#1
|
|||
|
|||
OpenVPN 2.2.2
Vladimir Bobarykin написал(а) к All в Jun 15 14:01:26 по местному времени:
Здpавствуй, All! Народ, хелп, плз, зашился уже :( Может кто сталкивался. Ситуация: у меня серверная часть openvpn, ко-мне коннектится один из клиентов. Минуту связь с ним нормальная, затем меня заваливает какими-то мак-адресами с его стороны, доходит до 255 адресов, связь отваливается... Не знаю как это отрубить, инфы в опенвпнвики и доках нет. Так это выглядит (192.168.50.30 - ip клиента): >---=== Куть "ovpn.txt" ===--- Tue Jun 30 11:55:00 2015 client1/192.168.50.30:1194 MULTI: Learn: 46:70:d5:1f:8f:68 -> client1/192.168.50.30:1194 Tue Jun 30 11:55:01 2015 client1/192.168.50.30:1194 MULTI: Learn: 76:f6:b:b:b:be:b:b:b:b8:98:80 -> client1/192.168.50.30:1194 Tue Jun 30 11:55:02 2015 client1/192.168.50.30:1194 MULTI: Learn: 5c:01:70:d1:61:fc -> client1/192.168.50.30:1194 Tue Jun 30 11:55:03 2015 client1/192.168.50.30:1194 MULTI: Learn: 9c:e3:13:9a:ea:d1 -> client1/192.168.50.30:1194 Tue Jun 30 11:55:04 2015 client1/192.168.50.30:1194 MULTI: Learn: ee:6b:8b:28:3e:00 -> client1/192.168.50.30:1194 Tue Jun 30 11:55:05 2015 client1/192.168.50.30:1194 MULTI: Learn: 66:04:2c:59:79:0b -> client1/192.168.50.30:1194 Tue Jun 30 11:55:06 2015 client1/192.168.50.30:1194 MULTI: Learn: f2:89:7b:09:cb:c7 -> client1/192.168.50.30:1194 Tue Jun 30 11:55:06 2015 client1/192.168.50.30:1194 MULTI: Learn: b0:11:4e:ea:80:1e -> client1/192.168.50.30:1194 >---=== Куть "ovpn.txt" ===--- и так 255 различных маков, потом переполнение буфера, обрыв и логах начинает идти: >---=== Куть "ovpn.txt" ===--- Tue Jun 30 13:19:38 2015 client1/192.168.50.30:1194 MULTI ROUTE: route quota (256) exceeded for client1/192.168.50.30:1194 (see --max-routes-per-client option) Tue Jun 30 13:19:38 2015 client1/192.168.50.30:1194 MULTI: Learn FAILED: 48:e5:9f:6a:78:e5 -> client1/192.168.50.30:1194 Tue Jun 30 13:19:40 2015 client1/192.168.50.30:1194 MULTI ROUTE: route quota (256) exceeded for client1/192.168.50.30:1194 (see --max-routes-per-client option) Tue Jun 30 13:19:40 2015 client1/192.168.50.30:1194 MULTI: Learn FAILED: 9e:63:0f:c2:27:f5 -> client1/192.168.50.30:1194 Tue Jun 30 13:19:41 2015 client1/192.168.50.30:1194 MULTI ROUTE: route quota (256) exceeded for client1/192.168.50.30:1194 >---=== Куть "ovpn.txt" ===--- как это выключить нигде официальной инфы нет :((:((((( Первый раз такое вижу, зашился уже... может кто сталкивался? Как отрубить этот "Multi learn"? С остальными клиентами такой проблемы нет. Изменение опции --max-routes-per-client результата не даёт, просто меньше маков сыплеться Как бы их приём вообще отрубить? С уважением - Vladimir ... Это во франции: "Девушка - загадка!", а у нас, в России: "Баба - ребус!" --- Озаглавилась весна - топором, успокоилась река - декабрём... |
#2
|
|||
|
|||
Re: OpenVPN 2.2.2
Vladimir Bobarykin написал(а) к All в Jun 15 14:09:16 по местному времени:
Здpавствуй, All! Сорри, забыл, конфиг в догонку: Мой: ================================== engine gost auth gost-mac cipher gost89 tls-cipher GOST2001-GOST89-GOST89 #comp-lzo yes port 2000 proto udp dev tap0 ca /etc/openvpn/keys/ca.crt cert /etc/openvpn/keys/server.crt key /etc/openvpn/keys/server.key dh /etc/openvpn/keys/dh2048.pem mode server server 172.25.0.0 255.255.255.252 client-config-dir /etc/openvpn/ccd user root fast-io keepalive 10 120 max-clients 10 persist-key persist-tun verb 3 status /var/log/openvpn/openvpn-status.log log /var/log/openvpn/openvpn.log ========================================== Клиент (адрес 192.168.20.1 - мой серв): ========================================== dev tap engine gost auth gost-mac cipher gost89 tls-cipher GOST2001-GOST89-GOST89 status /var/log/openvpn/openvpn-status.log log /var/log/openvpn/openvpn.log verb 3 ca /etc/openvpn/test/ca.crt cert /etc/openvpn/test/client1.crt key /etc/openvpn/test/client1.key client remote 192.168.20.1 2000 keepalive 10 120 proto udp fast-io persist-key persist-tun ========================================== С уважением - Vladimir ... Не пью, не курю. От слова "Жопа" падаю в обморок... --- Озаглавилась весна - топором, успокоилась река - декабрём... |
#3
|
|||
|
|||
Re: OpenVPN 2.2.2
Eugene Grosbein написал(а) к Vladimir Bobarykin в Jun 15 21:03:24 по местному времени:
30 июн 2015, вторник, в 13:01 NOVT, Vladimir Bobarykin написал(а): VB> Народ, хелп, плз, зашился уже :( Может кто сталкивался. VB> Ситуация: у меня серверная часть openvpn, ко-мне коннектится один из клиентов. VB> Минуту связь с ним нормальная, затем меня заваливает какими-то мак-адресами с VB> его стороны, доходит до 255 адресов, связь отваливается... Не знаю как это VB> отрубить, инфы в опенвпнвики и доках нет. Это - одна из причин, по которой бриджевать ethernet наколенными средствами типа userland-демонов - плохая идея. Переходи с L2-туннеля на L3 и будет тебе щастье. То есть, сегментируй сеть. Eugene -- Поэты - страшные люди. У них все святое. --- slrn/1.0.1 (FreeBSD) |
#4
|
|||
|
|||
Re: OpenVPN 2.2.2
Vladimir Bobarykin написал(а) к Eugene Grosbein в Jul 15 14:15:44 по местному времени:
Здpавствуй, Eugene! Вторник 30 Июня 2015 21:03, ты писал(а) мне, в сообщении по ссылке area://ru.unix.bsd?msgid=grosbein.net+26773344: VB>> Народ, хелп, плз, зашился уже :( Может кто сталкивался. VB>> Ситуация: у меня серверная часть openvpn, ко-мне коннектится один VB>> из клиентов. Минуту связь с ним нормальная, затем меня заваливает VB>> какими-то мак-адресами с его стороны, доходит до 255 адресов, EG> Это - одна из причин, по которой бриджевать ethernet наколенными EG> средствами типа userland-демонов - плохая идея. Переходи с L2-туннеля EG> на L3 и будет тебе щастье. То есть, сегментируй сеть. Пасиб за наводку, поменяли на tun'ы, теперь потерь нет, маки не спамятся, просто молча обрывается связь при минимальной нагрузке канала (передача файла по фтп и т.п) :( Пробовали играть с mtu, test-mtu, link-mtu, tun-mtu, fragment. Ничего не помогает. Есть мысль сменить тип шифрования с гост на стандартное, может из-за него что не так. Правда остальные линки по госту пашут норм. С уважением - Vladimir ... Кyда не глянь - одни геи, кого не спpоси - сплошь натypалы... --- Озаглавилась весна - топором, успокоилась река - декабрём... |
#5
|
|||
|
|||
Re: OpenVPN 2.2.2
Eugene Grosbein написал(а) к Vladimir Bobarykin в Jul 15 22:50:55 по местному времени:
01 июл 2015, среда, в 13:15 NOVT, Vladimir Bobarykin написал(а): VB>>> Народ, хелп, плз, зашился уже :( Может кто сталкивался. VB>>> Ситуация: у меня серверная часть openvpn, ко-мне коннектится один VB>>> из клиентов. Минуту связь с ним нормальная, затем меня заваливает VB>>> какими-то мак-адресами с его стороны, доходит до 255 адресов, EG>> Это - одна из причин, по которой бриджевать ethernet наколенными EG>> средствами типа userland-демонов - плохая идея. Переходи с L2-туннеля EG>> на L3 и будет тебе щастье. То есть, сегментируй сеть. VB> Пасиб за наводку, поменяли на tun'ы, теперь потерь нет, маки не спамятся, VB> просто молча обрывается связь при минимальной нагрузке канала (передача файла по VB> фтп и т.п) :( VB> Пробовали играть с mtu, test-mtu, link-mtu, tun-mtu, fragment. Ничего не VB> помогает. Не надо "играть" с mtu, надо понимать, что происходит. Есть очень простой тест - отключи pmtud на стороне ftp-сервера (sysctl net.inet.tcp.pathmtudiscovery=0) и если передача файла станет работать нормально, значит, проблема с MTU и надо просто правильно выставить mtu на туннельном интерфейсе. Eugene -- Устав от радостных пиров, Не зная страхов и желаний --- slrn/1.0.1 (FreeBSD) |
#6
|
|||
|
|||
Re: OpenVPN 2.2.2
Vladimir Bobarykin написал(а) к Eugene Grosbein в Jul 15 03:04:16 по местному времени:
Здpавствуй, Eugene! Среда 01 Июля 2015 22:50, ты писал(а) мне, в сообщении по ссылке area://ru.unix.bsd?msgid=grosbein.net+b056e7db: EG>>> средствами типа userland-демонов - плохая идея. Переходи с EG>>> L2-туннеля на L3 и будет тебе щастье. То есть, сегментируй сеть. VB>> Пасиб за наводку, поменяли на tun'ы, теперь потерь нет, маки не VB>> спамятся, просто молча обрывается связь при минимальной нагрузке VB>> канала (передача файла по фтп и т.п) :( Пробовали играть с mtu, VB>> test-mtu, link-mtu, tun-mtu, fragment. Ничего не помогает. EG> Не надо "играть" с mtu, надо понимать, что происходит. EG> Есть очень простой тест - отключи pmtud на стороне ftp-сервера Да щас уже вообще не понимаю что происходит :) Сменил шифрование с госта на стандартное - канал взлетел, все работает, без глюков, без потерь. Возвращаю гост обратно - начинается свистопляска с обрывами :( Не может же шифрование так влиять? Тем более там парралельно работаю ещё несколько линков на госте. Единственная разница - те линки в другой ovpn подсети и на другом tun-интерфейсе. Попробую и этот глючный линк засуну к ним, погляжу прокатит ли. Мистика какая-то :) С уважением - Vladimir --- Озаглавилась весна - топором, успокоилась река - декабрём... |
#7
|
|||
|
|||
Re: OpenVPN 2.2.2
Eugene Grosbein написал(а) к Vladimir Bobarykin в Jul 15 18:09:31 по местному времени:
03 июл 2015, пятница, в 02:04 NOVT, Vladimir Bobarykin написал(а): VB> Да щас уже вообще не понимаю что происходит :) Сменил шифрование с госта на VB> стандартное - канал взлетел, все работает, без глюков, без потерь. Возвращаю VB> гост обратно - начинается свистопляска с обрывами :( VB> Не может же шифрование так влиять? Может. Например, оверхед выше и пакеты перестают влазить в mtu. Eugene --- slrn/1.0.1 (FreeBSD) |
#8
|
|||
|
|||
Re: OpenVPN 2.2.2
Vitaly Zaitsev написал(а) к Vladimir Bobarykin в Jul 15 16:37:43 по местному времени:
Приветствую тебя, Vladimir Bobarykin. Fri, 03 Jul 2015 03:04:16 +0400 ты писал(а): VB> Возвращаю гост обратно Почему всё-таки именно ГОСТ? -- С уважением, Vitaly Zaitsev (zvitaly@easycoding.org) --- FIDOGATE 5.1.7ds |
#9
|
|||
|
|||
Re: OpenVPN 2.2.2
Vladimir Bobarykin написал(а) к Vitaly Zaitsev в Jul 15 19:32:44 по местному времени:
Здpавствуй, Vitaly! Пятница 03 Июля 2015 16:37, ты писал(а) мне, в сообщении по ссылке area://ru.unix.bsd?msgid=2:5020/2140.2+987aa91c: VB>> Возвращаю гост обратно VZ> Почему всё-таки именно ГОСТ? Закон о персональных данных :( Без госта уже дрючат, и сильно... С уважением - Vladimir ... Мечты питая и надежды, девицы скачут из одежды... --- Озаглавилась весна - топором, успокоилась река - декабрём... |
#10
|
|||
|
|||
Re: OpenVPN 2.2.2
Vitaly Zaitsev написал(а) к Vladimir Bobarykin в Jul 15 17:07:03 по местному времени:
Приветствую тебя, Vladimir Bobarykin. Tue, 07 Jul 2015 19:32:44 +0400 ты писал(а): VB> Закон о персональных данных Без госта уже дрючат, и сильно... Гос. контора? -- С уважением, Vitaly Zaitsev (zvitaly@easycoding.org) --- FIDOGATE 5.1.7ds |