[Sysadmins] OpenVPN, замена сертификатов и "[ECONNREFUSED]"

Sergey a_s_y на sama.ru
Ср Мар 5 21:16:34 MSK 2014


Приветствую.

Что-то лыжи не едут с OpenVPN. Был сервер, всё работало. Покончались
сертификаты, и сервера, и двух клиентов (в один день заводились).

Диагностика, при этом, случилась какая-то странная. Сертификат
истёк в момент, когда было установлено соединение. Какой раньше,
клиента, или сервера, уже не скажу.

notebook/X.X.X.X:55999 TLS: soft reset sec=0 bytes=7111664/0 pkts=13785/0

notebook/X.X.X.X:55999 TLS: new session incoming connection from X.X.X.X:55999
notebook/X.X.X.X:55999 TLS: new session incoming connection from X.X.X.X:55999
notebook/X.X.X.X:55999 TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity)
notebook/X.X.X.X:55999 TLS Error: TLS handshake failed

и т.д., по кругу.

Тут, пока, понятно. В этот момент я ещё логи не смотрел, что произошло,
не понял. Перезапустил соединение у себя пару раз, потом полез смотреть.
Увидел вот такое:

MULTI: multi_create_instance called
X.X.X.X:38425 Re-using SSL/TLS context
X.X.X.X:38425 LZO compression initialized
X.X.X.X:38425 Control Channel MTU parms [ L:1542 D:138 EF:38 EB:0 ET:0 EL:0 ]
X.X.X.X:38425 Data Channel MTU parms [ L:1542 D:1450 EF:42 EB:135 ET:0 EL:0 AF:3/1 ]
X.X.X.X:38425 Local Options hash (VER=V4): '530fdded'
X.X.X.X:38425 Expected Remote Options hash (VER=V4): '41690919'
X.X.X.X:38425 TLS: Initial packet from X.X.X.X:38425, sid=bf5808d4 8cf88eaf
read UDPv4 [ECONNREFUSED|ECONNREFUSED]: Connection refused (code=111)
read UDPv4 [ECONNREFUSED]: Connection refused (code=111)
X.X.X.X:38425 TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity)
X.X.X.X:38425 TLS Error: TLS handshake failed
X.X.X.X:38425 SIGUSR1[soft,tls-error] received, client-instance restarting

При чём тут, интересно Connection refused, если сертификат истёк ?...
Везде, где читал, только и советуют, что check your network connectivity.

Ладно, сегодня я сертификаты и сервера, и клиента одного переделал,
но только оно так и не работает. Connection refused, и всё тут.
Сейчас вот сижу, меджу мной VPN-сервером только точка доступа.
У OpenVPN нигде защиты нет от излишних попыток ? Может, где-то что-то
пишется, и стереть надо ?.. И нет, никаких fail2ban на сервере нет, 
iptables отключал вообще. Да и смотрел tcpdump-ом, бегает трафик.

У кого какие мысли есть ? ca-root не истёк, его я надолго сделал в
прошлом году.

-- 
С уважением, Сергей
a_s_y на sama.ru


Подробная информация о списке рассылки Sysadmins