s.andrynin Posted September 6 Posted September 6 Коллеги всем доброго дня, столкнулся с проблемой, имею Keenetic Peak на нем 2 сервера wireguard и openvpn при попытке подключения к любому из них клиентом с linux тачки в нидерландах (на тачке крутится сайт и впн нужен для слива бекапов) то коннект происходит все отлично Sep 06 18:29:06 3435713-lk43133.twc1.net openvpn[2379]: TUN/TAP device tun0 opened Sep 06 18:29:06 3435713-lk43133.twc1.net openvpn[2379]: do_ifconfig, ipv4=1, ipv6=0 Sep 06 18:29:06 3435713-lk43133.twc1.net openvpn[2379]: net_iface_mtu_set: mtu 1500 for tun0 Sep 06 18:29:06 3435713-lk43133.twc1.net openvpn[2379]: net_iface_up: set tun0 up Sep 06 18:29:06 3435713-lk43133.twc1.net openvpn[2379]: net_addr_v4_add: 10.8.0.2/24 dev tun0 Sep 06 18:29:06 3435713-lk43133.twc1.net openvpn[2379]: net_route_v4_add: 192.168.1.0/24 via 10.8.0.1 dev [NULL] table 0 metric -1 Sep 06 18:29:06 3435713-lk43133.twc1.net openvpn[2379]: net_route_v4_add: 172.16.201.0/24 via 10.8.0.1 dev [NULL] table 0 metric -1 Sep 06 18:29:06 3435713-lk43133.twc1.net openvpn[2379]: net_route_v4_add: 172.16.202.0/24 via 10.8.0.1 dev [NULL] table 0 metric -1 Sep 06 18:29:06 3435713-lk43133.twc1.net openvpn[2379]: net_route_v4_add: 172.16.203.0/24 via 10.8.0.1 dev [NULL] table 0 metric -1 Sep 06 18:29:06 3435713-lk43133.twc1.net openvpn[2379]: Initialization Sequence Completed Запускаю пинги [root@3435713-lk43133 client]# ping 192.168.1.20 PING 192.168.1.20 (192.168.1.20) 56(84) bytes of data. 64 bytes from 192.168.1.20: icmp_seq=1 ttl=63 time=42.1 ms 64 bytes from 192.168.1.20: icmp_seq=2 ttl=63 time=41.9 ms 64 bytes from 192.168.1.20: icmp_seq=3 ttl=63 time=41.8 ms 64 bytes from 192.168.1.20: icmp_seq=4 ttl=63 time=41.7 ms 64 bytes from 192.168.1.20: icmp_seq=5 ttl=63 time=42.3 ms 64 bytes from 192.168.1.20: icmp_seq=6 ttl=63 time=42.3 ms 64 bytes from 192.168.1.20: icmp_seq=7 ttl=63 time=41.8 ms После чего пинги пропадают, связи до конечного хоста нет. Через 2 минуты в логах Sep 06 18:31:19 3435713-lk43133.twc1.net openvpn[2379]: [] Inactivity timeout (--ping-restart), restarting Sep 06 18:31:19 3435713-lk43133.twc1.net openvpn[2379]: TCP/UDP: Closing socket Sep 06 18:31:19 3435713-lk43133.twc1.net openvpn[2379]: SIGUSR1[soft,ping-restart] received, process restarting Sep 06 18:31:19 3435713-lk43133.twc1.net openvpn[2379]: Restart pause, 5 second(s) Sep 06 18:31:24 3435713-lk43133.twc1.net openvpn[2379]: Re-using SSL/TLS context Насколько я понял клиент видит отвал и переподключается. Затем пинг снова идет успевает отправить 5-7 пакетов и все по новой. С Wireguard все так же, исключение что повторные хендшейки не проходят и после пары пингов полная тишина, перезапуск клиента снова дает похожий эффект 3-4 пакета пингов и все тишина. Конфиг OpenVPN Server: port 1194 proto udp dev tun topology subnet server 10.8.0.0 255.255.255.0 keepalive 10 120 key-direction 0 cipher AES-256-CBC persist-key persist-tun verb 3 explicit-exit-notify 1 client-to-client comp-lzo yes push "dhcp-option DNS 192.168.1.1" push "route 192.168.1.0 255.255.255.0" push "route 172.16.201.0 255.255.255.0" push "route 172.16.202.0 255.255.255.0" push "route 172.16.203.0 255.255.255.0" sndbuf 524288 rcvbuf 524288 push "sndbuf 524288" push "rcvbuf 524288" Client: client dev tun proto udp remote IP_ADDR 1194 comp-lzo resolv-retry infinite nobind keepalive 10 120 persist-key persist-tun cipher AES-256-CBC remote-cert-tls server key-direction 1 verb 4 Разумеется серты я вырезал, хочу отметить что конфигурация ранее была рабочей (то есть это не новый сетап). Делаю предполажение что блочит провайдер, так как на кинетике их 2 и через второй работает хотябы wireguard, но не работает openvpn, на втором не работают оба коннекта. Так же хочу заметить что с двух провайдеров отлично работают оба вида VPN но в качестве сервера тачка в Хетцнер, в качестве клиента кинетик и трафик ходит без проблем, такое ощущениие что блок именно на вход. Нужна хелпа как дебажить, куда копнуть, может еще какой совет Quote
Le ecureuil Posted September 6 Posted September 6 Снимите дамп трафика на провайдерском интерфейсе монитором, будет все понятно сразу. Quote
Mechanics Posted September 6 Posted September 6 52 минуты назад, s.andrynin сказал: Нужна хелпа как дебажить, куда копнуть, может еще какой совет Очень похоже на работу DPI провайдера. Было тоже самое с OpenConnect, решил переходом только на TCP. Попробуйте proto tcp. Quote
s.andrynin Posted September 6 Author Posted September 6 1 час назад, Mechanics сказал: решил переходом только на TCP. Попробуйте proto tcp. Уже пробовал не помогло UPD: Кстати, я вот что заметил, если я у себя положу клиента openvpn а потом его подниму то будет ровне три пакета и тишина, в сторону VPC Hetzner, и дальше если я в приоритетах подключения просто меняю провайдеры местами, то чудесным образом канал openvpn живет) Что тоже наталкивает на мысли о DPI по заголовкам. Жаль с WG так нельзя. Quote
s.andrynin Posted September 6 Author Posted September 6 2 часа назад, Le ecureuil сказал: Снимите дамп трафика на провайдерском интерфейсе монитором, будет все понятно сразу. На что там обратить внимание? Дам это хорошо, но у меня одновременно столько всего льется, боюсь там будет много всего, может есть способ как то фильтрануть на этапе дампа? Quote
dartraiden Posted November 3 Posted November 3 (edited) По симптомам это блокировка со стороны провайдера/РКН. В KeeneticOS 4.2 добавили поддержку ASC для WG, пробуйте (на сервере параметры должны совпадать с клиентом). Edited November 3 by dartraiden 1 Quote
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.