Что не так с настройкой openvpn для доступа из yota (10.0.0.1)?

Question

[776166]

Коннект нестабильный: то отваливается, то не соединяется вообще, то соединяется, работает, а потом отваливается. То соединяется-не-работает-отваливается-в-цикле.
На самом сервере никаких перенастроек не было, просто стал выходить через yota. Через рандомный Билайн работает. На сервере настройка полного трафика с исключениями. Я даже менял подсеть с 10.x.x.0 на 100.x.x.x, не помогло. Та же картина.

Comments

[Ziptar]

Не так - йота. У них вообще дурная манера резать и шейпить всё подряд.

Answer 1

[Drno]

добро пожаловать в новую реальность, опенВПН блокируется частично... и давно

Comments

[776166]

Вряд ли. Это больше похоже на мисконфигурацию, потому что в логам много всего неприятно про выделение интерфейса, например. Но ни OpenVpn connect, ни Tunnelblk не справляются.

[Drno]

776166, мегафон, йота на нем, мтс, ростелеком давно уже блочат опенВПН... это инфа сотка... пишется что ошибка хендшейка обычно
если ошибка какая то другая - то может что то не то на севрере.
НО - Вы же говорите что с другого инета работает?))

[776166]

Drno, он работает, но нестабильно.
И я очень сомневаюсь, что они будут блочить всё подряд, потому что у половины крупных бизнесов послетают впны, хотя они не всегда именно openvpn используют, а хрень всякую проприетарную.

[Drno]

776166, так у нас и послетал.. года 2 как уже.. у ряда юзеров загородом 1 РТ, нихера опенВПН не работает))
а sstp работает.
при том и клиент и сервер в РФ, даже в 1 городе \ области)

[776166]

Drno, это печально, но тут всё периодически работает.

[Drno]

776166, ну так тоже самое.. то работает, то нет. то 10 минут, то 1 минуту, то неподключается...)
но в целом сами решайте, я смое личное мнение высказал

[776166]

Если симптомы такие же, то, возможно, так оно и есть — блокируют.
Придётся допиливать vpn over ssh.

[Drno]

776166, ненадо его допиливать. медленно и тоже могут блочить, точнее могут просто ограничить скорость ssh протокола до минимума

нужен впн - sstp \ zerotier - пока живет отлично)

нужно что то другое - xray+ vless+reality

[776166]

Drno, ssh блочить или vpn через ssh?

[Drno]

776166, ssh будут замедлять, он легко детектируется. vpn через ssh вроде как тоже можно определить по сигнатурам и размерам пакетов \ скорости \ количеству траффика

[776166]

Drno, значит всё будут замедлять.

[Drno]

776166, ну я думаю sstp в последную очередь. ну и зеротиер тот же еще надо выловить, он ходит p2p и умеет в tcp на любом порту...

[Ziptar]

Drno, если его p2p трафик, даже ходящий через 443/tcp, не похож на ssl - прибьют на dpi не почесавшись, так же точно, как openvpn. Последний сигнатурным анализом режут, и этот так же зарежут.

[Drno]

Ziptar, ну скорее да чем нет, но думаю до этого пока далеко

[Ziptar]

Кстати, автор, попробуй овпн свой увести на 443/TCP, в случае йоты может сработать, по крайней мере внутри страны; они могут тупо по портам шейпить по принципу: не 80/443 - шейпим. Без гарантий, но есть вероятность.

Answer 2

[Дмитрий]

> даже менял подсеть с 10.x.x.0 на 100.x.x.x, не помогло.

Подсеть 100.хх.хх.хх не относится к локальным и не будет работать в вашем конфиге. У вас в распоряжении только эти:

10.0.0.0 — 10.255.255.255 (маска подсети для бесклассовой (CIDR) адресации: 255.0.0.0 или /8);
100.64.0.0 — 100.127.255.255 (маска подсети 255.192.0.0 или /10). Данная подсеть рекомендована согласно RFC 6598 для использования в качестве адресов для CGN (Carrier-Grade NAT);
172.16.0.0 — 172.31.255.255 (маска подсети: 255.240.0.0 или /12);
192.168.0.0 — 192.168.255.255 (маска подсети: 255.255.0.0 или /16).

Попробуйте подсеть поменять на 10.93.0.0/24, или любое другое второе число.
Если ваши подсети и подсети оператора пересекаются, будет конфлит адресов и пакеты данных бегать не будут.