрутизация включена . . . . : Нет
WINS-прокси включен . . . . . . . : Нет

Ethernet adapter vpn:

DNS-суффикс подключения . . . . . :
Описание. . . . . . . . . . . . . : TAP-Windows Adapter V9
Физический адрес. . . . . . . . . : 00-FF-3F-44-B1-5F
DHCP включен. . . . . . . . . . . : Да
Автонастройка включена. . . . . . : Да
Локальный IPv6-адрес канала . . . : fe80::6925:2a6e:8e8b:751b%25(Основной)
IPv4-адрес. . . . . . . . . . . . : 192.168.15.2(Основной)
Маска подсети . . . . . . . . . . : 255.255.255.0
Аренда получена. . . . . . . . . . : 14 октября 2015 г. 22:27:48
Срок аренды истекает. . . . . . . . . . : 13 октября 2016 г. 22:27:47
Основной шлюз. . . . . . . . . :
DHCP-сервер. . . . . . . . . . . : 192.168.15.254
IAID DHCPv6 . . . . . . . . . . . : 838926143
DUID клиента DHCPv6 . . . . . . . : 00-01-00-01-1C-7A-69-24-4C-72-B9-5E-A0-33
DNS-серверы. . . . . . . . . . . : fec0:0:0:ffff::1%1
fec0:0:0:ffff::2%1
fec0:0:0:ffff::3%1
NetBios через TCP/IP. . . . . . . . : Включен

Адаптер беспроводной локальной сети Lenovo Easyplus Hotspot
:

Состояние среды. . . . . . . . : Среда передачи недоступна.
DNS-суффикс подключения . . . . . :
Описание. . . . . . . . . . . . . : Виртуальный адаптер размещенной сети (Майкрософт)
Физический адрес. . . . . . . . . : B6-DB-C9-5A-F9-E9
DHCP включен. . . . . . . . . . . : Да
Автонастройка включена. . . . . . : Да

Адаптер беспроводной локальной сети Wi-Fi:

DNS-суффикс подключения . . . . . :
Описание. . . . . . . . . . . . . : Atheros AR1111 WB-EG Wireless Network Adapter
Физический адрес. . . . . . . . . : 94-DB-C9-5A-F9-E9
DHCP включен. . . . . . . . . . . : Нет
Автонастройка включена. . . . . . : Да
IPv4-адрес. . . . . . . . . . . . : 192.168.1.20(Основной)
Маска подсети . . . . . . . . . . : 255.255.255.0
Основной шлюз. . . . . . . . . : 192.168.15.1
192.168.1.1
DNS-серверы. . . . . . . . . . . : 212.94.96.70
212.94.96.124
NetBios через TCP/IP. . . . . . . . : Включен

Туннельный адаптер isatap.{7BB0314B-20F2-4C4C-BB01-DF034D00197D}:

Состояние среды. . . . . . . . : Среда передачи недоступна.
DNS-суффикс подключения . . . . . :
Описание. . . . . . . . . . . . . : Адаптер Microsoft ISATAP
Физический адрес. . . . . . . . . : 00-00-00-00-00-00-00-E0
DHCP включен. . . . . . . . . . . : Нет
Автонастройка включена. . . . . . : Да

Туннельный адаптер Teredo Tunneling Pseudo-Interface:

Состояние среды. . . . . . . . : Среда передачи недоступна.
DNS-суффикс подключения . . . . . :
Описание. . . . . . . . . . . . . : Teredo Tunneling Pseudo-Interface
Физический адрес. . . . . . . . . : 00-00-00-00-00-00-00-E0
DHCP включен. . . . . . . . . . . : Нет
Автонастройка включена. . . . . . : Да

Туннельный адаптер isatap.{3F44B15F-C1F0-41E4-942C-79699DEBDF66}:

Состояние среды. . . . . . . . : Среда передачи недоступна.
DNS-суффикс подключения . . . . . :
Описание. . . . . . . . . . . . . : Адаптер Microsoft ISATAP #2
Физический адрес. . . . . . . . . : 00-00-00-00-00-00-00-E0
DHCP включен. . . . . . . . . . . : Нет
Автонастройка включена. . . . . . : Да

-------------------------------------------------------------------------------------------------------------
Таблица маршрутизации на клиенте

===========================================================================
Список интерфейсов
25...00 ff 3f 44 b1 5f ......TAP-Windows Adapter V9
24...b6 db c9 5a f9 e9 ......Виртуальный адаптер размещенной сети (Майкрософт)
15...94 db c9 5a f9 e9 ......Atheros AR1111 WB-EG Wireless Network Adapter
1...........................Software Loopback Interface 1
16...00 00 00 00 00 00 00 e0 Адаптер Microsoft ISATAP
17...00 00 00 00 00 00 00 e0 Teredo Tunneling Pseudo-Interface
20...00 00 00 00 00 00 00 e0 Адаптер Microsoft ISATAP #2
===========================================================================

IPv4 таблица маршрута
===========================================================================
Активные маршруты:
Сетевой адрес Маска сети Адрес шлюза Интерфейс Метрика
0.0.0.0 0.0.0.0 192.168.15.1 192.168.1.20 281
0.0.0.0 0.0.0.0 192.168.1.1 192.168.1.20 26
10.2.80.0 255.255.252.0 192.168.15.1 192.168.15.2 20
127.0.0.0 255.0.0.0 On-link 127.0.0.1 306
127.0.0.1 255.255.255.255 On-link 127.0.0.1 306
127.255.255.255 255.255.255.255 On-link 127.0.0.1 306
192.168.1.0 255.255.255.0 On-link 192.168.1.20 281
192.168.1.20 255.255.255.255 On-link 192.168.1.20 281
192.168.1.255 255.255.255.255 On-link 192.168.1.20 281
192.168.15.0 255.255.255.0 On-link 192.168.15.2 276
192.168.15.2 255.255.255.255 On-link 192.168.15.2 276
192.168.15.255 255.255.255.255 On-link 192.168.15.2 276
224.0.0.0 240.0.0.0 On-link 127.0.0.1 306
224.0.0.0 240.0.0.0 On-link 192.168.15.2 276
224.0.0.0 240.0.0.0 On-link 192.168.1.20 281
255.255.255.255 255.255.255.255 On-link 127.0.0.1 306
255.255.255.255 255.255.255.255 On-link 192.168.15.2 276
255.255.255.255 255.255.255.255 On-link 192.168.1.20 281
===========================================================================
Постоянные маршруты:
Сетевой адрес Маска Адрес шлюза Метрика
0.0.0.0 0.0.0.0 192.168.15.1 По умолчанию
0.0.0.0 0.0.0.0 192.168.1.1 1
===========================================================================

IPv6 таблица маршрута
===========================================================================
Активные маршруты:
Метрика Сетевой адрес Шлюз
1 306 ::1/128 On-link
25 276 fe80::/64 On-link
25 276 fe80::6925:2a6e:8e8b:751b/128
On-link
1 306 ff00::/8 On-link
25 276 ff00::/8 On-link
===========================================================================
Постоянные маршруты:
Отсутствует

Автор: vlary
Дата сообщения: 14.10.2015 23:15

akulanikolay
Цитата:

Клиенты подключенные по VPN за сервером VPN ничего не видят и наоборот.

А должны? На компах за сервером маршрут к сети VPN описан?
Или сервер VPN является их дефолт шлюзом? Это же азбука, и если бы ты
потрудился почитать данную тему, то даже не стал бы задавать вопрос.
Либо используй вместо dev tun dev tap и выдавай клиентам адреса из сети 10.2.80.0 255.255.252.0.
Тогда маршруты не нужны, сервер позаботится.
И убери свои простыни под тег more, странно, что автоматика не сработала...

Автор: karavan
Дата сообщения: 29.10.2015 01:45

denis1100

Цитата:

Доброго времени суток.
Задача такая:
VPN server 10.10.10.1
есть инженеры 10.10.10.2 - 10.10.10.20
есть клиенты 10.10.10.21 - 10.10.10.254
Нужно настроить iptables дабы клиенты не видели никого, а инженеры могли ходить по ip к клиентам.
спасибо!
ОС UBUNTU 14 LTS

Я бы это дело решил так:
Развести клиентов и инженеров по разным подсетям (разными конфигами OpenVPN), и инженерам при подключении отправлять маршрут до подсети клиентов.
Если я правильно помню OpenVPN, то Вам нужна опция push.
Для моего решения в iptables потребуется строчка разрешающая пакеты между подсетями.

P.S.: В условиях одной подсети задача решения не имеет.

P.P.S.: Я бы поправил описание темы "помогите под Windоws настроить сервер приема соединений". Конфиги между версиями для винды и linux отличаются всего одной строчкой.

Автор: egoist14
Дата сообщения: 03.11.2015 14:15

добрый день!
при запуске OpenVPN Service- выдает ошибку error 1068(запускаю службу). Windows 2003 ser.
Может кто подскажет - куда капать?

Автор: admin931
Дата сообщения: 03.11.2015 19:37

Цитата:

добрый день!
при запуске OpenVPN Service- выдает ошибку error 1068(запускаю службу). Windows 2003 ser.
Может кто подскажет - куда капать?

копать логи и стартовые параметры...

Автор: egoist14
Дата сообщения: 04.11.2015 08:45

[q][/q]
Вопрос решен- поставил другую версию.

Автор: YuraseK
Дата сообщения: 12.11.2015 10:29

Очень странное поведение OpenVPN 2.3.6 при работе в качестве клиента на Windows Server 2012 R2.
Возникают странные разрывы соединения, при этом автоматическое переподключение OpenVPN не проходит успешно.
Cервером OpenVPN выступает комьютер на Windows Server 2012 R2. Все клиенты - это Windows Server 2003 R2 и Windows Server 2008 R2.
Таким образом проблемы наблюдаются только с клиентом на базе Windows Server 2012 R2.
Канал, поверх которого выполняется соединение, на 100 % стабилен.
После возникновения разрыва перезапуск службы OpenVPN на клиенте не проходит успешно.
В процессах остаётся неубиваемый openvpn.exe. Приходится перезагружать ПК.

Конфигурация клиента

Цитата:

client
dev tap
proto udp
remote 192.168.100.2 1194
nobind
persist-key
persist-tun
ca ca.crt
cert server.crt
key server.key
tls-auth ta.key 1
ns-cert-type server
cipher AES-256-CBC
comp-lzo
verb 3
log-append server.log

Конфигурация сервера

Цитата:

port 1194
proto udp
dev tap
ca ca.crt
cert proxy.crt
key proxy.key
dh dh2048.pem
server-bridge
client-to-client
keepalive 10 60
tls-auth ta.key 0
cipher AES-256-CBC
comp-lzo
persist-key
persist-tun
log-append openvpn.log
verb 3
max-routes-per-client 4096
crl-verify crl.pem

Лог клиента

Цитата:

//начало работы службы и лога

Wed Nov 11 15:40:15 2015 OpenVPN 2.3.6 x86_64-w64-mingw32 [SSL (OpenSSL)] [LZO] [PKCS11] [IPv6] built on Dec 1 2014
Wed Nov 11 15:40:15 2015 library versions: OpenSSL 1.0.1j 15 Oct 2014, LZO 2.08
Wed Nov 11 15:40:16 2015 Control Channel Authentication: using 'ta.key' as a OpenVPN static key file
Wed Nov 11 15:40:16 2015 Outgoing Control Channel Authentication: Using 160 bit message hash 'SHA1' for HMAC authentication
Wed Nov 11 15:40:16 2015 Incoming Control Channel Authentication: Using 160 bit message hash 'SHA1' for HMAC authentication
Wed Nov 11 15:40:16 2015 Socket Buffers: R=[65536->65536] S=[65536->65536]
Wed Nov 11 15:40:16 2015 UDPv4 link local: [undef]
Wed Nov 11 15:40:16 2015 UDPv4 link remote: [AF_INET]192.168.100.2:1194
Wed Nov 11 15:40:18 2015 TLS: Initial packet from [AF_INET]192.168.100.2:1194, sid=28de849b 75320d9a
Wed Nov 11 15:40:18 2015 VERIFY OK: depth=1, C=RU, ST=Msk, L=Msk, O=Company, OU=General, CN=proxy, name=proxy, emailAddress=admin@company.com
Wed Nov 11 15:40:18 2015 VERIFY OK: nsCertType=SERVER
Wed Nov 11 15:40:18 2015 VERIFY OK: depth=0, C=RU, ST=Msk, L=Msk, O=Company, OU=General, CN=proxy, name=proxy, emailAddress=admin@company.com
Wed Nov 11 15:40:18 2015 Data Channel Encrypt: Cipher 'AES-256-CBC' initialized with 256 bit key
Wed Nov 11 15:40:18 2015 Data Channel Encrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Wed Nov 11 15:40:18 2015 Data Channel Decrypt: Cipher 'AES-256-CBC' initialized with 256 bit key
Wed Nov 11 15:40:18 2015 Data Channel Decrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Wed Nov 11 15:40:18 2015 Control Channel: TLSv1, cipher TLSv1/SSLv3 DHE-RSA-AES256-SHA, 2048 bit RSA
Wed Nov 11 15:40:18 2015 [proxy] Peer Connection Initiated with [AF_INET]192.168.100.2:1194
Wed Nov 11 15:40:20 2015 SENT CONTROL [proxy]: 'PUSH_REQUEST' (status=1)
Wed Nov 11 15:40:20 2015 PUSH: Received control message: 'PUSH_REPLY,route-proxy dhcp,ping 10,ping-restart 60'
Wed Nov 11 15:40:20 2015 OPTIONS IMPORT: timers and/or timeouts modified
Wed Nov 11 15:40:20 2015 OPTIONS IMPORT: route-related options modified
Wed Nov 11 15:40:20 2015 open_tun, tt->ipv6=0
Wed Nov 11 15:40:20 2015 TAP-WIN32 device [OpenVPN] opened: \\.\Global\{B2BDB612-3EF7-42C1-89E4-980FB525B67F}.tap
Wed Nov 11 15:40:20 2015 TAP-Windows Driver Version 9.21
Wed Nov 11 15:40:20 2015 NOTE: FlushIpNetTable failed on interface [16] {B2BDB612-3EF7-42C1-89E4-980FB525B67F} (status=1168) : Элемент не найден.
Wed Nov 11 15:40:25 2015 TEST ROUTES: 0/0 succeeded len=0 ret=1 a=0 u/d=up
Wed Nov 11 15:40:25 2015 Initialization Sequence Completed

//блок лога повторяется каждый час

Wed Nov 11 16:40:17 2015 VERIFY OK: depth=1, C=RU, ST=Msk, L=Msk, O=Company, OU=General, CN=proxy, name=proxy, emailAddress=admin@company.com
Wed Nov 11 16:40:17 2015 VERIFY OK: nsCertType=SERVER
Wed Nov 11 16:40:17 2015 VERIFY OK: depth=0, C=RU, ST=Msk, L=Msk, O=Company, OU=General, CN=proxy, name=proxy, emailAddress=admin@company.com
Wed Nov 11 16:40:17 2015 Data Channel Encrypt: Cipher 'AES-256-CBC' initialized with 256 bit key
Wed Nov 11 16:40:17 2015 Data Channel Encrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Wed Nov 11 16:40:17 2015 Data Channel Decrypt: Cipher 'AES-256-CBC' initialized with 256 bit key
Wed Nov 11 16:40:17 2015 Data Channel Decrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Wed Nov 11 16:40:17 2015 Control Channel: TLSv1, cipher TLSv1/SSLv3 DHE-RSA-AES256-SHA, 2048 bit RSA

... //пропущены повторяющиеся блоки (меняются только в большую сторону значения bytes и pkts)

Wed Nov 11 22:40:17 2015 TLS: soft reset sec=0 bytes=588646472/0 pkts=1039096/0
Wed Nov 11 22:40:17 2015 VERIFY OK: depth=1, C=RU, ST=Msk, L=Msk, O=Company, OU=General, CN=proxy, name=proxy, emailAddress=admin@company.com
Wed Nov 11 22:40:17 2015 VERIFY OK: nsCertType=SERVER
Wed Nov 11 22:40:17 2015 VERIFY OK: depth=0, C=RU, ST=Msk, L=Msk, O=Company, OU=General, CN=proxy, name=proxy, emailAddress=admin@company.com
Wed Nov 11 22:40:17 2015 Data Channel Encrypt: Cipher 'AES-256-CBC' initialized with 256 bit key
Wed Nov 11 22:40:17 2015 Data Channel Encrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Wed Nov 11 22:40:17 2015 Data Channel Decrypt: Cipher 'AES-256-CBC' initialized with 256 bit key
Wed Nov 11 22:40:17 2015 Data Channel Decrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Wed Nov 11 22:40:17 2015 Control Channel: TLSv1, cipher TLSv1/SSLv3 DHE-RSA-AES256-SHA, 2048 bit RSA

//начало необъяснимой проблемы (блок лога постоянно повторяется, меняется только значение sid)

Wed Nov 11 23:11:59 2015 [proxy] Inactivity timeout (--ping-restart), restarting
Wed Nov 11 23:11:59 2015 SIGUSR1[soft,ping-restart] received, process restarting
Wed Nov 11 23:11:59 2015 Restart pause, 2 second(s)
Wed Nov 11 23:12:01 2015 Socket Buffers: R=[65536->65536] S=[65536->65536]
Wed Nov 11 23:12:01 2015 UDPv4 link local: [undef]
Wed Nov 11 23:12:01 2015 UDPv4 link remote: [AF_INET]192.168.100.2:1194
Wed Nov 11 23:12:01 2015 TLS: Initial packet from [AF_INET]192.168.100.2:1194, sid=ad8be507 20078c2e
Wed Nov 11 23:12:01 2015 VERIFY OK: depth=1, C=RU, ST=Msk, L=Msk, O=Company, OU=General, CN=proxy, name=proxy, emailAddress=admin@company.com
Wed Nov 11 23:12:01 2015 VERIFY OK: nsCertType=SERVER
Wed Nov 11 23:12:01 2015 VERIFY OK: depth=0, C=RU, ST=Msk, L=Msk, O=Company, OU=General, CN=proxy, name=proxy, emailAddress=admin@company.com
Wed Nov 11 23:12:01 2015 Data Channel Encrypt: Cipher 'AES-256-CBC' initialized with 256 bit key
Wed Nov 11 23:12:01 2015 Data Channel Encrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Wed Nov 11 23:12:01 2015 Data Channel Decrypt: Cipher 'AES-256-CBC' initialized with 256 bit key
Wed Nov 11 23:12:01 2015 Data Channel Decrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Wed Nov 11 23:12:01 2015 Control Channel: TLSv1, cipher TLSv1/SSLv3 DHE-RSA-AES256-SHA, 2048 bit RSA
Wed Nov 11 23:12:01 2015 [proxy] Peer Connection Initiated with [AF_INET]192.168.100.2:1194
Wed Nov 11 23:12:03 2015 SENT CONTROL [proxy]: 'PUSH_REQUEST' (status=1)
Wed Nov 11 23:12:08 2015 SENT CONTROL [proxy]: 'PUSH_REQUEST' (status=1)
Wed Nov 11 23:12:13 2015 SENT CONTROL [proxy]: 'PUSH_REQUEST' (status=1)
Wed Nov 11 23:12:18 2015 SENT CONTROL [proxy]: 'PUSH_REQUEST' (status=1)
Wed Nov 11 23:12:23 2015 SENT CONTROL [proxy]: 'PUSH_REQUEST' (status=1)
Wed Nov 11 23:12:28 2015 SENT CONTROL [proxy]: 'PUSH_REQUEST' (status=1)
Wed Nov 11 23:12:33 2015 SENT CONTROL [proxy]: 'PUSH_REQUEST' (status=1)
Wed Nov 11 23:12:38 2015 SENT CONTROL [proxy]: 'PUSH_REQUEST' (status=1)
Wed Nov 11 23:12:43 2015 SENT CONTROL [proxy]: 'PUSH_REQUEST' (status=1)
Wed Nov 11 23:12:48 2015 SENT CONTROL [proxy]: 'PUSH_REQUEST' (status=1)
Wed Nov 11 23:12:53 2015 SENT CONTROL [proxy]: 'PUSH_REQUEST' (status=1)
Wed Nov 11 23:12:58 2015 SENT CONTROL [proxy]: 'PUSH_REQUEST' (status=1)

Сервер почему-то не отвечает на PUSH_REQUEST.

Лог сервера

Цитата:

Wed Nov 11 23:11:58 2015 read UDPv4: Connection reset by peer (WSAECONNRESET) (code=10054)
Wed Nov 11 23:11:59 2015 read UDPv4: Connection reset by peer (WSAECONNRESET) (code=10054)
Wed Nov 11 23:12:00 2015 read UDPv4: Connection reset by peer (WSAECONNRESET) (code=10054)

Wed Nov 11 23:12:00 2015 192.168.100.1:56124 TLS: Initial packet from [AF_INET]192.168.100.1:56124, sid=833208f7 0a621eda
Wed Nov 11 23:12:01 2015 192.168.100.1:56124 CRL CHECK OK: C=RU, ST=Msk, L=Msk, O=Company, OU=General, CN=proxy, name=proxy, emailAddress=admin@company.com
Wed Nov 11 23:12:01 2015 192.168.100.1:56124 VERIFY OK: depth=1, C=RU, ST=Msk, L=Msk, O=Company, OU=General, CN=proxy, name=proxy, emailAddress=admin@company.com
Wed Nov 11 23:12:01 2015 192.168.100.1:56124 CRL CHECK OK: C=RU, ST=Msk, L=Msk, O=Company, OU=G, CN=server, name=., emailAddress=admin@company.com
Wed Nov 11 23:12:01 2015 192.168.100.1:56124 VERIFY OK: depth=0, C=RU, ST=Msk, L=Msk, O=Company, OU=G, CN=server, name=., emailAddress=admin@company.com
Wed Nov 11 23:12:01 2015 192.168.100.1:56124 Data Channel Encrypt: Cipher 'AES-256-CBC' initialized with 256 bit key
Wed Nov 11 23:12:01 2015 192.168.100.1:56124 Data Channel Encrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Wed Nov 11 23:12:01 2015 192.168.100.1:56124 Data Channel Decrypt: Cipher 'AES-256-CBC' initialized with 256 bit key
Wed Nov 11 23:12:01 2015 192.168.100.1:56124 Data Channel Decrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Wed Nov 11 23:12:01 2015 192.168.100.1:56124 Control Channel: TLSv1, cipher TLSv1/SSLv3 DHE-RSA-AES256-SHA, 2048 bit RSA
Wed Nov 11 23:12:01 2015 192.168.100.1:56124 [server] Peer Connection Initiated with [AF_INET]192.168.100.1:56124
Wed Nov 11 23:12:01 2015 MULTI: new connection by client 'server' will cause previous active sessions by this client to be dropped. Remember to use the --duplicate-cn option if you want multiple clients using the same certificate or username to concurrently connect.
Wed Nov 11 23:12:01 2015 MULTI: no dynamic or static remote --ifconfig address is available for server/192.168.100.1:56124
Wed Nov 11 23:12:02 2015 server/192.168.100.1:56124 PUSH: Received control message: 'PUSH_REQUEST'
Wed Nov 11 23:12:02 2015 server/192.168.100.1:56124 send_push_reply(): safe_cap=940
Wed Nov 11 23:12:02 2015 server/192.168.100.1:56124 SENT CONTROL [server]: 'PUSH_REPLY,route-proxy dhcp,ping 10,ping-restart 60' (status=1)
Wed Nov 11 23:12:07 2015 server/192.168.100.1:56124 PUSH: Received control message: 'PUSH_REQUEST'
Wed Nov 11 23:12:13 2015 server/192.168.100.1:56124 PUSH: Received control message: 'PUSH_REQUEST'
Wed Nov 11 23:12:18 2015 server/192.168.100.1:56124 PUSH: Received control message: 'PUSH_REQUEST'
Wed Nov 11 23:13:01 2015 read UDPv4: Connection reset by peer (WSAECONNRESET) (code=10054)
...
Wed Nov 11 23:13:04 2015 read UDPv4: Connection reset by peer (WSAECONNRESET) (code=10054)

Wed Nov 11 23:13:04 2015 192.168.100.1:60238 TLS: Initial packet from [AF_INET]192.168.100.1:60238, sid=c5ac6671 3f69009a
Wed Nov 11 23:13:05 2015 192.168.100.1:60238 CRL CHECK OK: C=RU, ST=Msk, L=Msk, O=Company, OU=General, CN=proxy, name=proxy, emailAddress=admin@company.com
Wed Nov 11 23:13:05 2015 192.168.100.1:60238 VERIFY OK: depth=1, C=RU, ST=Msk, L=Msk, O=Company, OU=General, CN=proxy, name=proxy, emailAddress=admin@company.com
Wed Nov 11 23:13:05 2015 192.168.100.1:60238 CRL CHECK OK: C=RU, ST=Msk, L=Msk, O=Company, OU=G, CN=server, name=., emailAddress=admin@company.com
Wed Nov 11 23:13:05 2015 192.168.100.1:60238 VERIFY OK: depth=0, C=RU, ST=Msk, L=Msk, O=Company, OU=G, CN=server, name=., emailAddress=admin@company.com
Wed Nov 11 23:13:05 2015 192.168.100.1:60238 Data Channel Encrypt: Cipher 'AES-256-CBC' initialized with 256 bit key
Wed Nov 11 23:13:05 2015 192.168.100.1:60238 Data Channel Encrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Wed Nov 11 23:13:05 2015 192.168.100.1:60238 Data Channel Decrypt: Cipher 'AES-256-CBC' initialized with 256 bit key
Wed Nov 11 23:13:05 2015 192.168.100.1:60238 Data Channel Decrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Wed Nov 11 23:13:05 2015 192.168.100.1:60238 Control Channel: TLSv1, cipher TLSv1/SSLv3 DHE-RSA-AES256-SHA, 2048 bit RSA
Wed Nov 11 23:13:05 2015 192.168.100.1:60238 [server] Peer Connection Initiated with [AF_INET]192.168.100.1:60238
Wed Nov 11 23:13:05 2015 MULTI: new connection by client 'server' will cause previous active sessions by this client to be dropped. Remember to use the --duplicate-cn option if you want multiple clients using the same certificate or username to concurrently connect.
Wed Nov 11 23:13:05 2015 MULTI: no dynamic or static remote --ifconfig address is available for server/192.168.100.1:60238
Wed Nov 11 23:13:06 2015 server/192.168.100.1:60238 PUSH: Received control message: 'PUSH_REQUEST'
Wed Nov 11 23:13:06 2015 server/192.168.100.1:60238 send_push_reply(): safe_cap=940
Wed Nov 11 23:13:06 2015 server/192.168.100.1:60238 SENT CONTROL [server]: 'PUSH_REPLY,route-proxy dhcp,ping 10,ping-restart 60' (status=1)
Wed Nov 11 23:13:11 2015 server/192.168.100.1:60238 PUSH: Received control message: 'PUSH_REQUEST'
Wed Nov 11 23:13:16 2015 server/192.168.100.1:60238 PUSH: Received control message: 'PUSH_REQUEST'
Wed Nov 11 23:13:21 2015 server/192.168.100.1:60238 PUSH: Received control message: 'PUSH_REQUEST'
Wed Nov 11 23:14:05 2015 read UDPv4: Connection reset by peer (WSAECONNRESET) (code=10054)
...
Wed Nov 11 23:14:08 2015 read UDPv4: Connection reset by peer (WSAECONNRESET) (code=10054)

Wed Nov 11 23:14:09 2015 192.168.100.1:55086 TLS: Initial packet from [AF_INET]192.168.100.1:55086, sid=c124b9cb 9acac1c2
Wed Nov 11 23:14:09 2015 192.168.100.1:55086 CRL CHECK OK: C=RU, ST=Msk, L=Msk, O=Company, OU=General, CN=proxy, name=proxy, emailAddress=admin@company.com
Wed Nov 11 23:14:09 2015 192.168.100.1:55086 VERIFY OK: depth=1, C=RU, ST=Msk, L=Msk, O=Company, OU=General, CN=proxy, name=proxy, emailAddress=admin@company.com
Wed Nov 11 23:14:09 2015 192.168.100.1:55086 CRL CHECK OK: C=RU, ST=Msk, L=Msk, O=Company, OU=G, CN=server, name=., emailAddress=admin@company.com
Wed Nov 11 23:14:09 2015 192.168.100.1:55086 VERIFY OK: depth=0, C=RU, ST=Msk, L=Msk, O=Company, OU=G, CN=server, name=., emailAddress=admin@company.com
Wed Nov 11 23:14:09 2015 192.168.100.1:55086 Data Channel Encrypt: Cipher 'AES-256-CBC' initialized with 256 bit key
Wed Nov 11 23:14:09 2015 192.168.100.1:55086 Data Channel Encrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Wed Nov 11 23:14:09 2015 192.168.100.1:55086 Data Channel Decrypt: Cipher 'AES-256-CBC' initialized with 256 bit key
Wed Nov 11 23:14:09 2015 192.168.100.1:55086 Data Channel Decrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Wed Nov 11 23:14:09 2015 192.168.100.1:55086 Control Channel: TLSv1, cipher TLSv1/SSLv3 DHE-RSA-AES256-SHA, 2048 bit RSA
Wed Nov 11 23:14:09 2015 192.168.100.1:55086 [server] Peer Connection Initiated with [AF_INET]192.168.100.1:55086
Wed Nov 11 23:14:09 2015 MULTI: new connection by client 'server' will cause previous active sessions by this client to be dropped. Remember to use the --duplicate-cn option if you want multiple clients using the same certificate or username to concurrently connect.
Wed Nov 11 23:14:09 2015 MULTI: no dynamic or static remote --ifconfig address is available for server/192.168.100.1:55086
Wed Nov 11 23:14:10 2015 server/192.168.100.1:55086 PUSH: Received control message: 'PUSH_REQUEST'
Wed Nov 11 23:14:10 2015 server/192.168.100.1:55086 send_push_reply(): safe_cap=940
Wed Nov 11 23:14:10 2015 server/192.168.100.1:55086 SENT CONTROL [server]: 'PUSH_REPLY,route-proxy dhcp,ping 10,ping-restart 60' (status=1)
Wed Nov 11 23:14:15 2015 server/192.168.100.1:55086 PUSH: Received control message: 'PUSH_REQUEST'
Wed Nov 11 23:14:20 2015 server/192.168.100.1:55086 PUSH: Received control message: 'PUSH_REQUEST'
Wed Nov 11 23:14:26 2015 server/192.168.100.1:55086 PUSH: Received control message: 'PUSH_REQUEST'
Wed Nov 11 23:15:08 2015 read UDPv4: Connection reset by peer (WSAECONNRESET) (code=10054)
...
Wed Nov 11 23:15:12 2015 read UDPv4: Connection reset by peer (WSAECONNRESET) (code=10054)

Wed Nov 11 23:15:12 2015 192.168.100.1:51469 TLS: Initial packet from [AF_INET]192.168.100.1:51469, sid=49ef6d20 d7f4ed3c
Wed Nov 11 23:15:12 2015 192.168.100.1:51469 CRL CHECK OK: C=RU, ST=Msk, L=Msk, O=Company, OU=General, CN=proxy, name=proxy, emailAddress=admin@company.com
Wed Nov 11 23:15:12 2015 192.168.100.1:51469 VERIFY OK: depth=1, C=RU, ST=Msk, L=Msk, O=Company, OU=General, CN=proxy, name=proxy, emailAddress=admin@company.com
Wed Nov 11 23:15:12 2015 192.168.100.1:51469 CRL CHECK OK: C=RU, ST=Msk, L=Msk, O=Company, OU=G, CN=server, name=., emailAddress=admin@company.com
Wed Nov 11 23:15:12 2015 192.168.100.1:51469 VERIFY OK: depth=0, C=RU, ST=Msk, L=Msk, O=Company, OU=G, CN=server, name=., emailAddress=admin@company.com
Wed Nov 11 23:15:12 2015 192.168.100.1:51469 Data Channel Encrypt: Cipher 'AES-256-CBC' initialized with 256 bit key
Wed Nov 11 23:15:12 2015 192.168.100.1:51469 Data Channel Encrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Wed Nov 11 23:15:12 2015 192.168.100.1:51469 Data Channel Decrypt: Cipher 'AES-256-CBC' initialized with 256 bit key
Wed Nov 11 23:15:12 2015 192.168.100.1:51469 Data Channel Decrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Wed Nov 11 23:15:12 2015 192.168.100.1:51469 Control Channel: TLSv1, cipher TLSv1/SSLv3 DHE-RSA-AES256-SHA, 2048 bit RSA
Wed Nov 11 23:15:12 2015 192.168.100.1:51469 [server] Peer Connection Initiated with [AF_INET]192.168.100.1:51469
Wed Nov 11 23:15:12 2015 MULTI: new connection by client 'server' will cause previous active sessions by this client to be dropped. Remember to use the --duplicate-cn option if you want multiple clients using the same certificate or username to concurrently connect.
Wed Nov 11 23:15:12 2015 MULTI: no dynamic or static remote --ifconfig address is available for server/192.168.100.1:51469
Wed Nov 11 23:15:14 2015 server/192.168.100.1:51469 PUSH: Received control message: 'PUSH_REQUEST'
Wed Nov 11 23:15:14 2015 server/192.168.100.1:51469 send_push_reply(): safe_cap=940
Wed Nov 11 23:15:14 2015 server/192.168.100.1:51469 SENT CONTROL [server]: 'PUSH_REPLY,route-proxy dhcp,ping 10,ping-restart 60' (status=1)
Wed Nov 11 23:15:19 2015 server/192.168.100.1:51469 PUSH: Received control message: 'PUSH_REQUEST'
Wed Nov 11 23:15:24 2015 server/192.168.100.1:51469 PUSH: Received control message: 'PUSH_REQUEST'
Wed Nov 11 23:15:29 2015 server/192.168.100.1:51469 PUSH: Received control message: 'PUSH_REQUEST'
Wed Nov 11 23:16:12 2015 read UDPv4: Connection reset by peer (WSAECONNRESET) (code=10054)
...
Wed Nov 11 23:16:16 2015 read UDPv4: Connection reset by peer (WSAECONNRESET) (code=10054)

Таким образом не ясна причина возникновения разрыва соединения, после которого сервер считает, что соединение активно и не позволяет выполнить тому же клиенту повторное подключение.
Я пока включил на сервере опцию duplicate-cn, чтобы было возможно повторное подключение.
Может кто сталкивался с таким поведением OpenVPN?

Автор: admin931
Дата сообщения: 12.11.2015 22:51

если перейти на tcp проблема сохранится?
года два назад подобное было, тогда все свалили на провайдера, на tcp проблема не наблюдалась.

Автор: vlary
Дата сообщения: 13.11.2015 00:43

YuraseK Поставь SoftEther VPN и не мучайся.

Автор: akulanikolay
Дата сообщения: 13.11.2015 09:09

Помогите решить проблему представленную в документе.
https://yadi.sk/i/pU6pCNT3kRcaY

Автор: vlary
Дата сообщения: 13.11.2015 12:30

akulanikolay Ну уж нахрен что-то там качать (архив с вирусом-шифровальщиком)?
Пиши проблему сюда своими словами.

Автор: YuraseK
Дата сообщения: 13.11.2015 12:48

admin931
TCP - не выход. Если я не ошибаюсь, то одновременно на сервере OpenVPN нельзя использовать TCP и UDP. Поправьте меня если что. При использовании UDP гораздо выше пропускная способность, меньше задержки.
vlary
SoftEther VPN может работать как служба, а также работать по аналогии с OpenVPN в мосте, пропуская бродкаст трафик?
Из интересных моментов, когда сбой может повторится (ситуация не всегда воспроизводится, но в эти моменты проблема проявляется с высокой долей вероятности):
- если по RDP активен один сеанс и параллельно осуществляется вход по RDP другого пользователя;
- если в сеансе RDP свернуть Проводник;
- если в сеансе RDP в проводнике открыть папку системного диска C (с жёстким диском 100 % всё ok).
P.S. Закономерность есть: по каждому из пунктов срабатывает только по одному разу. Как бы каждое из событий приводит к проблеме. Кроме этих событий явно есть ещё какие-то, суть которых я ещё не уловил. Таким образом проблема точно кроется в связке клиент OpenVPN и Windows Server 2012 R2. Даже если смотреть по процессам, создаваемым OpenVPN, то, например, с идентичными конфигурациями OpenVPN на Windows Server 2008 R2 создаёт всего два процесса (openvpnserv.exe > openvpn.exe), каждый из которых в свою очередь использует ровно 3 потока, а на Windows Server 2012 R2 картина уже другая: создаётся три процесса (openvpnserv.exe > openvpn.exe > conhost.exe) c количеством потоков 2, 3 и 2 соответственно, количество которых в процессе работы может уменьшаться до 2, 1, 2.

Автор: vlary
Дата сообщения: 13.11.2015 13:51

YuraseK
Цитата:

SoftEther VPN может работать как служба, а также работать по аналогии с OpenVPN в мосте, пропуская бродкаст трафик?

Может. Более того, ты можешь даже объединить сетки по L2.
Сходи на офсайт, посмотри фичи и примеры. Думаю, тебе понравится.

Автор: YuraseK
Дата сообщения: 13.11.2015 15:24

vlary
Как-то очень давно пытался разобраться с SoftEther VPN, но ничего не получилось.
В этот раз более основательно попробую. Вроде как на оффсайте всё подробно расписано.

Добавлено:
Ура! Удалось локализовать источник проблемы в работе OpenVPN - им оказался Kaspersky Endpoint Security 10.2.2.10535. В этой версии по сути работает только файловый модуль и сетевой экран. Только удаление программы решило проблему (выгрузка антивируса в процессе работы системы не влияла на ситуацию).

Автор: vlary
Дата сообщения: 13.11.2015 19:51

YuraseK
Цитата:

Удалось локализовать источник проблемы в работе OpenVPN
- им оказался Kaspersky Endpoint Security

Очень гнусная шняга. Постоянно сталкивался с тем,
что он мешает работе и других VPN, Cisco AnyConnect например.

Автор: fire667
Дата сообщения: 13.11.2015 20:52

YuraseK
RDP vs OpenVPN или RDP vs SoftEther это явно не тема для топика т.к. это то же самое, что сравнивать теплое с мягким или круглое с твердым т.е. совершенно разные технологии для разных областей
з.ы. IMHO
з.з.ы. на каком уровне OSI RDP и на каком OpenVPN и SoftEther ?...

Автор: vlary
Дата сообщения: 13.11.2015 23:36

fire667
Цитата:

RDP vs OpenVPN или RDP vs SoftEther это явно не тема для топика

Собственно, человек жаловался на частые обрывы OpenVPN, особенно при работе RDP
и на то, что соединение не восстанавливается.
Я посоветовал ему перейти на SoftEther, совместимый с OpenVPN.
Так что уровни OSI здесь не при чем.

Автор: cxzyaka
Дата сообщения: 30.11.2015 07:55

Помогите, пожалуйста, решить проблему.
Настроил опенвпн, он работает, но раз в сутки перестает работать, решается проблема весьма странно (как по мне, может что не так сделал?)

Имеем сервак в сети 192.168.0.*, его ип 192.168.0.111, внешний ип у сети 2.2.2.2, инет раздает юзергейт по ппое
Конфиг сервера, делал по гайду:
# Поднимаем L3-туннель
dev tun

# Протокол
proto tcp

# Порт который слушает впн
port 1194

# Ключи и сертификаты
ca ca.crt
cert okis.crt
key okis.key
dh dh1024.pem

# Грубо говоря экономим адреса
topology subnet

# Пул адресов
server 10.8.0.0 255.255.255.0

# Метод шифрования
cipher AES-128-CBC

# Сжатие
comp-lzo

# Немного улучшит пинг
mssfix

# Время жизни клиентов, если не откликнулся — отключает
keepalive 10 120

# Уровень отладки
verb 3

#разрешить одинаковые сертификаты
duplicate-cn

#интернет и днс
push «redirect-gateway def1»
push «dhcp-option DNS 8.8.8.8»
push «dhcp-option DNS 8.8.4.4»

В юзергейте правила в таком порядке:
3.3.3.3 (внешний ип клиента) - по порту 1194 транслировать на 192.168.0.111 (локальный ип сервера)
все локальные адреса по любым портам, обращающие к ппое соединению идут по НАТу

Соответственно есть клиенты, внешний ип которых 3.3.3.3, интернет раздает роутер (там настроек дополнительных не делал), айпи адреса клиентов: 192.168.0.2-192.168.0.5

конфиг:
client
dev tun
proto tcp
remote 2.2.2.2 1194
ca ca.crt
cert client.crt
key client.key
cipher AES-128-CBC
nobind
comp-lzo
persist-key
persist-tun
verb 3

так вот, раз в сутки (после ребута компов-клиентов) у них перестает работать опенвпн, не соединяется с сервером, в логе сервера не указывается, что они пытаются соединиться, эксперементальным путем выяснил, что если в юзергейте изменить порядок правил - поставить нат перед трансляцией порта, то опенвпн работает до следующего ребута компов, когда не работает, снова меняю порядок на старый - ставлю трансляцию порта перед нат, и снова работает до ребута

на компах стоит есет ендпоинт секьюрити, отключение которого ничего не меняет, в нем созданы правила, тем более, в нем созданы разрешающие программ работать

что я делаю не так?

Автор: Arcadaw
Дата сообщения: 30.11.2015 09:54

Добрый день!

Прошу подсказать, как лучше настроить сервер openvpn на роутер asus rt-n66u.
Включаю OpenVPN, задаю логин и пароль. Экспортирую файл *.ovpn, который затем переписываю в другом месте под программу openvpn for windows. Т.е. файл *.ovpn постоянно висит в папке программы openvpn for windows.

Вопросы:
1. Как настроить всякие: Режим авторизации, Модификация ключей и сертификацию, Username/Password Authentication, Дополнительная авторизация HMAC, Шифр шифрования, Сжатие и т.д. Прошивка 378.56_2.
2. если поставить включить Username/Password Authentication, то при подсоединению запрашивается пароль, который затем запоминается. Но при этом в логе говорится, что пароль кэшируется и это не есть безопасно. Как это исправить? Будет ли безопасно, если не буду включать Username/Password Authentication?
3. Как все это и остальное безопасно и удобно устроить?

Автор: isesam
Дата сообщения: 02.12.2015 08:41

Глупый, может вопрос, но:

Верно ли, что сервер ovpn позволяет подключаться либо только по udp, либо только по tcp?

Человек, который прислал конфиг клиента, утверждает, что поменять udp на tcp- и все будет работать. Имею: по udp работает, по tcp- Нет.

ошибка в логе выглядит так:
:1194 failed, will try again in 5 seconds: Попытка объединить диск с папкой на объединенном диске.

Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73

Предыдущая тема: конвертация mdf в sql

Форум Ru-Board.club — поднят 15-09-2016 числа. Цель - сохранить наследие старого Ru-Board, истории становления российского интернета. Сделано для людей.