From: Sergey <a_s_y@sama.ru> To: sysadmins@lists.altlinux.org Subject: [Sysadmins] OpenVPN, замена сертификатов и "[ECONNREFUSED]" Date: Wed, 5 Mar 2014 21:16:34 +0400 Message-ID: <201403052116.34724.a_s_y@sama.ru> (raw) Приветствую. Что-то лыжи не едут с OpenVPN. Был сервер, всё работало. Покончались сертификаты, и сервера, и двух клиентов (в один день заводились). Диагностика, при этом, случилась какая-то странная. Сертификат истёк в момент, когда было установлено соединение. Какой раньше, клиента, или сервера, уже не скажу. notebook/X.X.X.X:55999 TLS: soft reset sec=0 bytes=7111664/0 pkts=13785/0 notebook/X.X.X.X:55999 TLS: new session incoming connection from X.X.X.X:55999 notebook/X.X.X.X:55999 TLS: new session incoming connection from X.X.X.X:55999 notebook/X.X.X.X:55999 TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity) notebook/X.X.X.X:55999 TLS Error: TLS handshake failed и т.д., по кругу. Тут, пока, понятно. В этот момент я ещё логи не смотрел, что произошло, не понял. Перезапустил соединение у себя пару раз, потом полез смотреть. Увидел вот такое: MULTI: multi_create_instance called X.X.X.X:38425 Re-using SSL/TLS context X.X.X.X:38425 LZO compression initialized X.X.X.X:38425 Control Channel MTU parms [ L:1542 D:138 EF:38 EB:0 ET:0 EL:0 ] X.X.X.X:38425 Data Channel MTU parms [ L:1542 D:1450 EF:42 EB:135 ET:0 EL:0 AF:3/1 ] X.X.X.X:38425 Local Options hash (VER=V4): '530fdded' X.X.X.X:38425 Expected Remote Options hash (VER=V4): '41690919' X.X.X.X:38425 TLS: Initial packet from X.X.X.X:38425, sid=bf5808d4 8cf88eaf read UDPv4 [ECONNREFUSED|ECONNREFUSED]: Connection refused (code=111) read UDPv4 [ECONNREFUSED]: Connection refused (code=111) X.X.X.X:38425 TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity) X.X.X.X:38425 TLS Error: TLS handshake failed X.X.X.X:38425 SIGUSR1[soft,tls-error] received, client-instance restarting При чём тут, интересно Connection refused, если сертификат истёк ?... Везде, где читал, только и советуют, что check your network connectivity. Ладно, сегодня я сертификаты и сервера, и клиента одного переделал, но только оно так и не работает. Connection refused, и всё тут. Сейчас вот сижу, меджу мной VPN-сервером только точка доступа. У OpenVPN нигде защиты нет от излишних попыток ? Может, где-то что-то пишется, и стереть надо ?.. И нет, никаких fail2ban на сервере нет, iptables отключал вообще. Да и смотрел tcpdump-ом, бегает трафик. У кого какие мысли есть ? ca-root не истёк, его я надолго сделал в прошлом году. -- С уважением, Сергей a_s_y@sama.ru
next reply other threads:[~2014-03-05 17:16 UTC|newest] Thread overview: 4+ messages / expand[flat|nested] mbox.gz Atom feed top 2014-03-05 17:16 Sergey [this message] 2014-03-07 19:31 ` Sergey 2014-03-07 21:16 ` Michael Shigorin 2014-03-08 9:37 ` Sergey
Reply instructions: You may reply publicly to this message via plain-text email using any one of the following methods: * Save the following mbox file, import it into your mail client, and reply-to-all from there: mbox Avoid top-posting and favor interleaved quoting: https://en.wikipedia.org/wiki/Posting_style#Interleaved_style * Reply using the --to, --cc, and --in-reply-to switches of git-send-email(1): git send-email \ --in-reply-to=201403052116.34724.a_s_y@sama.ru \ --to=a_s_y@sama.ru \ --cc=sysadmins@lists.altlinux.org \ /path/to/YOUR_REPLY https://kernel.org/pub/software/scm/git/docs/git-send-email.html * If your mail client supports setting the In-Reply-To header via mailto: links, try the mailto: link
ALT Linux sysadmins discussion This inbox may be cloned and mirrored by anyone: git clone --mirror http://lore.altlinux.org/sysadmins/0 sysadmins/git/0.git # If you have public-inbox 1.1+ installed, you may # initialize and index your mirror using the following commands: public-inbox-init -V2 sysadmins sysadmins/ http://lore.altlinux.org/sysadmins \ sysadmins@lists.altlinux.org sysadmins@lists.altlinux.ru sysadmins@lists.altlinux.com public-inbox-index sysadmins Example config snippet for mirrors. Newsgroup available over NNTP: nntp://lore.altlinux.org/org.altlinux.lists.sysadmins AGPL code for this site: git clone https://public-inbox.org/public-inbox.git