ALT Linux sysadmins discussion
 help / color / mirror / Atom feed
* [Sysadmins] OpenVPN, замена сертификатов и "[ECONNREFUSED]"
@ 2014-03-05 17:16 Sergey
  2014-03-07 19:31 ` Sergey
  0 siblings, 1 reply; 4+ messages in thread
From: Sergey @ 2014-03-05 17:16 UTC (permalink / raw)
  To: sysadmins

Приветствую.

Что-то лыжи не едут с OpenVPN. Был сервер, всё работало. Покончались
сертификаты, и сервера, и двух клиентов (в один день заводились).

Диагностика, при этом, случилась какая-то странная. Сертификат
истёк в момент, когда было установлено соединение. Какой раньше,
клиента, или сервера, уже не скажу.

notebook/X.X.X.X:55999 TLS: soft reset sec=0 bytes=7111664/0 pkts=13785/0

notebook/X.X.X.X:55999 TLS: new session incoming connection from X.X.X.X:55999
notebook/X.X.X.X:55999 TLS: new session incoming connection from X.X.X.X:55999
notebook/X.X.X.X:55999 TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity)
notebook/X.X.X.X:55999 TLS Error: TLS handshake failed

и т.д., по кругу.

Тут, пока, понятно. В этот момент я ещё логи не смотрел, что произошло,
не понял. Перезапустил соединение у себя пару раз, потом полез смотреть.
Увидел вот такое:

MULTI: multi_create_instance called
X.X.X.X:38425 Re-using SSL/TLS context
X.X.X.X:38425 LZO compression initialized
X.X.X.X:38425 Control Channel MTU parms [ L:1542 D:138 EF:38 EB:0 ET:0 EL:0 ]
X.X.X.X:38425 Data Channel MTU parms [ L:1542 D:1450 EF:42 EB:135 ET:0 EL:0 AF:3/1 ]
X.X.X.X:38425 Local Options hash (VER=V4): '530fdded'
X.X.X.X:38425 Expected Remote Options hash (VER=V4): '41690919'
X.X.X.X:38425 TLS: Initial packet from X.X.X.X:38425, sid=bf5808d4 8cf88eaf
read UDPv4 [ECONNREFUSED|ECONNREFUSED]: Connection refused (code=111)
read UDPv4 [ECONNREFUSED]: Connection refused (code=111)
X.X.X.X:38425 TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity)
X.X.X.X:38425 TLS Error: TLS handshake failed
X.X.X.X:38425 SIGUSR1[soft,tls-error] received, client-instance restarting

При чём тут, интересно Connection refused, если сертификат истёк ?...
Везде, где читал, только и советуют, что check your network connectivity.

Ладно, сегодня я сертификаты и сервера, и клиента одного переделал,
но только оно так и не работает. Connection refused, и всё тут.
Сейчас вот сижу, меджу мной VPN-сервером только точка доступа.
У OpenVPN нигде защиты нет от излишних попыток ? Может, где-то что-то
пишется, и стереть надо ?.. И нет, никаких fail2ban на сервере нет, 
iptables отключал вообще. Да и смотрел tcpdump-ом, бегает трафик.

У кого какие мысли есть ? ca-root не истёк, его я надолго сделал в
прошлом году.

-- 
С уважением, Сергей
a_s_y@sama.ru


^ permalink raw reply	[flat|nested] 4+ messages in thread

* Re: [Sysadmins] OpenVPN, замена сертификатов и "[ECONNREFUSED]"
  2014-03-05 17:16 [Sysadmins] OpenVPN, замена сертификатов и "[ECONNREFUSED]" Sergey
@ 2014-03-07 19:31 ` Sergey
  2014-03-07 21:16   ` Michael Shigorin
  0 siblings, 1 reply; 4+ messages in thread
From: Sergey @ 2014-03-07 19:31 UTC (permalink / raw)
  To: ALT Linux sysadmins' discussion

On Wednesday 05 March 2014, Sergey wrote:

> read UDPv4 [ECONNREFUSED|ECONNREFUSED]: Connection refused (code=111)
> read UDPv4 [ECONNREFUSED]: Connection refused (code=111)
> 
> При чём тут, интересно Connection refused, если сертификат истёк ?...

В общем, соединение обрывал клиент, а серверу доставалось Connection
refused. Почему сервер про спой просроченный сертификат сам не писал,
что-то непонятно. Ладно, придётся запомнить.

> Ладно, сегодня я сертификаты и сервера, и клиента одного переделал,
> но только оно так и не работает. Connection refused, и всё тут.
> Сейчас вот сижу, меджу мной VPN-сервером только точка доступа.

А тут неудачное стечение обстоятельств: к серверу ходил с другого интерфейса
(внутриофисного), опять же клиент обрывал соединение, уже из-за того, что 
ответ сервера был с другого IP. Причём, в логе клиента как-то всё неполно,
когда он из-под network manager запускается. После запуска без NM всё сразу
стало понятно.

А на сервере, в это время, всё тат же Connection refused был.

-- 
С уважением, Сергей
a_s_y@sama.ru


^ permalink raw reply	[flat|nested] 4+ messages in thread

* Re: [Sysadmins] OpenVPN, замена сертификатов и "[ECONNREFUSED]"
  2014-03-07 19:31 ` Sergey
@ 2014-03-07 21:16   ` Michael Shigorin
  2014-03-08  9:37     ` Sergey
  0 siblings, 1 reply; 4+ messages in thread
From: Michael Shigorin @ 2014-03-07 21:16 UTC (permalink / raw)
  To: ALT Linux sysadmins' discussion

On Fri, Mar 07, 2014 at 11:31:53PM +0400, Sergey wrote:
> В общем, соединение обрывал клиент, а серверу доставалось Connection
> refused. Почему сервер про спой просроченный сертификат сам не писал,
> что-то непонятно. Ладно, придётся запомнить.

Может иметь смысл упомянуть на
http://www.altlinux.org/Задачи_администратора

-- 
 ---- WBR, Michael Shigorin / http://altlinux.org
  ------ http://opennet.ru / http://anna-news.info


^ permalink raw reply	[flat|nested] 4+ messages in thread

* Re: [Sysadmins] OpenVPN, замена сертификатов и "[ECONNREFUSED]"
  2014-03-07 21:16   ` Michael Shigorin
@ 2014-03-08  9:37     ` Sergey
  0 siblings, 0 replies; 4+ messages in thread
From: Sergey @ 2014-03-08  9:37 UTC (permalink / raw)
  To: ALT Linux sysadmins' discussion

On Saturday 08 March 2014, Michael Shigorin wrote:

> Может иметь смысл упомянуть на
> http://www.altlinux.org/Задачи_администратора

В смысле в виде "отслеживание времени жизни ключей" ? Может быть. 

-- 
С уважением, Сергей
a_s_y@sama.ru


^ permalink raw reply	[flat|nested] 4+ messages in thread

end of thread, other threads:[~2014-03-08  9:37 UTC | newest]

Thread overview: 4+ messages (download: mbox.gz / follow: Atom feed)
-- links below jump to the message on this page --
2014-03-05 17:16 [Sysadmins] OpenVPN, замена сертификатов и "[ECONNREFUSED]" Sergey
2014-03-07 19:31 ` Sergey
2014-03-07 21:16   ` Michael Shigorin
2014-03-08  9:37     ` Sergey

ALT Linux sysadmins discussion

This inbox may be cloned and mirrored by anyone:

	git clone --mirror http://lore.altlinux.org/sysadmins/0 sysadmins/git/0.git

	# If you have public-inbox 1.1+ installed, you may
	# initialize and index your mirror using the following commands:
	public-inbox-init -V2 sysadmins sysadmins/ http://lore.altlinux.org/sysadmins \
		sysadmins@lists.altlinux.org sysadmins@lists.altlinux.ru sysadmins@lists.altlinux.com
	public-inbox-index sysadmins

Example config snippet for mirrors.
Newsgroup available over NNTP:
	nntp://lore.altlinux.org/org.altlinux.lists.sysadmins


AGPL code for this site: git clone https://public-inbox.org/public-inbox.git