Comments | klink0v: Мозговой штурм

klink0v

Мозговой штурм

Mar 03, 2023 22:32

У моего товарища little_gutgin на работе случилась какая-то НЁХ.

Есть OpenVPN сервер на Ubuntu в Нерезиновске. Есть энное количество OpenVPN-клиентов в разных регионах России, в том числе во Владивостоке и в Иркутске. Интернет-провайдеры везде разные, операционные системы везде тоже разные. С некоторым количестом клиентов, которые работают из-под Windows 7 где- ( Read more... )

загадки, сети, openvpn

Comments 11

edo_rus March 3 2023, 20:20:29 UTC

Сомневаюсь, что дело в этом, но у меня с виндовыми клиентами гораздо стабильнее работает с `no-replay`

rustedowl March 6 2023, 07:52:17 UTC

Параметр удален, начиная с OpenVPN 2.5

dennis_chikin March 3 2023, 22:31:06 UTC

w7 + udp + определенное время - ну, у меня дома такое. Чуть более года назад началось. Провайдер так и говорит, что прячьте свою винду за роутером. Ибо у них все перенастроено по рекомендациям лучших мурзилок с дзенов.

Ну а так у нас в конторке более другой провайдер рвал, и рвать будет - и тоже сам и так и говорит, честно и откровенно. "В целях биллинга!"

destroy2build March 3 2023, 22:56:22 UTC

мне как то неприлично это говорить здесь, но у вин7 же есть такие удобные журналы диагностики в реальном времени? Там ничего в то же время в них не появляется? А то может там в это время какой нить плагин хеши меняет, шифрование отваливается, такое вот. В журналке приложений тогда об этом сказано обычно. Такой то айди процесс вызвал ошибку такую то, режем трафик. Я не спец конечно.

dn54 March 4 2023, 14:10:25 UTC

Два чая этому господину. Искать такое в журналах, конечно, довольно специфическое развлечение, но польза в этом может быть.

little_gutgin March 4 2023, 07:34:08 UTC

Да, я читаю, и внесу кое-какие коменты:

1. Провыйдер Мегафон. Сменил адресацию сети. Через неделю началось.

2. Сервер OpenVPN ( Centos7, OpenVpn 2.4.7) за NAT-oм проработал 3 года без сбоев от слова вообще.

3. Сервер OpenVPN ( Ubuntu 20.04, OpenVpn 2.5.9) с "прямым" адресом - ровно теже грабли что и с п.2

4. Отваливаются клиенты 26 шт ( Win7) в регионах, причем отваливаются одновременно - пакет в пакет ( по крайней мере 3шт - это сам наблюдаю) . Но клиенты в МСК например не отваливаются, их штук 15 с Win7

5. На клиентах TAP ( от версии клиента OpenVPN - не зависит). Стояли и 2.3.8, и 2.4.6, и 2.5.9 и 2.6.0 Только протокол UDP

6. TCP и "windows-driver wintun" на клиентах - проблему решает.

7. Но!!! TCP не устраивает, Владивосток/Иркутск работает на сервере в офисе в МСК по RDP - очень медленно, жуткие задержки ((((

rustedowl March 6 2023, 08:07:27 UTC

Используется стандартный порт 1194 или какой-то другой?
Что пишет клиент в логе перед разрывом, если хоть что-нибудь пишет (поставить verb 4 на клиенте)
Время на клиентах синхронизировано из одной точки?
Если проблема в том что клиент меняет Source Port, а сервер об этом не слухом не духом, то можно либо задать на сервере директиву float

valdikss March 11 2023, 09:57:23 UTC

Может, какой-то bitflip где-то на промежуточном роутере?

Можете прислать дамп трафика мне?

klink0v March 11 2023, 19:43:24 UTC

Насчет bitflip маловероятно. Я сравнивал дампы. Они совпадают на отправителе и получателе. Скорее, кто-то из транзитных внезапно шлёт ICMP Port Unreachable или ещё что-нибудь в этом духе.

Насчет "прислать" - это вопрос к little_gutgin как к хозяину. "Мопед не мой".

coctic March 4 2023, 20:47:48 UTC

Середина дня по мск - это какое время у отваливающтхся клиентов? Не ночь?
Ну вообще очень похоже на то, что что-то в провайдерском нате в это время перезапускается. Если это локальная ночь, так еще более похоже, такие штуки лучше ночью проделывать.

dn54 March 6 2023, 07:57:38 UTC

Я так понял, одновременно отваливаются и в Иркутске и во Владике, у разных провайдеров. Два часа разницы.