Почему OpenVPN на MikroTik обрывает соединение с клиентом OpenVPN Connect после успешной проверки сертификатов?

Question

[chelkrc]

Ключевые моменты:
В логах на стороне MikroTik (версия прошивки 6.48.2) видно, что после установки TCP-соединения и успешного обмена сертификатами связь пропадает с ошибкой peer disconnected.

14:54:08 ovpn,info !packet: TCP connection established from IP клиента 
14:54:08 ovpn,debug,packet !packet: sent P_CONTROL_HARD_RESET_SERVER_V2 kid=0 sid=b22c5831dcd66ab pid=0 DATA len=0 
14:54:08 ovpn,debug,packet !packet: rcvd P_CONTROL_HARD_RESET_CLIENT_V2 kid=0 sid=53d1599574f1dd3a pid=0 DATA len=0 
14:54:08 ovpn,debug,packet !packet: sent P_ACK kid=0 sid=b22c5831dcd66ab [0 sid=53d1599574f1dd3a] DATA len=0 
14:54:08 ovpn,debug,packet !packet: rcvd P_ACK kid=0 sid=53d1599574f1dd3a [0 sid=b22c5831dcd66ab] DATA len=0 
14:54:08 ovpn,debug,packet !packet: rcvd P_CONTROL kid=0 sid=53d1599574f1dd3a pid=1 DATA len=277 
14:54:08 ovpn,debug,packet !packet: sent P_ACK kid=0 sid=b22c5831dcd66ab [1 sid=53d1599574f1dd3a] DATA len=0 
14:54:08 ovpn,debug,packet !packet: sent P_CONTROL kid=0 sid=b22c5831dcd66ab pid=1 DATA len=1400 
14:54:08 ovpn,debug,packet !packet: sent P_CONTROL kid=0 sid=b22c5831dcd66ab pid=2 DATA len=750 
14:54:08 ovpn,debug,packet !packet: rcvd P_ACK kid=0 sid=53d1599574f1dd3a [1 sid=b22c5831dcd66ab] DATA len=0 
14:54:08 ovpn,debug,packet !packet: rcvd P_CONTROL kid=0 sid=53d1599574f1dd3a [2 sid=b22c5831dcd66ab] pid=2 DATA len=12
50 
14:54:08 ovpn,debug,packet !packet: sent P_ACK kid=0 sid=b22c5831dcd66ab [2 sid=53d1599574f1dd3a] DATA len=0 
14:54:08 ovpn,debug,packet !packet: rcvd P_CONTROL kid=0 sid=53d1599574f1dd3a pid=3 DATA len=790 
14:54:08 ovpn,debug,packet !packet: sent P_ACK kid=0 sid=b22c5831dcd66ab [3 sid=53d1599574f1dd3a] DATA len=0 
14:54:08 ovpn,debug,packet !packet: sent P_CONTROL kid=0 sid=b22c5831dcd66ab pid=3 DATA len=51 
14:54:08 ovpn,debug,packet !packet: rcvd P_CONTROL kid=0 sid=53d1599574f1dd3a [3 sid=b22c5831dcd66ab] pid=4 DATA len=44
0 
14:54:08 ovpn,debug,packet !packet: sent P_ACK kid=0 sid=b22c5831dcd66ab [4 sid=53d1599574f1dd3a] DATA len=0 
14:54:08 ovpn,info : using encoding - AES-256-CBC/SHA1 
14:54:08 ovpn,info !packet: : using encoding - AES-256-CBC/SHA1 
14:54:17 ovpn,debug !packet: <IP клиента>: disconnected <peer disconnected>

Логи клиента с приложения OVPN Connect версии 3.2.5 (на 3.5.0 тесты тоже проводились, результат аналогичен),
Тут в конце видно, что после проверки сертификатов происходит дисконнект:

14:32:25.764 -- Contacting открытый IP офиса:1194 via TCPv4
14:32:25.764 -- EVENT: WAIT
14:32:25.811 -- Connecting to [открытый IP офиса]:1194 (открытый IP офиса) via TCPv4
14:32:25.827 -- EVENT: CONNECTING

14:32:25.842 -- Tunnel Options:V4,dev-type tun,link-mtu 1559,tun-mtu 1500,proto TCPv4_CLIENT,cipher AES-256-CBC,auth SHA1,keysize 256,key-method 2,tls-client

14:32:25.843 -- Creds: UsernameEmpty/PasswordEmpty

14:32:25.844 -- Peer Info:
IV_VER=3.git::662eae9a:Release
IV_PLAT=android
IV_NCP=2
IV_TCPNL=1
IV_PROTO=2
IV_AUTO_SESS=1
IV_GUI_VER=net.openvpn.connect.android_3.2.5-7182
IV_SSO=openurl

14:32:25.934 -- VERIFY OK: depth=1, /CN=ca
14:32:25.934 -- VERIFY OK: depth=0, /CN=ovpn-server
14:33:25.770 -- EVENT: CONNECTION_TIMEOUT
14:33:25.784 -- EVENT: DISCONNECTED

dhcp пул для клиента есть, статику тоже прописывал

Настройки OVPN сервера на микротике:

enabled: yes
                        port: 1194
                        mode: ip
                     netmask: 24
                 mac-address: FE:5C:03:8E:CA:7B
                     max-mtu: 1450
           keepalive-timeout: 60
             default-profile: ovpn-profile
                 certificate: ovpn-server
  require-client-certificate: yes
                        auth: sha1
                      cipher: aes256

Конфигурация клиента:

client
dev tun
proto tcp
remote открытый IP офиса 1194
resolv-retry infinite
nobind
persist-key
persist-tun
ca ca.crt
cert client1.crt
key client1.key
keepalive 10 60
auth sha1
cipher AES-256-CBC
data-ciphers AES-256-CBC
data-ciphers-fallback AES-256-CBC
remote-cert-tls server
verb 3

Кто-нибудь сталкивался с подобной проблемой? Как можно решить эту проблему и добиться стабильного подключения?
Буду признателен за любую помощь!

Comments

[Денис Юрьев]

Скорее всего блокировки (на OpenVPN они ровно так и действуют - сессия создается, но тут же умирает)

Но для более точного ответа исправьте логи и выложите логи и клиента и сервера одной сессии.
у вас сейчас временные метки разные - что за чем идет не понятно.

[chelkrc]

без проблем, вот логи одной сессии:

Сервер микротик:

16:47:15 ovpn,info TCP connection established from 176.64.34.211 
16:47:15 ovpn,info !packet: TCP connection established from 176.64.34.211 
16:47:15 ovpn,debug,packet !packet: sent P_CONTROL_HARD_RESET_SERVER_V2 kid=0 sid=fcbbaea3fc3822a5 pid=0 DATA len=0 
16:47:15 ovpn,debug,packet !packet: rcvd P_CONTROL_HARD_RESET_CLIENT_V2 kid=0 sid=4f75af71de4b1d6 pid=0 DATA len=0 
16:47:15 ovpn,debug,packet !packet: sent P_ACK kid=0 sid=fcbbaea3fc3822a5 [0 sid=4f75af71de4b1d6] DATA len=0 
16:47:15 ovpn,debug,packet !packet: rcvd P_ACK kid=0 sid=4f75af71de4b1d6 [0 sid=fcbbaea3fc3822a5] DATA len=0 
16:47:15 ovpn,debug,packet !packet: rcvd P_CONTROL kid=0 sid=4f75af71de4b1d6 pid=1 DATA len=277 
16:47:15 ovpn,debug,packet !packet: sent P_ACK kid=0 sid=fcbbaea3fc3822a5 [1 sid=4f75af71de4b1d6] DATA len=0 
16:47:15 ovpn,debug,packet !packet: sent P_CONTROL kid=0 sid=fcbbaea3fc3822a5 pid=1 DATA len=1400 
16:47:15 ovpn,debug,packet !packet: sent P_CONTROL kid=0 sid=fcbbaea3fc3822a5 pid=2 DATA len=750 
16:47:15 ovpn,debug,packet !packet: rcvd P_ACK kid=0 sid=4f75af71de4b1d6 [1 sid=fcbbaea3fc3822a5] DATA len=0 
16:47:15 ovpn,debug,packet !packet: rcvd P_CONTROL kid=0 sid=4f75af71de4b1d6 [2 sid=fcbbaea3fc3822a5] pid=2 DATA len=12
50 
16:47:15 ovpn,debug,packet !packet: sent P_ACK kid=0 sid=fcbbaea3fc3822a5 [2 sid=4f75af71de4b1d6] DATA len=0 
16:47:15 ovpn,debug,packet !packet: rcvd P_CONTROL kid=0 sid=4f75af71de4b1d6 pid=3 DATA len=790 
16:47:15 ovpn,debug,packet !packet: sent P_ACK kid=0 sid=fcbbaea3fc3822a5 [3 sid=4f75af71de4b1d6] DATA len=0 
16:47:15 ovpn,debug,packet !packet: sent P_CONTROL kid=0 sid=fcbbaea3fc3822a5 pid=3 DATA len=51 
16:47:16 ovpn,debug,packet !packet: rcvd P_CONTROL kid=0 sid=4f75af71de4b1d6 [3 sid=fcbbaea3fc3822a5] pid=4 DATA len=44
0 
16:47:16 ovpn,debug,packet !packet: sent P_ACK kid=0 sid=fcbbaea3fc3822a5 [4 sid=4f75af71de4b1d6] DATA len=0 
16:47:16 ovpn,info : using encoding - AES-256-CBC/SHA1 
16:47:16 ovpn,info !packet: : using encoding - AES-256-CBC/SHA1 
16:48:15 ovpn,debug !packet: <176.64.34.211>: disconnected <peer disconnected>

OVPN Client:

16:46:17.463 -- ----- OpenVPN Start -----

16:46:17.465 -- EVENT: CORE_THREAD_ACTIVE

16:46:17.467 -- OpenVPN core 3.git::662eae9a:Release android armv7a thumb2 32-bit PT_PROXY

16:46:17.474 -- Frame=512/2048/512 mssfix-ctrl=1250

16:46:17.487 -- UNUSED OPTIONS
4 [resolv-retry] [infinite] 
5 [nobind] 
6 [persist-key] 
7 [persist-tun] 
12 [route-method] [exe] 
13 [route-delay] [2] 
17 [data-ciphers] [AES-256-CBC] 
18 [data-ciphers-fallback] [AES-256-CBC] 
19 [tls] [client] 
21 [verb] [3] 

16:46:17.487 -- EVENT: RESOLVE

16:46:17.490 -- Contacting внешний ip офиса:1194 via TCPv4

16:46:17.491 -- EVENT: WAIT

16:46:17.520 -- Connecting to [внешний ip офиса]:1194 (внешний ip офиса) via TCPv4

16:46:17.538 -- EVENT: CONNECTING

16:46:17.557 -- Tunnel Options:V4,dev-type tun,link-mtu 1559,tun-mtu 1500,proto TCPv4_CLIENT,cipher AES-256-CBC,auth SHA1,keysize 256,key-method 2,tls-client

16:46:17.557 -- Creds: UsernameEmpty/PasswordEmpty

16:46:17.558 -- Peer Info:
IV_VER=3.git::662eae9a:Release
IV_PLAT=android
IV_NCP=2
IV_TCPNL=1
IV_PROTO=2
IV_AUTO_SESS=1
IV_GUI_VER=net.openvpn.connect.android_3.2.5-7182
IV_SSO=openurl


16:46:17.673 -- VERIFY OK: depth=1, /CN=ca

16:46:17.674 -- VERIFY OK: depth=0, /CN=ovpn-server

16:47:17.495 -- EVENT: CONNECTION_TIMEOUT

16:47:17.507 -- EVENT: DISCONNECTED

[Drno]

chelkrc, советую забыть про openvpn и настроить sstp, пока еще не начали настраивать клиентов)
опенВПН реально блочат, где то больше, где то меньше

[chelkrc]

Drno, не думаю что это блокировка, так как пакеты по началу все таки передаются, думаю проблема связана с синхронизацией настроек шифрования клиента и сервера, постараюсь вынуть более подробные логи

[Drno]

chelkrc, очень часто блокировка выглядит так.
идет хендшейк, происходит подключени. при попытке что то открыть через впн (сайт) соединение фейлится и начинает переподключаться

[chelkrc]

Drno , сомневаюсь я по тому что нахожусь в КЗ, а блокируют впн в РФ, но возможно вы правы, так как основной трафик в КЗ берется из линии РФ, хотелось бы больше информации о блокировке найти, уже 3-й день мучаюсь с настройкой

[Drno]

chelkrc, ну попробуйте банально сменить порт.. на нестандартный. да и часть блокировок для РФ распространяется на КЗ, именно потому что магистраль из РФ)

Answer 1

[Cr3w]

14:32:25.843 -- Creds: UsernameEmpty/PasswordEmpty
А микротик может без юзера работать?

В микроте создаешь юзера (PPP->Secrets).
В конфиге пользователя auth-user-pass без параметров для интерактивного запроса или auth-user-pass "имя_файла" с логином и паролем.

Comments

[chelkrc]

ого, такая мелочь а избавила от таких мучений, спасибо огромное, помогло, нужно было просто создать txt файл с логином и паролем)