* [Sysadmins] OpenVPN, замена сертификатов и "[ECONNREFUSED]"
@ 2014-03-05 17:16 Sergey
2014-03-07 19:31 ` Sergey
0 siblings, 1 reply; 4+ messages in thread
From: Sergey @ 2014-03-05 17:16 UTC (permalink / raw)
To: sysadmins
Приветствую.
Что-то лыжи не едут с OpenVPN. Был сервер, всё работало. Покончались
сертификаты, и сервера, и двух клиентов (в один день заводились).
Диагностика, при этом, случилась какая-то странная. Сертификат
истёк в момент, когда было установлено соединение. Какой раньше,
клиента, или сервера, уже не скажу.
notebook/X.X.X.X:55999 TLS: soft reset sec=0 bytes=7111664/0 pkts=13785/0
notebook/X.X.X.X:55999 TLS: new session incoming connection from X.X.X.X:55999
notebook/X.X.X.X:55999 TLS: new session incoming connection from X.X.X.X:55999
notebook/X.X.X.X:55999 TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity)
notebook/X.X.X.X:55999 TLS Error: TLS handshake failed
и т.д., по кругу.
Тут, пока, понятно. В этот момент я ещё логи не смотрел, что произошло,
не понял. Перезапустил соединение у себя пару раз, потом полез смотреть.
Увидел вот такое:
MULTI: multi_create_instance called
X.X.X.X:38425 Re-using SSL/TLS context
X.X.X.X:38425 LZO compression initialized
X.X.X.X:38425 Control Channel MTU parms [ L:1542 D:138 EF:38 EB:0 ET:0 EL:0 ]
X.X.X.X:38425 Data Channel MTU parms [ L:1542 D:1450 EF:42 EB:135 ET:0 EL:0 AF:3/1 ]
X.X.X.X:38425 Local Options hash (VER=V4): '530fdded'
X.X.X.X:38425 Expected Remote Options hash (VER=V4): '41690919'
X.X.X.X:38425 TLS: Initial packet from X.X.X.X:38425, sid=bf5808d4 8cf88eaf
read UDPv4 [ECONNREFUSED|ECONNREFUSED]: Connection refused (code=111)
read UDPv4 [ECONNREFUSED]: Connection refused (code=111)
X.X.X.X:38425 TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity)
X.X.X.X:38425 TLS Error: TLS handshake failed
X.X.X.X:38425 SIGUSR1[soft,tls-error] received, client-instance restarting
При чём тут, интересно Connection refused, если сертификат истёк ?...
Везде, где читал, только и советуют, что check your network connectivity.
Ладно, сегодня я сертификаты и сервера, и клиента одного переделал,
но только оно так и не работает. Connection refused, и всё тут.
Сейчас вот сижу, меджу мной VPN-сервером только точка доступа.
У OpenVPN нигде защиты нет от излишних попыток ? Может, где-то что-то
пишется, и стереть надо ?.. И нет, никаких fail2ban на сервере нет,
iptables отключал вообще. Да и смотрел tcpdump-ом, бегает трафик.
У кого какие мысли есть ? ca-root не истёк, его я надолго сделал в
прошлом году.
--
С уважением, Сергей
a_s_y@sama.ru
^ permalink raw reply [flat|nested] 4+ messages in thread
* Re: [Sysadmins] OpenVPN, замена сертификатов и "[ECONNREFUSED]"
2014-03-05 17:16 [Sysadmins] OpenVPN, замена сертификатов и "[ECONNREFUSED]" Sergey
@ 2014-03-07 19:31 ` Sergey
2014-03-07 21:16 ` Michael Shigorin
0 siblings, 1 reply; 4+ messages in thread
From: Sergey @ 2014-03-07 19:31 UTC (permalink / raw)
To: ALT Linux sysadmins' discussion
On Wednesday 05 March 2014, Sergey wrote:
> read UDPv4 [ECONNREFUSED|ECONNREFUSED]: Connection refused (code=111)
> read UDPv4 [ECONNREFUSED]: Connection refused (code=111)
>
> При чём тут, интересно Connection refused, если сертификат истёк ?...
В общем, соединение обрывал клиент, а серверу доставалось Connection
refused. Почему сервер про спой просроченный сертификат сам не писал,
что-то непонятно. Ладно, придётся запомнить.
> Ладно, сегодня я сертификаты и сервера, и клиента одного переделал,
> но только оно так и не работает. Connection refused, и всё тут.
> Сейчас вот сижу, меджу мной VPN-сервером только точка доступа.
А тут неудачное стечение обстоятельств: к серверу ходил с другого интерфейса
(внутриофисного), опять же клиент обрывал соединение, уже из-за того, что
ответ сервера был с другого IP. Причём, в логе клиента как-то всё неполно,
когда он из-под network manager запускается. После запуска без NM всё сразу
стало понятно.
А на сервере, в это время, всё тат же Connection refused был.
--
С уважением, Сергей
a_s_y@sama.ru
^ permalink raw reply [flat|nested] 4+ messages in thread
* Re: [Sysadmins] OpenVPN, замена сертификатов и "[ECONNREFUSED]"
2014-03-07 19:31 ` Sergey
@ 2014-03-07 21:16 ` Michael Shigorin
2014-03-08 9:37 ` Sergey
0 siblings, 1 reply; 4+ messages in thread
From: Michael Shigorin @ 2014-03-07 21:16 UTC (permalink / raw)
To: ALT Linux sysadmins' discussion
On Fri, Mar 07, 2014 at 11:31:53PM +0400, Sergey wrote:
> В общем, соединение обрывал клиент, а серверу доставалось Connection
> refused. Почему сервер про спой просроченный сертификат сам не писал,
> что-то непонятно. Ладно, придётся запомнить.
Может иметь смысл упомянуть на
http://www.altlinux.org/Задачи_администратора
--
---- WBR, Michael Shigorin / http://altlinux.org
------ http://opennet.ru / http://anna-news.info
^ permalink raw reply [flat|nested] 4+ messages in thread
* Re: [Sysadmins] OpenVPN, замена сертификатов и "[ECONNREFUSED]"
2014-03-07 21:16 ` Michael Shigorin
@ 2014-03-08 9:37 ` Sergey
0 siblings, 0 replies; 4+ messages in thread
From: Sergey @ 2014-03-08 9:37 UTC (permalink / raw)
To: ALT Linux sysadmins' discussion
On Saturday 08 March 2014, Michael Shigorin wrote:
> Может иметь смысл упомянуть на
> http://www.altlinux.org/Задачи_администратора
В смысле в виде "отслеживание времени жизни ключей" ? Может быть.
--
С уважением, Сергей
a_s_y@sama.ru
^ permalink raw reply [flat|nested] 4+ messages in thread
end of thread, other threads:[~2014-03-08 9:37 UTC | newest]
Thread overview: 4+ messages (download: mbox.gz / follow: Atom feed)
-- links below jump to the message on this page --
2014-03-05 17:16 [Sysadmins] OpenVPN, замена сертификатов и "[ECONNREFUSED]" Sergey
2014-03-07 19:31 ` Sergey
2014-03-07 21:16 ` Michael Shigorin
2014-03-08 9:37 ` Sergey
ALT Linux sysadmins discussion
This inbox may be cloned and mirrored by anyone:
git clone --mirror http://lore.altlinux.org/sysadmins/0 sysadmins/git/0.git
# If you have public-inbox 1.1+ installed, you may
# initialize and index your mirror using the following commands:
public-inbox-init -V2 sysadmins sysadmins/ http://lore.altlinux.org/sysadmins \
sysadmins@lists.altlinux.org sysadmins@lists.altlinux.ru sysadmins@lists.altlinux.com
public-inbox-index sysadmins
Example config snippet for mirrors.
Newsgroup available over NNTP:
nntp://lore.altlinux.org/org.altlinux.lists.sysadmins
AGPL code for this site: git clone https://public-inbox.org/public-inbox.git