Giga обновилась до 3.9.3 и тут же отвалился ExpressVPN по OpenVPN

[Marassa]

Feb 18 12:41:58

 

OpenVPN0

OpenVPN 2.6_git [SSL (OpenSSL)] [LZO] [LZ4] [EPOLL] [MH/PKTINFO] [AEAD]

Feb 18 12:41:58

 

OpenVPN0

library versions: OpenSSL 3.0.7 1 Nov 2022, LZO 2.10

Feb 18 12:41:58

 

OpenVPN0

WARNING: --ns-cert-type is DEPRECATED. Use --remote-cert-tls instead.

Feb 18 12:41:58

 

OpenVPN0

Outgoing Control Channel Authentication: Using 512 bit message hash 'SHA512' for HMAC authentication

Feb 18 12:41:58

 

OpenVPN0

Incoming Control Channel Authentication: Using 512 bit message hash 'SHA512' for HMAC authentication

Feb 18 12:41:58

 

OpenVPN0

Socket Buffers: R=[155648->1048576] S=[155648->1048576]

Feb 18 12:41:58

 

OpenVPN0

UDPv4 link local: (not bound)

Feb 18 12:41:58

 

OpenVPN0

UDPv4 link remote: [AF_INET]173.239.207.44:1195

Feb 18 12:41:58

 

OpenVPN0

NOTE: UID/GID downgrade will be delayed because of --client, --pull, or --up-delay

Feb 18 12:42:58

 

OpenVPN0

TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity)

Feb 18 12:42:58

 

OpenVPN0

TLS Error: TLS handshake failed

Feb 18 12:42:58

 

OpenVPN0

SIGTERM[soft,tls-error] received, process exiting

Feb 18 12:42:58

 

ndm

Service: "OpenVPN0": unexpectedly stopped.

 

 

Совпадение? У кого-нибудь OpenVPN client работает нормально в 3.9.3?

[keenet07]

Проверьте TLS ключ в конфиге VPN на роутере, на всякий случай. Сверьте и другие параметры соединения.

В целом на 3.9.3 OpenVPN работает.

Edited February 18 by keenet07

[Marassa]

1 минуту назад, keenet07 сказал:

Проверьте TLS ключ в конфиге VPN на роутере, на всякий случай.

Да он не менялся много лет, и я пробовал новый конфиг загружать с другой географией.

А по симптомам похоже, что ТСПУ у провайдера начал резать VPN?

[Marassa]

Провел еще эксперимент: поставил на телефон (андроид) приложение от ExpressVPN и оно прекрасно работает по любым протоколам - хоть Lightway, хоть OpenVPN. Стало быть дело не в провайдере, а именно в роутере... Насколько помню, простого и безгеморного способа откатиться на предыдущую прошивку нет?

[keenet07]

1 час назад, Marassa сказал:

Провел еще эксперимент: поставил на телефон (андроид) приложение от ExpressVPN и оно прекрасно работает по любым протоколам - хоть Lightway, хоть OpenVPN. Стало быть дело не в провайдере, а именно в роутере... Насколько помню, простого и безгеморного способа откатиться на предыдущую прошивку нет?

Почему нет. Самый простой и безгеморный это загрузить ранее стоявшие прошивку и конфиг. Перед обновлением же оболочка предлагает всегда сохранить их. Не стоит это игнорировать. Удалить два ненужных файлика всегда успеете. Ну если их у вас всё таки нет, то временно вернуться на любую предыдущую версию прошивки с базовым набором компонентов из облака без возможности изменить компоненты.

Edited February 18 by keenet07

[Marassa]

1 минуту назад, keenet07 сказал:

Перед обновлением же оболочка предлагает всегда сохранить их.

Это если не включено автообновление...

[Marassa]

15 часов назад, keenet07 сказал:

временно вернуться на любую предыдущую версию прошивки с базовым набором компонентов из облака без возможности изменить компоненты.

А можно чуть подробнее как это сделать? Я нашел предыдущую прошивку 3.9.2, если я просто заменю ее без конфига, насколько велика вероятность получить кирпич?

[Mamay]

52 минуты назад, Marassa сказал:

Я нашел предыдущую прошивку 3.9.2, если я просто заменю ее без конфига, насколько велика вероятность получить кирпич?

Не надо ничего выдумывать и что-то там искать левого! Официальные файлы с прошивками лежат тут. Но это крайний вариант!

Самый надёжный и просто способ - смена каналов в cli. Смотрите какой канал используется: show version и затем выбираете нужный вам.

components list draft
components commit

components list delta
components commit

components list beta
components commit

components list stable
components commit

components list legacy
components commit

 

P.S. Кирпича не будет, можете доверится, но всё ВСЕГДА нужно иметь копию рабочего варианта startup-config & firmware!!! И обязательно уберите автообновление, чтобы не выхватывать такой геморрой вновь и вновь...

[Marassa]

1 минуту назад, Mamay сказал:

Не надо ничего выдумывать и что-то там искать левого! Официальные файлы с прошивками лежат тут

Так я именно там и нашел, не в даркнете же

3 минуты назад, Mamay сказал:

Самый надёжный и просто способ - смена каналов в cli

Не до конца понял - канал у меня выбран Main, каким образом выбор другого канала даст более старую версию? Preview и Dev ведь дадут более новую и нестабильную версию, разве нет?

5 минут назад, Mamay сказал:

ВСЕГДА нужно иметь копию рабочего варианта startup-config & firmware!!! И обязательно уберите автообновление, чтобы не выхватывать такой геморрой вновь и вновь...

Да я уж понял и отключил, но увы, немножко поздно...

Чую, что всё дело в каких-то тонких настройках OpenVPN, но их там миллион, и непонятно что дёргать.

[Mamay]

1 минуту назад, Marassa сказал:

Не до конца понял - канал у меня выбран Main, каким образом выбор другого канала даст более старую версию? Preview и Dev ведь дадут более новую и нестабильную версию, разве нет?

Привык общаться с альфа тестерами и их перегнать на stable - решение проблемы. Но вы уже на канале stable. 

Залив 3.9.2 даст вам базовый вариант, без плюшек и вы не сможете доустановить ничего, так как в канале уже 3.9.3.

Пробуйте legacy или вперёд в ТП, ибо сам себе злобный Буратино безбекапный и с включённым автообновлением!

[Marassa]

21 минуту назад, Mamay сказал:

Залив 3.9.2 даст вам базовый вариант, без плюшек и вы не сможете доустановить ничего, так как в канале уже 3.9.3.

В базовом ведь небось и OpenVPN не будет, так что у меня не получится даже удостовериться что дело именно в смене прошивки?

23 минуты назад, Mamay сказал:

Пробуйте legacy

?

23 минуты назад, Mamay сказал:

или вперёд в ТП

?? Прошу пояснить - я ж не настоящий сисадмин, а токмо волею пославшей мя жены не слишком продвинутый юзер...

[Mamay]

Есть шанс что на 4.хх бага пофиксена. Попробуйте draft )))

[Mamay]

legacy - один из древних каналов из 2-ой ветки.

https://help.keenetic.com/hc/ru - официальная Техническая Поддержка = ТП.

[Marassa]

2 минуты назад, Mamay сказал:

Есть шанс что на 4.хх бага пофиксена. Попробуйте draft )))

Я правильно понял правильную процедуру?

Сохранить firmware и startup-config

Переключив канал, обновиться до 4.

В случае факапа восстановить ранее сохраненные firmware и startup-config

?

[Marassa]

Поставил 4.0 Alpha 9. Теперь OpenVPN даже не пытается подняться:

Feb 19 10:16:52

OpenVPN0

OpenVPN 2.6.0 [SSL (OpenSSL)] [LZO] [LZ4] [EPOLL] [MH/PKTINFO] [AEAD]

Feb 19 10:16:52

 

OpenVPN0

library versions: OpenSSL 3.0.8 7 Feb 2023, LZO 2.10

 

И это всё, дальше вообще ничего...

[keenet07]

Выложите сюда в текстовом виде ваш конфиг OpenVPN, предварительно убрав из него всю чувствительную информацию.

Edited February 19 by keenet07

[Mamay]

1 минуту назад, keenet07 сказал:

Выложите сюда в текстовом виде ваш конфиг OpenVPN, предварительно убрав из него всю чувствительную информацию.

20 часов назад, Marassa сказал:

Да он не менялся много лет

 

[keenet07]

3 минуты назад, Mamay сказал:

Да он не менялся много лет

Это только со слов автора.

@MarassaСкажите, обновление на 3.9.3 у вас когда произошло? За сколько до этого вы ещё благополучно пользовались этим VPN. А то ведь может и правда ваш провайдер мог что-нибудь заблокировать.

Edited February 19 by keenet07

[Mamay]

Вообще-то, согласно местных правил, мы должны ТС сразу отправить с актуальной версией в ТП, так как тут обсуждают лишь альфы и беты! Давайте не будем гадать на кофейной гуще и лишать работы людей...

[keenet07]

Т.к. автор написал в ветку Обмена опытом, а не в ветку для Баг репортов, то почему бы и не рассмотреть альтернативные варианты решения проблемы и не попытаться помочь. К тому же наши рассуждения в теме помогают более подробно раскрыть обстоятельства. А селф-тест пока запрошен не был.

Edited February 19 by keenet07

[Marassa]

16 минут назад, keenet07 сказал:

Выложите сюда в текстовом виде ваш конфиг OpenVPN, предварительно убрав из него всю чувствительную информацию.

Эх, знать бы еще что в нем чувствительное, а что нет

dev tun
fast-io
persist-key
persist-tun
nobind
remote usa-newyork-ca-version-2.expressnetw.com 1195

remote-random
pull
comp-lzo no
tls-client
verify-x509-name Server name-prefix
ns-cert-type server
key-direction 1
route-method exe
route-delay 2
tun-mtu 1500
fragment 1300
mssfix 1200
verb 3
data-ciphers-fallback AES-256-GCM:AES-128-GCM:CHACHA20-POLY1305
auth SHA512
sndbuf 524288
rcvbuf 524288

<cert>
-----BEGIN CERTIFICATE-----

-----END CERTIFICATE-----
</cert>
<key>
-----BEGIN RSA PRIVATE KEY-----

-----END RSA PRIVATE KEY-----
</key>
<tls-auth>
#
# 2048 bit OpenVPN static key
#
-----BEGIN OpenVPN Static key V1-----
-----END OpenVPN Static key V1-----
</tls-auth>
<ca>
-----BEGIN CERTIFICATE-----

-----END CERTIFICATE-----
</ca>
<auth-user-pass>
********************
********************
</auth-user-pass>

 

[Mamay]

Только что, keenet07 сказал:

Т.к. автор написал в ветку Обмена опытом, а не в ветку для Баг репортов, то почему бы и не рассмотреть альтернативные варианты решения проблемы и не попытаться помочь. 

Пытаюсь не в первый раз уже ТС помогать. Пару раз вышло, нынче что-то выходит туго. Мы просто теряем время...

[Marassa]

14 минуты назад, keenet07 сказал:

обновление на 3.9.3 у вас когда произошло?

Вот в этом-то и главная загадка. Утром 18.02 всё ещё работало. Потом перестало, и я начал с перезагрузки роутера. Потом пришло сообщение, что роутер обновился на 3.9.3. То есть вроде бы как обновился он ПОСЛЕ того, как я начал разбираться с неполадками. Но по опыту сообщения эти частенько приходят с задержками, а когда я полез в лог, этой информации там уже не было. И теперь я смутно припоминаю, что мог перегружать роутер тем же утром как раз ДО того, как начались проблемы...

18 минут назад, keenet07 сказал:

А то ведь может и правда ваш провайдер мог что-нибудь заблокировать.

Я сразу же обратился к провайдеру, он сказал, что сами они ничего не блокировали, но весь трафик с января идет через ТСПУ, а что там происходит провайдеру недоступно.

[Marassa]

11 минуту назад, Mamay сказал:

тут обсуждают лишь альфы и беты!

Так я уж на альфе по Вашему совету

[Marassa]

5 минут назад, Mamay сказал:

Пару раз вышло, нынче что-то выходит туго

Верю, что и в этот раз выйдет!

[keenet07]

3 минуты назад, Marassa сказал:

Я сразу же обратился к провайдеру, он сказал, что сами они ничего не блокировали, но весь трафик с января идет через ТСПУ, а что там происходит провайдеру недоступно.

Чаще блокируют на магистральных провайдерах, а не на местных.

[Marassa]

22 минуты назад, keenet07 сказал:

может и правда ваш провайдер мог что-нибудь заблокировать.

Тут ведь вот какой нюанс: приложение ExpressVPN через того же провайдера работает блестяще, и по Lightway, и по OpenVPN TCP/UDP. Каким образом провайдер мог заблокировать трафик OpenVPN, обработанный кинетиком, и не блокировать тот же трафик, обработанный приложением на андроиде?

[keenet07]

Только что, Marassa сказал:

Тут ведь вот какой нюанс: приложение ExpressVPN через того же провайдера работает блестяще, и по Lightway, и по OpenVPN TCP/UDP. Каким образом провайдер мог заблокировать трафик OpenVPN, обработанный кинетиком, и не блокировать тот же трафик, обработанный приложением на андроиде?

Так вы с телефона по WIFI проверяли? Не по мобильному интернету?

[Marassa]

Только что, keenet07 сказал:

Так вы с телефона по WIFI проверяли? Не по мобильному интернету?

Да, конечно! И не только с телефона, а и с планшета без симки. Так что фактор кривых рук исключен)

[keenet07]

2 минуты назад, Marassa сказал:

Да, конечно! И не только с телефона, а и с планшета без симки. Так что фактор кривых рук исключен)

В таком случае вариант с блокировкой отпадает.