У меня довольно странная проблема с моей OpenVPN
конфигурацией. Я подключаюсь Windows 7
с официальным последним OpenVPN
клиентом к моему OpenVPN
серверу ( OpenVPN 2.1.4 i386-redhat-linux-gnu
).
Проблема в том, что я отключаюсь от своего OpenVPN
сервера ровно через 1 час, и я не могу понять, какая директива / опция отвечает за это. Может быть, это проблема клиента? Я пробовал разные Windows
системы и Windows VPN
клиентов. В Linux
клиенты работают , как и ожидалось, без отключений.
Не могли бы вы помочь мне решить эту проблему? Я пытался читать книги и прибегая к помощи и некоторые люди советуют играть keepalive
и reneg-sec
директивы. Но это, похоже, не помогает.
Конфигурация сервера OpenVPN
port 1194
proto udp
dev tun
ca ca.crt
cert server.crt
key server.key
dh dh1024.pem
server 192.168.2.0 255.255.255.0
ifconfig-pool-persist ipp.txt
push "route 10.0.0.0 255.0.0.0"
client-config-dir ccd
route 192.168.51.0 255.255.255.0
keepalive 60 600
reneg-sec 5000
hand-window 15
tls-auth ta.key 0
comp-lzo
max-clients 50
user nobody
group nobody
persist-key
persist-tun
status openvpn-status.log
verb 4
crl-verify crl.pem
management localhost 11111
plugin /usr/share/openvpn/plugin/lib/openvpn-auth-pam.so login
push "dhcp-option DNS 192.168.2.1"
push "dhcp-option DOMAIN example.com"
push "dhcp-option SEARCH example.com"
Журнал сервера (не проблема в reinit_src = 1?)
Oct 9 07:23:38 vpn openvpn[19495]: user/192.168.253.20:54568 TLS Error: TLS handshake failed
Oct 9 07:23:38 vpn openvpn[19495]: user/192.168.253.20:54568 TLS: move_session: dest=TM_LAME_DUCK src=TM_ACTIVE reinit_src=1
Oct 9 07:24:53 vpn openvpn[19495]: user/192.168.253.20:54568 TLS Error: TLS handshake failed
Oct 9 07:26:08 vpn openvpn[19495]: user/192.168.253.20:54568 TLS Error: TLS key negotiation failed to occur within 15 seconds (check your network connectivity)
Oct 9 07:26:08 vpn openvpn[19495]: user/192.168.253.20:54568 TLS Error: TLS handshake failed
Oct 9 07:26:39 vpn openvpn[19495]: user/192.168.253.20:54568 [UNDEF] Inactivity timeout (--ping-restart), restarting
Oct 9 07:26:39 vpn openvpn[19495]: user/192.168.253.20:54568 SIGUSR1[soft,ping-restart] received, client-instance restarting
Журнал клиента
RwrWRwRwRwRwTue Oct 09 07:26:39 2012 us=796000 TLS: soft reset sec=0 bytes=7405621/0 pkts=9459/0
Tue Oct 09 07:26:39 2012 us=600000 ERROR: could not read Auth username from stdin
Tue Oct 09 07:26:39 2012 us=600000 Exiting
Tue Oct 09 07:26:39 2012 us=600000 C:\WINDOWS\system32\route.exe DELETE 192.168.2.1 MASK 255.255.255.255 192.168.100.150
Tue Oct 09 07:26:39 2012 us=600000 Route deletion via IPAPI succeeded [adaptive]
Tue Oct 09 07:26:39 2012 us=600000 C:\WINDOWS\system32\route.exe DELETE 10.0.0.0 MASK 255.0.0.0 192.168.100.150
Tue Oct 09 07:26:39 2012 us=600000 Route deletion via IPAPI succeeded [adaptive]
Tue Oct 09 07:26:39 2012 us=600000 Closing TUN/TAP interface
Большое спасибо.
Вы можете попробовать
reneg-sec 0
в своемserver.conf
:https://duo.com/docs/openvpn
https://tldrify.com/m80
это довольно просто на самом деле. Поскольку OpenVPN по умолчанию пытается заново связать новый сеанс TLS каждые 3600 секунд, вам придется каждый раз проходить повторную аутентификацию, используя новый OTP. Чтобы избежать такого поведения, достаточно просто сказать openvpn, что никогда не следует заново связывать сеанс TLS и поддерживать существующий сеанс, если вы объедините
keepalive
директиву иreneg-sec 0
у вас будет стабильное соединение, без какого-либо повторного связывания.источник
Я испытал подобный эффект, когда я добавил опцию 'auth-nocache' в мою конфигурацию клиента. Я использую сертификаты И комбинацию имени пользователя и пароля для аутентификации.
Несколько раз я замечал в журналах соединений, что openvpn сообщал следующее предупреждение:
Поэтому я подумал, что просто добавлю эту опцию и посмотрим, что произойдет. Что ж, вышеприведенное предупреждение исчезло, но через час всплыло диалоговое окно, спрашивающее у меня имя пользователя и пароль.
Я заметил, что вышеупомянутая конфигурация Эндрю не содержит эту опцию, поэтому я немного озадачен тем, почему она не кеширует пароль. Возможно, это связано с тем, что я использую более новую версию openvpn, или, может быть, ее можно настроить в конфигурации сервера, чтобы передать эту опцию клиенту.
Это было видно на: OpenVPN 2.2.1-8 + deb7u2 с OpenVPN GUI v5 для Windows.
источник