From: Sergey <a_s_y@sama.ru>
To: sysadmins@lists.altlinux.org
Subject: [Sysadmins] OpenVPN, замена сертификатов и "[ECONNREFUSED]"
Date: Wed, 5 Mar 2014 21:16:34 +0400
Message-ID: <201403052116.34724.a_s_y@sama.ru> (raw)
Приветствую.
Что-то лыжи не едут с OpenVPN. Был сервер, всё работало. Покончались
сертификаты, и сервера, и двух клиентов (в один день заводились).
Диагностика, при этом, случилась какая-то странная. Сертификат
истёк в момент, когда было установлено соединение. Какой раньше,
клиента, или сервера, уже не скажу.
notebook/X.X.X.X:55999 TLS: soft reset sec=0 bytes=7111664/0 pkts=13785/0
notebook/X.X.X.X:55999 TLS: new session incoming connection from X.X.X.X:55999
notebook/X.X.X.X:55999 TLS: new session incoming connection from X.X.X.X:55999
notebook/X.X.X.X:55999 TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity)
notebook/X.X.X.X:55999 TLS Error: TLS handshake failed
и т.д., по кругу.
Тут, пока, понятно. В этот момент я ещё логи не смотрел, что произошло,
не понял. Перезапустил соединение у себя пару раз, потом полез смотреть.
Увидел вот такое:
MULTI: multi_create_instance called
X.X.X.X:38425 Re-using SSL/TLS context
X.X.X.X:38425 LZO compression initialized
X.X.X.X:38425 Control Channel MTU parms [ L:1542 D:138 EF:38 EB:0 ET:0 EL:0 ]
X.X.X.X:38425 Data Channel MTU parms [ L:1542 D:1450 EF:42 EB:135 ET:0 EL:0 AF:3/1 ]
X.X.X.X:38425 Local Options hash (VER=V4): '530fdded'
X.X.X.X:38425 Expected Remote Options hash (VER=V4): '41690919'
X.X.X.X:38425 TLS: Initial packet from X.X.X.X:38425, sid=bf5808d4 8cf88eaf
read UDPv4 [ECONNREFUSED|ECONNREFUSED]: Connection refused (code=111)
read UDPv4 [ECONNREFUSED]: Connection refused (code=111)
X.X.X.X:38425 TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity)
X.X.X.X:38425 TLS Error: TLS handshake failed
X.X.X.X:38425 SIGUSR1[soft,tls-error] received, client-instance restarting
При чём тут, интересно Connection refused, если сертификат истёк ?...
Везде, где читал, только и советуют, что check your network connectivity.
Ладно, сегодня я сертификаты и сервера, и клиента одного переделал,
но только оно так и не работает. Connection refused, и всё тут.
Сейчас вот сижу, меджу мной VPN-сервером только точка доступа.
У OpenVPN нигде защиты нет от излишних попыток ? Может, где-то что-то
пишется, и стереть надо ?.. И нет, никаких fail2ban на сервере нет,
iptables отключал вообще. Да и смотрел tcpdump-ом, бегает трафик.
У кого какие мысли есть ? ca-root не истёк, его я надолго сделал в
прошлом году.
--
С уважением, Сергей
a_s_y@sama.ru
next reply other threads:[~2014-03-05 17:16 UTC|newest]
Thread overview: 4+ messages / expand[flat|nested] mbox.gz Atom feed top
2014-03-05 17:16 Sergey [this message]
2014-03-07 19:31 ` Sergey
2014-03-07 21:16 ` Michael Shigorin
2014-03-08 9:37 ` Sergey
Reply instructions:
You may reply publicly to this message via plain-text email
using any one of the following methods:
* Save the following mbox file, import it into your mail client,
and reply-to-all from there: mbox
Avoid top-posting and favor interleaved quoting:
https://en.wikipedia.org/wiki/Posting_style#Interleaved_style
* Reply using the --to, --cc, and --in-reply-to
switches of git-send-email(1):
git send-email \
--in-reply-to=201403052116.34724.a_s_y@sama.ru \
--to=a_s_y@sama.ru \
--cc=sysadmins@lists.altlinux.org \
/path/to/YOUR_REPLY
https://kernel.org/pub/software/scm/git/docs/git-send-email.html
* If your mail client supports setting the In-Reply-To header
via mailto: links, try the mailto: link
ALT Linux sysadmins discussion
This inbox may be cloned and mirrored by anyone:
git clone --mirror http://lore.altlinux.org/sysadmins/0 sysadmins/git/0.git
# If you have public-inbox 1.1+ installed, you may
# initialize and index your mirror using the following commands:
public-inbox-init -V2 sysadmins sysadmins/ http://lore.altlinux.org/sysadmins \
sysadmins@lists.altlinux.org sysadmins@lists.altlinux.ru sysadmins@lists.altlinux.com
public-inbox-index sysadmins
Example config snippet for mirrors.
Newsgroup available over NNTP:
nntp://lore.altlinux.org/org.altlinux.lists.sysadmins
AGPL code for this site: git clone https://public-inbox.org/public-inbox.git