Jump to content

Giga обновилась до 3.9.3 и тут же отвалился ExpressVPN по OpenVPN


Recommended Posts

Feb 18 12:41:58
 
OpenVPN0
OpenVPN 2.6_git [SSL (OpenSSL)] [LZO] [LZ4] [EPOLL] [MH/PKTINFO] [AEAD]
Feb 18 12:41:58
 
OpenVPN0
library versions: OpenSSL 3.0.7 1 Nov 2022, LZO 2.10
Feb 18 12:41:58
 
OpenVPN0
WARNING: --ns-cert-type is DEPRECATED. Use --remote-cert-tls instead.
Feb 18 12:41:58
 
OpenVPN0
Outgoing Control Channel Authentication: Using 512 bit message hash 'SHA512' for HMAC authentication
Feb 18 12:41:58
 
OpenVPN0
Incoming Control Channel Authentication: Using 512 bit message hash 'SHA512' for HMAC authentication
Feb 18 12:41:58
 
OpenVPN0
Socket Buffers: R=[155648->1048576] S=[155648->1048576]
Feb 18 12:41:58
 
OpenVPN0
UDPv4 link local: (not bound)
Feb 18 12:41:58
 
OpenVPN0
UDPv4 link remote: [AF_INET]173.239.207.44:1195
Feb 18 12:41:58
 
OpenVPN0
NOTE: UID/GID downgrade will be delayed because of --client, --pull, or --up-delay
Feb 18 12:42:58
 
OpenVPN0
TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity)
Feb 18 12:42:58
 
OpenVPN0
TLS Error: TLS handshake failed
Feb 18 12:42:58
 
OpenVPN0
SIGTERM[soft,tls-error] received, process exiting
Feb 18 12:42:58
 
ndm
Service: "OpenVPN0": unexpectedly stopped.

 

 

Совпадение? У кого-нибудь OpenVPN client работает нормально в 3.9.3?

Link to comment
Share on other sites

Проверьте TLS ключ в конфиге VPN на роутере, на всякий случай. Сверьте и другие параметры соединения.

В целом на 3.9.3 OpenVPN работает.

Edited by keenet07
Link to comment
Share on other sites

1 минуту назад, keenet07 сказал:

Проверьте TLS ключ в конфиге VPN на роутере, на всякий случай.

Да он не менялся много лет, и я пробовал новый конфиг загружать с другой географией.

А по симптомам похоже, что ТСПУ у провайдера начал резать VPN?

Link to comment
Share on other sites

Провел еще эксперимент: поставил на телефон (андроид) приложение от ExpressVPN и оно прекрасно работает по любым протоколам - хоть Lightway, хоть OpenVPN. Стало быть дело не в провайдере, а именно в роутере... Насколько помню, простого и безгеморного способа откатиться на предыдущую прошивку нет?

Link to comment
Share on other sites

1 час назад, Marassa сказал:

Провел еще эксперимент: поставил на телефон (андроид) приложение от ExpressVPN и оно прекрасно работает по любым протоколам - хоть Lightway, хоть OpenVPN. Стало быть дело не в провайдере, а именно в роутере... Насколько помню, простого и безгеморного способа откатиться на предыдущую прошивку нет?

Почему нет. Самый простой и безгеморный это загрузить ранее стоявшие прошивку и конфиг. Перед обновлением же оболочка предлагает всегда сохранить их. Не стоит это игнорировать. Удалить два ненужных файлика всегда успеете. Ну если их у вас всё таки нет, то временно вернуться на любую предыдущую версию прошивки с базовым набором компонентов из облака без возможности изменить компоненты.

Edited by keenet07
Link to comment
Share on other sites

1 минуту назад, keenet07 сказал:

Перед обновлением же оболочка предлагает всегда сохранить их.

Это если не включено автообновление...

Link to comment
Share on other sites

15 часов назад, keenet07 сказал:

временно вернуться на любую предыдущую версию прошивки с базовым набором компонентов из облака без возможности изменить компоненты.

А можно чуть подробнее как это сделать? Я нашел предыдущую прошивку 3.9.2, если я просто заменю ее без конфига, насколько велика вероятность получить кирпич?

Link to comment
Share on other sites

52 минуты назад, Marassa сказал:

Я нашел предыдущую прошивку 3.9.2, если я просто заменю ее без конфига, насколько велика вероятность получить кирпич?

Не надо ничего выдумывать и что-то там искать левого! Официальные файлы с прошивками лежат тут. Но это крайний вариант!

Самый надёжный и просто способ - смена каналов в cli. Смотрите какой канал используется: show version и затем выбираете нужный вам.

components list draft
components commit


components list delta
components commit

components list beta
components commit

components list stable
components commit

components list legacy
components commit

 

P.S. Кирпича не будет, можете доверится, но всё ВСЕГДА нужно иметь копию рабочего варианта startup-config & firmware!!! И обязательно уберите автообновление, чтобы не выхватывать такой геморрой вновь и вновь...

Link to comment
Share on other sites

1 минуту назад, Mamay сказал:

Не надо ничего выдумывать и что-то там искать левого! Официальные файлы с прошивками лежат тут

Так я именно там и нашел, не в даркнете же ;)

3 минуты назад, Mamay сказал:

Самый надёжный и просто способ - смена каналов в cli

Не до конца понял - канал у меня выбран Main, каким образом выбор другого канала даст более старую версию? Preview и Dev ведь дадут более новую и нестабильную версию, разве нет?

5 минут назад, Mamay сказал:

ВСЕГДА нужно иметь копию рабочего варианта startup-config & firmware!!! И обязательно уберите автообновление, чтобы не выхватывать такой геморрой вновь и вновь...

Да я уж понял и отключил, но увы, немножко поздно...

Чую, что всё дело в каких-то тонких настройках OpenVPN, но их там миллион, и непонятно что дёргать.

Link to comment
Share on other sites

1 минуту назад, Marassa сказал:

Не до конца понял - канал у меня выбран Main, каким образом выбор другого канала даст более старую версию? Preview и Dev ведь дадут более новую и нестабильную версию, разве нет?

Привык общаться с альфа тестерами и их перегнать на stable - решение проблемы. Но вы уже на канале stable. 

Залив 3.9.2 даст вам базовый вариант, без плюшек и вы не сможете доустановить ничего, так как в канале уже 3.9.3.

Пробуйте legacy или вперёд в ТП, ибо сам себе злобный Буратино безбекапный и с включённым автообновлением!

Link to comment
Share on other sites

21 минуту назад, Mamay сказал:

Залив 3.9.2 даст вам базовый вариант, без плюшек и вы не сможете доустановить ничего, так как в канале уже 3.9.3.

В базовом ведь небось и OpenVPN не будет, так что у меня не получится даже удостовериться что дело именно в смене прошивки?

23 минуты назад, Mamay сказал:

Пробуйте legacy

?

23 минуты назад, Mamay сказал:

или вперёд в ТП

?? Прошу пояснить - я ж не настоящий сисадмин, а токмо волею пославшей мя жены не слишком продвинутый юзер...

Link to comment
Share on other sites

2 минуты назад, Mamay сказал:

Есть шанс что на 4.хх бага пофиксена. Попробуйте draft )))

Я правильно понял правильную процедуру?

Сохранить firmware и startup-config

Переключив канал, обновиться до 4.

В случае факапа восстановить ранее сохраненные firmware и startup-config

?

Link to comment
Share on other sites

Поставил 4.0 Alpha 9. Теперь OpenVPN даже не пытается подняться:

Feb 19 10:16:52

OpenVPN0
OpenVPN 2.6.0 [SSL (OpenSSL)] [LZO] [LZ4] [EPOLL] [MH/PKTINFO] [AEAD]
Feb 19 10:16:52
 
OpenVPN0
library versions: OpenSSL 3.0.8 7 Feb 2023, LZO 2.10
 
И это всё, дальше вообще ничего...
Link to comment
Share on other sites

Выложите сюда в текстовом виде ваш конфиг OpenVPN, предварительно убрав из него всю чувствительную информацию.

Edited by keenet07
Link to comment
Share on other sites

1 минуту назад, keenet07 сказал:

Выложите сюда в текстовом виде ваш конфиг OpenVPN, предварительно убрав из него всю чувствительную информацию.

20 часов назад, Marassa сказал:

Да он не менялся много лет

 

Link to comment
Share on other sites

3 минуты назад, Mamay сказал:

Да он не менялся много лет

Это только со слов автора.

@MarassaСкажите, обновление на 3.9.3 у вас когда произошло? За сколько до этого вы ещё благополучно пользовались этим VPN. А то ведь может и правда ваш провайдер мог что-нибудь заблокировать.

Edited by keenet07
Link to comment
Share on other sites

Вообще-то, согласно местных правил, мы должны ТС сразу отправить с актуальной версией в ТП, так как тут обсуждают лишь альфы и беты! Давайте не будем гадать на кофейной гуще и лишать работы людей...

Link to comment
Share on other sites

Т.к. автор написал в ветку Обмена опытом, а не в ветку для Баг репортов, то почему бы и не рассмотреть альтернативные варианты решения проблемы и не попытаться помочь. К тому же наши рассуждения в теме помогают более подробно раскрыть обстоятельства. А селф-тест пока запрошен не был.

Edited by keenet07
  • Thanks 1
  • Upvote 1
Link to comment
Share on other sites

16 минут назад, keenet07 сказал:

Выложите сюда в текстовом виде ваш конфиг OpenVPN, предварительно убрав из него всю чувствительную информацию.

Эх, знать бы еще что в нем чувствительное, а что нет ;)

dev tun
fast-io
persist-key
persist-tun
nobind
remote usa-newyork-ca-version-2.expressnetw.com 1195

remote-random
pull
comp-lzo no
tls-client
verify-x509-name Server name-prefix
ns-cert-type server
key-direction 1
route-method exe
route-delay 2
tun-mtu 1500
fragment 1300
mssfix 1200
verb 3
data-ciphers-fallback AES-256-GCM:AES-128-GCM:CHACHA20-POLY1305
auth SHA512
sndbuf 524288
rcvbuf 524288

<cert>
-----BEGIN CERTIFICATE-----

-----END CERTIFICATE-----
</cert>
<key>
-----BEGIN RSA PRIVATE KEY-----

-----END RSA PRIVATE KEY-----
</key>
<tls-auth>
#
# 2048 bit OpenVPN static key
#
-----BEGIN OpenVPN Static key V1-----
-----END OpenVPN Static key V1-----
</tls-auth>
<ca>
-----BEGIN CERTIFICATE-----

-----END CERTIFICATE-----
</ca>
<auth-user-pass>
********************
********************
</auth-user-pass>

 

Link to comment
Share on other sites

Только что, keenet07 сказал:

Т.к. автор написал в ветку Обмена опытом, а не в ветку для Баг репортов, то почему бы и не рассмотреть альтернативные варианты решения проблемы и не попытаться помочь. 

Пытаюсь не в первый раз уже ТС помогать. Пару раз вышло, нынче что-то выходит туго. Мы просто теряем время...

Link to comment
Share on other sites

14 минуты назад, keenet07 сказал:

обновление на 3.9.3 у вас когда произошло?

Вот в этом-то и главная загадка. Утром 18.02 всё ещё работало. Потом перестало, и я начал с перезагрузки роутера. Потом пришло сообщение, что роутер обновился на 3.9.3. То есть вроде бы как обновился он ПОСЛЕ того, как я начал разбираться с неполадками. Но по опыту сообщения эти частенько приходят с задержками, а когда я полез в лог, этой информации там уже не было. И теперь я смутно припоминаю, что мог перегружать роутер тем же утром как раз ДО того, как начались проблемы...

18 минут назад, keenet07 сказал:

А то ведь может и правда ваш провайдер мог что-нибудь заблокировать.

Я сразу же обратился к провайдеру, он сказал, что сами они ничего не блокировали, но весь трафик с января идет через ТСПУ, а что там происходит провайдеру недоступно.

Link to comment
Share on other sites

11 минуту назад, Mamay сказал:

тут обсуждают лишь альфы и беты!

Так я уж на альфе по Вашему совету ;)

Link to comment
Share on other sites

5 минут назад, Mamay сказал:

Пару раз вышло, нынче что-то выходит туго

Верю, что и в этот раз выйдет!

Link to comment
Share on other sites

3 минуты назад, Marassa сказал:

Я сразу же обратился к провайдеру, он сказал, что сами они ничего не блокировали, но весь трафик с января идет через ТСПУ, а что там происходит провайдеру недоступно.

Чаще блокируют на магистральных провайдерах, а не на местных.

Link to comment
Share on other sites

22 минуты назад, keenet07 сказал:

может и правда ваш провайдер мог что-нибудь заблокировать.

Тут ведь вот какой нюанс: приложение ExpressVPN через того же провайдера работает блестяще, и по Lightway, и по OpenVPN TCP/UDP. Каким образом провайдер мог заблокировать трафик OpenVPN, обработанный кинетиком, и не блокировать тот же трафик, обработанный приложением на андроиде?

Link to comment
Share on other sites

Только что, Marassa сказал:

Тут ведь вот какой нюанс: приложение ExpressVPN через того же провайдера работает блестяще, и по Lightway, и по OpenVPN TCP/UDP. Каким образом провайдер мог заблокировать трафик OpenVPN, обработанный кинетиком, и не блокировать тот же трафик, обработанный приложением на андроиде?

Так вы с телефона по WIFI проверяли? Не по мобильному интернету?

Link to comment
Share on other sites

Только что, keenet07 сказал:

Так вы с телефона по WIFI проверяли? Не по мобильному интернету?

Да, конечно! И не только с телефона, а и с планшета без симки. Так что фактор кривых рук исключен)

Link to comment
Share on other sites

2 минуты назад, Marassa сказал:

Да, конечно! И не только с телефона, а и с планшета без симки. Так что фактор кривых рук исключен)

В таком случае вариант с блокировкой отпадает.

Link to comment
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

  • Recently Browsing   0 members

    • No registered users viewing this page.
×
×
  • Create New...