OpenVPN 2.2.2

Vladimir Bobarykin написал(а) к All в Jun 15 14:01:26 по местному времени:

Здpавствуй, All!

Народ, хелп, плз, зашился уже :( Может кто сталкивался.
Ситуация: у меня серверная часть openvpn, ко-мне коннектится один из клиентов.
Минуту связь с ним нормальная, затем меня заваливает какими-то мак-адресами с его стороны, доходит до 255 адресов, связь отваливается... Не знаю как это отрубить, инфы в опенвпнвики и доках нет.

Так это выглядит (192.168.50.30 - ip клиента):
>---=== Куть "ovpn.txt" ===---
Tue Jun 30 11:55:00 2015 client1/192.168.50.30:1194 MULTI: Learn: 46:70:d5:1f:8f:68 -> client1/192.168.50.30:1194
Tue Jun 30 11:55:01 2015 client1/192.168.50.30:1194 MULTI: Learn: 76:f6:b:b:b:be:b:b:b:b8:98:80 -> client1/192.168.50.30:1194
Tue Jun 30 11:55:02 2015 client1/192.168.50.30:1194 MULTI: Learn: 5c:01:70:d1:61:fc -> client1/192.168.50.30:1194
Tue Jun 30 11:55:03 2015 client1/192.168.50.30:1194 MULTI: Learn: 9c:e3:13:9a:ea:d1 -> client1/192.168.50.30:1194
Tue Jun 30 11:55:04 2015 client1/192.168.50.30:1194 MULTI: Learn: ee:6b:8b:28:3e:00 -> client1/192.168.50.30:1194
Tue Jun 30 11:55:05 2015 client1/192.168.50.30:1194 MULTI: Learn: 66:04:2c:59:79:0b -> client1/192.168.50.30:1194
Tue Jun 30 11:55:06 2015 client1/192.168.50.30:1194 MULTI: Learn: f2:89:7b:09:cb:c7 -> client1/192.168.50.30:1194
Tue Jun 30 11:55:06 2015 client1/192.168.50.30:1194 MULTI: Learn: b0:11:4e:ea:80:1e -> client1/192.168.50.30:1194
>---=== Куть "ovpn.txt" ===---

и так 255 различных маков, потом переполнение буфера, обрыв и логах начинает идти:

>---=== Куть "ovpn.txt" ===---
Tue Jun 30 13:19:38 2015 client1/192.168.50.30:1194 MULTI ROUTE: route quota (256) exceeded for client1/192.168.50.30:1194 (see --max-routes-per-client option)
Tue Jun 30 13:19:38 2015 client1/192.168.50.30:1194 MULTI: Learn FAILED: 48:e5:9f:6a:78:e5 -> client1/192.168.50.30:1194
Tue Jun 30 13:19:40 2015 client1/192.168.50.30:1194 MULTI ROUTE: route quota (256) exceeded for client1/192.168.50.30:1194 (see --max-routes-per-client option)
Tue Jun 30 13:19:40 2015 client1/192.168.50.30:1194 MULTI: Learn FAILED: 9e:63:0f:c2:27:f5 -> client1/192.168.50.30:1194
Tue Jun 30 13:19:41 2015 client1/192.168.50.30:1194 MULTI ROUTE: route quota (256) exceeded for client1/192.168.50.30:1194
>---=== Куть "ovpn.txt" ===---
как это выключить нигде официальной инфы нет :((:(((((
Первый раз такое вижу, зашился уже... может кто сталкивался? Как отрубить этот "Multi learn"? С остальными клиентами такой проблемы нет.
Изменение опции --max-routes-per-client результата не даёт, просто меньше маков сыплеться Как бы их приём вообще отрубить?

С уважением - Vladimir
... Это во франции: "Девушка - загадка!", а у нас, в России: "Баба - ребус!"
--- Озаглавилась весна - топором, успокоилась река - декабрём...

Vladimir Bobarykin написал(а) к All в Jun 15 14:09:16 по местному времени:

Здpавствуй, All!

Сорри, забыл, конфиг в догонку:
Мой:

==================================
engine gost
auth gost-mac
cipher gost89
tls-cipher GOST2001-GOST89-GOST89
#comp-lzo yes
port 2000
proto udp
dev tap0
ca /etc/openvpn/keys/ca.crt
cert /etc/openvpn/keys/server.crt
key /etc/openvpn/keys/server.key
dh /etc/openvpn/keys/dh2048.pem
mode server
server 172.25.0.0 255.255.255.252
client-config-dir /etc/openvpn/ccd

user root
fast-io
keepalive 10 120
max-clients 10
persist-key
persist-tun
verb 3
status /var/log/openvpn/openvpn-status.log
log /var/log/openvpn/openvpn.log
==========================================

Клиент (адрес 192.168.20.1 - мой серв):

==========================================
dev tap
engine gost
auth gost-mac
cipher gost89
tls-cipher GOST2001-GOST89-GOST89

status /var/log/openvpn/openvpn-status.log
log /var/log/openvpn/openvpn.log
verb 3
ca /etc/openvpn/test/ca.crt
cert /etc/openvpn/test/client1.crt
key /etc/openvpn/test/client1.key

client
remote 192.168.20.1 2000
keepalive 10 120
proto udp
fast-io

persist-key
persist-tun
==========================================


С уважением - Vladimir
... Не пью, не курю. От слова "Жопа" падаю в обморок...
--- Озаглавилась весна - топором, успокоилась река - декабрём...

Eugene Grosbein написал(а) к Vladimir Bobarykin в Jun 15 21:03:24 по местному времени:

30 июн 2015, вторник, в 13:01 NOVT, Vladimir Bobarykin написал(а):

VB> Народ, хелп, плз, зашился уже :( Может кто сталкивался.
VB> Ситуация: у меня серверная часть openvpn, ко-мне коннектится один из клиентов.
VB> Минуту связь с ним нормальная, затем меня заваливает какими-то мак-адресами с
VB> его стороны, доходит до 255 адресов, связь отваливается... Не знаю как это
VB> отрубить, инфы в опенвпнвики и доках нет.

Это - одна из причин, по которой бриджевать ethernet наколенными
средствами типа userland-демонов - плохая идея. Переходи с L2-туннеля
на L3 и будет тебе щастье. То есть, сегментируй сеть.

Eugene
--
Поэты - страшные люди. У них все святое.
--- slrn/1.0.1 (FreeBSD)

Vladimir Bobarykin написал(а) к Eugene Grosbein в Jul 15 14:15:44 по местному времени:

Здpавствуй, Eugene!

Вторник 30 Июня 2015 21:03, ты писал(а) мне, в сообщении по ссылке area://ru.unix.bsd?msgid=grosbein.net+26773344:

VB>> Народ, хелп, плз, зашился уже :( Может кто сталкивался.
VB>> Ситуация: у меня серверная часть openvpn, ко-мне коннектится один
VB>> из клиентов. Минуту связь с ним нормальная, затем меня заваливает
VB>> какими-то мак-адресами с его стороны, доходит до 255 адресов,
EG> Это - одна из причин, по которой бриджевать ethernet наколенными
EG> средствами типа userland-демонов - плохая идея. Переходи с L2-туннеля
EG> на L3 и будет тебе щастье. То есть, сегментируй сеть.
Пасиб за наводку, поменяли на tun'ы, теперь потерь нет, маки не спамятся, просто молча обрывается связь при минимальной нагрузке канала (передача файла по фтп и т.п) :(
Пробовали играть с mtu, test-mtu, link-mtu, tun-mtu, fragment. Ничего не помогает. Есть мысль сменить тип шифрования с гост на стандартное, может из-за него что не так. Правда остальные линки по госту пашут норм.

С уважением - Vladimir
... Кyда не глянь - одни геи, кого не спpоси - сплошь натypалы...
--- Озаглавилась весна - топором, успокоилась река - декабрём...

Eugene Grosbein написал(а) к Vladimir Bobarykin в Jul 15 22:50:55 по местному времени:

01 июл 2015, среда, в 13:15 NOVT, Vladimir Bobarykin написал(а):

VB>>> Народ, хелп, плз, зашился уже :( Может кто сталкивался.
VB>>> Ситуация: у меня серверная часть openvpn, ко-мне коннектится один
VB>>> из клиентов. Минуту связь с ним нормальная, затем меня заваливает
VB>>> какими-то мак-адресами с его стороны, доходит до 255 адресов,
EG>> Это - одна из причин, по которой бриджевать ethernet наколенными
EG>> средствами типа userland-демонов - плохая идея. Переходи с L2-туннеля
EG>> на L3 и будет тебе щастье. То есть, сегментируй сеть.
VB> Пасиб за наводку, поменяли на tun'ы, теперь потерь нет, маки не спамятся,
VB> просто молча обрывается связь при минимальной нагрузке канала (передача файла по
VB> фтп и т.п) :(
VB> Пробовали играть с mtu, test-mtu, link-mtu, tun-mtu, fragment. Ничего не
VB> помогает.

Не надо "играть" с mtu, надо понимать, что происходит.
Есть очень простой тест - отключи pmtud на стороне ftp-сервера
(sysctl net.inet.tcp.pathmtudiscovery=0)
и если передача файла станет работать нормально, значит,
проблема с MTU и надо просто правильно выставить mtu
на туннельном интерфейсе.

Eugene
--
Устав от радостных пиров,
Не зная страхов и желаний
--- slrn/1.0.1 (FreeBSD)

Vladimir Bobarykin написал(а) к Eugene Grosbein в Jul 15 03:04:16 по местному времени:

Здpавствуй, Eugene!

Среда 01 Июля 2015 22:50, ты писал(а) мне, в сообщении по ссылке area://ru.unix.bsd?msgid=grosbein.net+b056e7db:

EG>>> средствами типа userland-демонов - плохая идея. Переходи с
EG>>> L2-туннеля на L3 и будет тебе щастье. То есть, сегментируй сеть.
VB>> Пасиб за наводку, поменяли на tun'ы, теперь потерь нет, маки не
VB>> спамятся, просто молча обрывается связь при минимальной нагрузке
VB>> канала (передача файла по фтп и т.п) :( Пробовали играть с mtu,
VB>> test-mtu, link-mtu, tun-mtu, fragment. Ничего не помогает.
EG> Не надо "играть" с mtu, надо понимать, что происходит.
EG> Есть очень простой тест - отключи pmtud на стороне ftp-сервера
Да щас уже вообще не понимаю что происходит :) Сменил шифрование с госта на стандартное - канал взлетел, все работает, без глюков, без потерь. Возвращаю гост обратно - начинается свистопляска с обрывами :(
Не может же шифрование так влиять? Тем более там парралельно работаю ещё несколько линков на госте. Единственная разница - те линки в другой ovpn подсети и на другом tun-интерфейсе. Попробую и этот глючный линк засуну к ним, погляжу прокатит ли. Мистика какая-то :)

С уважением - Vladimir
--- Озаглавилась весна - топором, успокоилась река - декабрём...

Eugene Grosbein написал(а) к Vladimir Bobarykin в Jul 15 18:09:31 по местному времени:

03 июл 2015, пятница, в 02:04 NOVT, Vladimir Bobarykin написал(а):

VB> Да щас уже вообще не понимаю что происходит :) Сменил шифрование с госта на
VB> стандартное - канал взлетел, все работает, без глюков, без потерь. Возвращаю
VB> гост обратно - начинается свистопляска с обрывами :(
VB> Не может же шифрование так влиять?

Может. Например, оверхед выше и пакеты перестают влазить в mtu.

Eugene
--- slrn/1.0.1 (FreeBSD)

Vitaly Zaitsev написал(а) к Vladimir Bobarykin в Jul 15 16:37:43 по местному времени:

Приветствую тебя, Vladimir Bobarykin.

Fri, 03 Jul 2015 03:04:16 +0400 ты писал(а):

VB> Возвращаю гост обратно

Почему всё-таки именно ГОСТ?

--
С уважением,
Vitaly Zaitsev (zvitaly@easycoding.org)
--- FIDOGATE 5.1.7ds

Vladimir Bobarykin написал(а) к Vitaly Zaitsev в Jul 15 19:32:44 по местному времени:

Здpавствуй, Vitaly!

Пятница 03 Июля 2015 16:37, ты писал(а) мне, в сообщении по ссылке area://ru.unix.bsd?msgid=2:5020/2140.2+987aa91c:

VB>> Возвращаю гост обратно
VZ> Почему всё-таки именно ГОСТ?
Закон о персональных данных :( Без госта уже дрючат, и сильно...

С уважением - Vladimir
... Мечты питая и надежды, девицы скачут из одежды...
--- Озаглавилась весна - топором, успокоилась река - декабрём...

Vitaly Zaitsev написал(а) к Vladimir Bobarykin в Jul 15 17:07:03 по местному времени:

Приветствую тебя, Vladimir Bobarykin.

Tue, 07 Jul 2015 19:32:44 +0400 ты писал(а):

VB> Закон о персональных данных Без госта уже дрючат, и сильно...

Гос. контора?

--
С уважением,
Vitaly Zaitsev (zvitaly@easycoding.org)
--- FIDOGATE 5.1.7ds