Почему отвалились клиенты?

Question

[Drno]

Имеем - опенвпн роутер на микротике. Серт сгенерирован на нём, ca и клиентские
На клиентах - ubuntu 16.04. Подключение идет по доменному имени. Его проверил - всё ок, валидно,оплачено,отдает нужный IP

Сегодня массово отвалились клиенты от сервера. И не появляются обратно.
Клиентов более 300, раскиданы по РФ, днс сервера везде 1.1.1.1 и 8.8.8.8

Развернул образ клиента на виртуалке дома, и в дата центре(арендовал vps). Все ок, всё работает/подключается.
UPD
Клиенты на винде - 7 и 10 - работаю нормально
Клиенты на микротиках - работают нормально
Клиенты на ubuntu18 (распберри) - отвалилось только 50% (примерно)
образы ВЕЗДЕ одинаковые!!! Был сделан "эталон" с которого тупо клонировали машины, и ничего там не менялось

Есть какие то идеи??
UPD - дали доступ до одной из точек - помог перезапуск openvpn@client. тупо был в статусе failed.... я вообще непонимаю

UPD
клиенты уже начали появляться, косяк был явно с DNS (кеш обновился видимо), но юзать ip адрес для подключения тож не вариант, сервак иногда переезжает...

Comments

[ky0]

Посмотреть лог с отвалившегося клиента есть возможность?

[Drno]

ky0, к сожалению нет) к ним нет доступа. завтра попробуем выбить подключение

Answer 1

[Сергей О]

Роскомнадзор балуется с днс поменяйте, блокируются

Comments

[Drno]

если бы я мог на них зайти)))
меня устраивают ДНС клоудфаре и гугла, предлагаете добавить какие то наши?
В целом на клиентах мне пофиг от какого ДНС они получат ответ, там секретности нету никакой
Если указать 4 DNS, убунту опросит их по порядку? и если с первых 3х не получит ответ, но получит от 4го, то возьмет адрес оттуда?

[Сергей О]

должно быть да, может проще в хост прописать?

[Drno]

Сергей О, а потом менять везде ip при смене адреса сервера. Нет, это не вариант

Answer 2

[Gansterito]

Может быть не совсем применимо к описанному случаю, но рекомендую начинать готовиться к блокировкам любых VPN на ТСПУ. Ищите обходные пути, разрабатывайте запасные сценарии работы...

Comments

[Drno]

Какие варианты предложите? И так на половине объектов pptp и l2tp не пашут.
Ток опенвпн прокатывает)

[Gansterito]

Drno, как вариант - во что-то завернуть. Например, в HTTPS или в SSH.

[Drno]

Gansterito, конкретизируйте плз идею. т.к. клиенты будут увеличиваться и такой отвал это пиндец беда будет))
типо клиент автоконектится к серверу по ssh?? и по нему уже чет пускать? или как....
openvpn и так по 443 порту идет

[Gansterito]

Drno, ТСПУ - это DPI, он не смотрит на порты, он ищет сигнатуры. И скорее всего по сигнатурам OpenVPN в скором времени будет блокироваться весь трафик, за исключением белых списков.
Я бы делал костыли из серии: bat-файл, где запускается SSH-туннель, а затем через него OpenVPN.

[Drno]

Gansterito, так а что мешает DPI блокировать ssh....
думал искать вариант по типу торрентового протокола
Типо как "облако" у камер работает... только не понимаю на чем у них серверная часть поднята
Ну не ноду же ТОРа поднимать на каждой машине)))

UPD
клиенты уже начали появляться, косяк был явно с DNS (кеш обновился видимо), но юзать ip адрес для подключения тож не вариант, сервак иногда переезжает...

[Gansterito]

Drno, SSH все-таки не массовый well-known-протокол. Если его и ограничат, то уже после всех явных VPN-ов.
Крутите TTL для возможности оперативного обновления записей в кэшах рекурсивных DNS. Возможно, выручит в следующий раз...