Как одновременно поднять 2 openvpn туннеля (udp)?

Question

[m2_viktor]

Здравствуйте, на virtualbox есть два openvpn сервера и клиент( все debian8), которые используют протокол udp. Клиент одновременно подключается к обоим серверам, при подключении ко второму, появляется ошибка:
TCP/UDP: Socket bind failed on local address [undef]: Address already in use

Инглиш немного знаю, "сокет не может забиндится на локальный адрес: адрес уже используется.

netstat -u на клиенте выдает пустоту.

С tcp все ок:
tcp 0 0 client.lan:51801 ovpn2.lan:10883 ESTABLISHED
tcp 0 0 client.lan:49416 ovpn1.lan:10882 ESTABLISHED

Я немного знаю теорию по соектам в контексте именно слушающего сокета:
Cлушающий tcp сокет, при установлении с ним соединения, создает копию себя и уже с копией устанавливается соединение, слушающий udp-сокет просто принимает дейтаграмму без установления соединения, на один сокет, от любого количества клиентов. И я думаю это както связанно с моей ситуацией.

Помогите разобраться.

Comments

[AlexeySetevoi]

Вообще - два туннеля одновременно с клиента - это штатная задача и работает из коробки. Покажите конфиги чтоли?

[m2_viktor]

AlexeySetevoi: дак TCP работает, дело в UDP

[m2_viktor]

AlexeySetevoi:

dev tun
tls-server
server 10.10.0.0 255.255.255.248
ifconfig 10.10.0.1 255.255.255.248
topology subnet
#keys
dh dh1024.pem
ca ca.crt
cert ovpn1.crt
key ovpn1.key
port 10882
proto udp
comp-lzo
persist-tun
persist-key
verb 3
keepalive 10 60

client
dev tun
proto tcp
remote ovpn1 10882
tun-mtu 1500
persist-key
persist-tun
tls-client
ca ca.crt
cert client.crt
key client.key
ns-cert-type server
comp-lzo
verb 3
keepalive 10 60

[m2_viktor]

У клиента proto udp конечно, там опечатка.

Answer 1

[AlexeySetevoi]

Тут механика какая, поведение по умолчанию текущей версии openvpn различается для tcp и udp.
Для tcp соединений с клиента openvpn по-умолчанию автоматом выбирает незанятый непривилегированный порт на машине-клиенте и использует его в соединении с сервером, поэтому получается нормально, те как-то так:

tcp        0      0 client:46788            ovpn1:10882             ESTABLISHED 2320/openvpn    
tcp        0      0 client:38172            ovpn2:10882             ESTABLISHED 2322/openvpn

Для udp openvpn с вашими конфигами не будет выбирать порт автоматом на клиенте - а попытается повесить процесс на локальный порт 1194. Первый успевший сделать коннект клиент нормально свяжется с сервером и займет 1194. Второй и последующие клиенты с такими конфигами будут пытаться занять 1194 - и получат отлуп - что и наблюдается в ошибке.
Быстрые варианты это обойти - либо прописать в конфиге клиента локальный занимаемый порт статически те добавить по опции в каждый клиентский конфиг:

lport 44455 - первому клиенту
lport 44456 - второму клиенту

либо, указать опцию
nobind в каждом конфиге, в этом случае назначение локальных портов openvpn будет делать аналогично tcp автоматом.

Вообще - задача выбора локального незанятого порта автоматом принципиально для tcp и udp не отличается bind() или connect() смотря где - поэтому такое поведение, на мой взгляд - это личное поведение openvpn продиктованное соображениями его сообщества, без какой-то обязательной привязки к теории.

Comments

[m2_viktor]

netstat -u не показывает udp сокеты, зато netstat -au показывает, эх как все сложно у этих маленьких консольных командочек. Знал бы раньше не спрашивал бы конечно.

[AlexeySetevoi]

Я уже автоматом давно набираю, привычка, долгие и бессонные ночи в ISP сказываются.
Придет и вам, если будет необходимость. Проще вывести все - и отгрепать, чем пропустить важное.

[m2_viktor]

Просто netstat и netstat -u не покажут udp, только с опцией -a это возможно.

Answer 2

[paxlo]

В конфиге клиента убрать строчку
port такойто

Строчку remote привести к виду
remote ip-впн-cервера порт udp (или tcp что у тебя там)

Добавить строчку
nobind

ЧТобы получилось в итоге:
remote 192.168.192.10 1194 udp
nobind