From mboxrd@z Thu Jan 1 00:00:00 1970 Return-Path: X-Spam-Checker-Version: SpamAssassin 3.2.5 (2008-06-10) on sa.int.altlinux.org X-Spam-Level: X-Spam-Status: No, score=-1.9 required=5.0 tests=AWL,BAYES_00 autolearn=ham version=3.2.5 From: Sergey To: sysadmins@lists.altlinux.org Date: Wed, 5 Mar 2014 21:16:34 +0400 User-Agent: KMail/1.9.10 (enterprise35 0.20100827.1168748) MIME-Version: 1.0 Content-Type: text/plain; charset="koi8-r" Content-Transfer-Encoding: 8bit Content-Disposition: inline Message-Id: <201403052116.34724.a_s_y@sama.ru> Subject: [Sysadmins] =?koi8-r?b?T3BlblZQTiwg2sHNxc7BINPF0tTJxsnLwdTP1yDJ?= =?koi8-r?b?ICJbRUNPTk5SRUZVU0VEXSI=?= X-BeenThere: sysadmins@lists.altlinux.org X-Mailman-Version: 2.1.12 Precedence: list Reply-To: ALT Linux sysadmins' discussion List-Id: ALT Linux sysadmins' discussion List-Unsubscribe: , List-Archive: List-Post: List-Help: List-Subscribe: , X-List-Received-Date: Wed, 05 Mar 2014 17:16:49 -0000 Archived-At: List-Archive: Приветствую. Что-то лыжи не едут с OpenVPN. Был сервер, всё работало. Покончались сертификаты, и сервера, и двух клиентов (в один день заводились). Диагностика, при этом, случилась какая-то странная. Сертификат истёк в момент, когда было установлено соединение. Какой раньше, клиента, или сервера, уже не скажу. notebook/X.X.X.X:55999 TLS: soft reset sec=0 bytes=7111664/0 pkts=13785/0 notebook/X.X.X.X:55999 TLS: new session incoming connection from X.X.X.X:55999 notebook/X.X.X.X:55999 TLS: new session incoming connection from X.X.X.X:55999 notebook/X.X.X.X:55999 TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity) notebook/X.X.X.X:55999 TLS Error: TLS handshake failed и т.д., по кругу. Тут, пока, понятно. В этот момент я ещё логи не смотрел, что произошло, не понял. Перезапустил соединение у себя пару раз, потом полез смотреть. Увидел вот такое: MULTI: multi_create_instance called X.X.X.X:38425 Re-using SSL/TLS context X.X.X.X:38425 LZO compression initialized X.X.X.X:38425 Control Channel MTU parms [ L:1542 D:138 EF:38 EB:0 ET:0 EL:0 ] X.X.X.X:38425 Data Channel MTU parms [ L:1542 D:1450 EF:42 EB:135 ET:0 EL:0 AF:3/1 ] X.X.X.X:38425 Local Options hash (VER=V4): '530fdded' X.X.X.X:38425 Expected Remote Options hash (VER=V4): '41690919' X.X.X.X:38425 TLS: Initial packet from X.X.X.X:38425, sid=bf5808d4 8cf88eaf read UDPv4 [ECONNREFUSED|ECONNREFUSED]: Connection refused (code=111) read UDPv4 [ECONNREFUSED]: Connection refused (code=111) X.X.X.X:38425 TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity) X.X.X.X:38425 TLS Error: TLS handshake failed X.X.X.X:38425 SIGUSR1[soft,tls-error] received, client-instance restarting При чём тут, интересно Connection refused, если сертификат истёк ?... Везде, где читал, только и советуют, что check your network connectivity. Ладно, сегодня я сертификаты и сервера, и клиента одного переделал, но только оно так и не работает. Connection refused, и всё тут. Сейчас вот сижу, меджу мной VPN-сервером только точка доступа. У OpenVPN нигде защиты нет от излишних попыток ? Может, где-то что-то пишется, и стереть надо ?.. И нет, никаких fail2ban на сервере нет, iptables отключал вообще. Да и смотрел tcpdump-ом, бегает трафик. У кого какие мысли есть ? ca-root не истёк, его я надолго сделал в прошлом году. -- С уважением, Сергей a_s_y@sama.ru