Почему OpenVPN не может распаковать трафик?

Question

[WSGlebKavash]

OpenVPN сервер на Ubuntu 22.04, а клиент на MagicUI Android 10. Соединение успешно устанавливается, и клиент делает вид, что работает. Однако трафик по тоннелю не идёт. Android client выдаёт ошибку:

TUN write exception: 
write_come: Invalid argument

В логах сервера есть зацепка:

023-01-12 19:09:07 us=407565 username@domain.org/X.X.X.X:60608 UDPv4 READ [85] from [AF_INET]X.X.X.X:60608: P_DATA_V2 kid=0 DATA len=84
2023-01-12 19:09:07 us=407590 username@domain.org/X.X.X.X:60608 TLS: tls_pre_decrypt, key_id=0, IP=[AF_INET]X.X.X.X:60608
2023-01-12 19:09:07 us=407612 username@domain.org/X.X.X.X:60608 PID_TEST [0] [SSL-0] [000222222222344444444444555566666667788888888888888999>>>>>>>>>>] 0:126 0:127 t=1673539747[0] r=[-3,64,15,1,1] sl=[2,64,64,528]
2023-01-12 19:09:07 us=407621 username@domain.org/X.X.X.X:60608 Bad LZO decompression header byte: 69
2023-01-12 19:09:07 us=414596 GET INST BY REAL: X.X.X.X:60608 [ok]

То есть, серверу не нравится байт заголовка декомрессии.

Конфиг сервера

port 65535
proto udp

dev tun

ca rsa/ca.crt
cert rsa/server.crt
key rsa/server.key  # This file should be kept secret
dh dh4096.pem

server 192.168.Y.X 255.255.255.0
server-ipv6 fdYY:YYYY:YYYY:Y::/64
topology subnet

push "route 192.168.Y.X 255.255.255.0"
push "route 192.168.Y.X 255.255.255.0"
push "route-ipv6 fdYY:YYYY:YYYY:Y::/64"

client-config-dir ccd

push "redirect-gateway def1 bypass-dhcp"

push "dhcp-option DNS 192.168.Y.X"
push "dhcp-option DNS 8.8.8.8"
push "dhcp-option DNS fdYY:YYYY:YYYY:Y:XXXX:XXXX:XXXX:XXXX"

keepalive 10 120

tls-auth ta.key 0

cipher AES-256-CBC

allow-compression yes

compress lz4-v2
push "compress lz4-v2"

comp-lzo adaptive
push "comp-lzo adaptive"

max-clients 50

persist-key
persist-tun

status /var/log/openvpn/openvpn-status.log

log         /var/log/openvpn/openvpn.log
log-append  /var/log/openvpn/openvpn.log

verb 7
mute 20

Конфиг клиента

client

dev tun
proto udp

remote domain.org 65535

remote-cert-tls server

tls-auth ta.key 1

cipher AES-256-CBC

comp-lzo

persist-key
persist-tun

verb 3
mute 20

<ca>
-----BEGIN CERTIFICATE-----
Сертификат корневого CA
-----END CERTIFICATE-----
</ca>
<cert>
-----BEGIN CERTIFICATE-----
Сертификат клиента
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
Сертификат промежуточного CA
-----END CERTIFICATE-----
</cert>
<key>
-----BEGIN ENCRYPTED PRIVATE KEY-----
Приватный ключ клиента
-----END ENCRYPTED PRIVATE KEY-----
</key>

В чём дело и почему OpenVPN сервер не может понять клиента? Как настроить OpenVPN клиент и сервер?

Comments

[Valentin Barbolin]

OK google
Bad LZO decompression header

Первая же ссылка в google.

[WSGlebKavash]

Andrey Barbolin,

Первая же ссылка в google.

Если бы решения помогли, вопроса не было бы.
Не помогают решения из Google, тут особый случай.

[Valentin Barbolin]

WSGlebKavash, Тогда тебе стоит итти на особый форму где решают особые вопросы)
Ты ведь не написал какие варианты решения уже пробовал, конфиг сервера не показывал.
А телепатов сегодня на форуме нет...

[WSGlebKavash]

Andrey Barbolin, Исправил вопрос.
Конфиг сервера и клиента прилагается.
Какое решние посоветуете?

[Руслан Федосеев]

выключить компрессию?

[shurshur]

А разве параметры компрессии можно пушить? Я бы начал с попытки добавить их в клиентский конфиг явным образом.

[WSGlebKavash]

shurshur,

А разве параметры компрессии можно пушить?

Вот тут вроде пушат.

Я бы начал с попытки добавить их в клиентский конфиг явным образом.

Так они добавлены.

[shurshur]

WSGlebKavash, там только comp-lzo и без adaptive, параметра compress вообще нет. Лучше сделать одинаково, потому что фиг его знает, как оно не понимает друг друга при разных комбинациях параметров.

[WSGlebKavash]

shurshur, В общем, мне не удалось заставить работать LZO на Honor 30i. На Windows работает, на Android нет. В ходе экспериментов выяснилось, что сервер игнорирует параметры клиента. Да если на клиенте принудительно указать comp-lzo no, сервер всё равно требует LZO. В итоге пришлось отключать LZO на сервере.
Как отключить LZO только для одного клиента?

[shurshur]

WSGlebKavash, никак, только повесить проблемного клиента на отдельный инстанс openvpn.

[shurshur]

WSGlebKavash, кстати в man openvpn рекомендуют сжатие не использовать.

[WSGlebKavash]

shurshur,

кстати в man openvpn рекомендуют сжатие не использовать.

Есть даже такое: WARNING: Compression for sending and receiving enabled. Compression has been used in the past to break encryption. Allowing compression allows attacks that break encryption. Using "--allow-compression yes" is strongly discouraged for common usage. See --compress in the manual page for more information

Answer 1

[rav_pr]

Приведи пример для чего это тебе нужно?

Серьезно, если ты не в Африке с интернетом по доллару за мегабайт.
Сжатие это плюс к пингу, к потреблению ресурсов. Сжати этом инус к безопасности, она ухудшает шифрование. А еще помни что сжать сжатое плохо получается. На контенте типо ютуба, твича, спотифай, инсты, тиктока да даже ленты ВК ты не увидишь хорошие цифры экономия трафика. Над всем медиаконтентом уже применены различные методы сжатия

Функция не работает и не запускается приложение, проект? - Да
Функция нужны?

1. Да - чиним
   
2. Нет - выпиливаем из кода, проекта, конфига