Почему перестали подключаться устройства (PC Win, MacBook, iPhone) к OpenVPN, но Linux сервера подключаются?

Question

[karabasina]

Есть VPS на котором поднято два OpenVPN сервера:

OpenVPN сервер 1 - TCP, 443 порт
OpenVPN сервер 2 - TCP, 445 порт

На 2 сервере все нормально, а вот к 1 серверу вчера перестали подключаться мои устройства PC Win, MacBook, iPhone, на телефоне проверял и с wi-fi и с сотовой сети Мегафон

При этом Linux cервера подключаются нормально, я даже закидывал на один из серваков ключ для iphone и на Linux сервер он подключается

В логах такая инфа

2023-04-19 10:21:05 Outgoing Control Channel Authentication: Using 256 bit message hash 'SHA256' for HMAC authentication
2023-04-19 10:21:05 Incoming Control Channel Authentication: Using 256 bit message hash 'SHA256' for HMAC authentication
2023-04-19 10:21:05 TCP connection established with [AF_INET]178.178.89.19:29295
2023-04-19 10:21:11 (тут был мой IP) TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity)
2023-04-19 10:21:11 (тут был мой IP) TLS Error: TLS handshake failed
2023-04-19 10:21:11 (тут был мой IP) Fatal TLS error (check_tls_errors_co), restarting
2023-04-19 10:21:11 (тут был мой IP) SIGUSR1[soft,tls-error] received, client-instance restarting

Грешить на то, что провайдер фильтрует VPN протокол врятли, так как врятли оба провайдера закрыли бы это одновременно, также врятли бы закрыли 443 порт еще и одновременно два провайдера, да и 443 порт выбирал специально, так как его вообще врятли закроют

В чем может быть проблема?

UDP 21.04.2023

Провел эксперимент, склонировал VPS, поменял в ключе на маке ip адрес и все подключилось

То есть, по факту на другой идентичный сервак ключ подключается

По сути я щас конечно могу просто переехать на склонированный сервак, но хочется разобраться

Comments

[Drno]

сертификаты живые? может протухли \ отмиенились?
а вообще - похоже на блокировку... но тогда бы и 2й не подключался...

[karabasina]

Drno, дак я вот говорю, кидал на линуксовый сервак ключ который на айфоне не работает, на серваке все подключилось

[mureevms]

У меня только одна версия. В OpenSSL только за март нашли четыре критических уязвимости, быть может PC Win, MacBook, iPhone его обновили и поэтому не коннектится, а серваки на Линуксе нет и поэтому они работают. Имеет смысл обновить его везде.

[karabasina]

mureevms, второй сервак OpenVPN идентичный первому, там подключается

Обнов за последний день на устройствах не было

[mureevms]

karabasina, Если все как вы описываете, и нет других гипотез - имеет смысл проверить существующие, а не отбрасывать.

[karabasina]

Drno mureevms, смотрите описание эксперимента, я добавил UDP в вопрос, ситуация интересная

[mureevms]

karabasina, пинг на старый сервер проходит от проблемных клиентов? Быть может провайдер заблокировал подсеть или как-то криво ее смаршрутизировал, а ваш сервер попал под раздачу

Answer 1

[A1u]

Насколько я понимаю, провайдеру не составляет труда оличить HTTPS трафик от OpenVPN трафика и заблокировать последний (And yet another possible explanation).

Попробуй пробросить порт на сервере например 1194 на 443 (см). Если клиенты у которых ранее были проблемы с подключением по 443 смогут подключиться по 1194, то это аргумент в пользу версии блокировки OpenVPN трафика через 443 провайдером. Чтобы замаскировать OpenVPN трафик под HTTPS трафик можно пробовать настроить OpenVPN через что-то типо obfsproxy (например) и т.п.