Клиентские подключения перебивают друг друга. Как можно поправить?

Question

[Денис Шавалеев]

Доброго времени суток!

Есть такой момент, на CentOS8 установлены OpenVPN+easy-rsa, отконфигурировал центральный свитч на проброс порта с внешнего адреса на сервер. В целом соединения стартуют без проблем, но толи в меру своей криворукости, толи еще по каким причинам, когда идет одно соединение, все идет без проблем, стоит подключиться кому-то еще, соединения начинают рвать друг друга. Читал маны не смог понять в чем может быть прикол, т.к. в целом по конфигу вроде все верно. хоть и более чем уверен, что напартачил в них.

server.conf

local 192.168.88.202
port 65000
proto tcp4
dev tun
ca /etc/openvpn/server/keys/ca.crt
cert /etc/openvpn/server/keys/ovp.crt
key /etc/openvpn/server/keys/ovp.key
dh /etc/openvpn/server/keys/dh.pem
tls-auth /etc/openvpn/server/keys/ta.key 0
crl-verify /etc/openvpn/server/keys/crl.pem
server 174.25.67.0 255.255.255.0
push "route 192.168.0.0 255.255.255.0"
push "route 192.168.1.0 255.255.255.0"
push "route 192.168.5.0 255.255.255.0"
push "route 192.168.7.0 255.255.255.0"
push "route 192.168.8.0 255.255.255.0"
push "route 192.168.42.0 255.255.255.0"
push "route 192.168.88.0 255.255.255.0"
push "route 192.168.113.0 255.255.255.0"
push "route 192.168.203.0 255.255.255.0"
ifconfig-pool-persist /etc/openvpn/server/ipp.txt
keepalive 10 120
max-clients 100
persist-key
persist-tun
status /var/log/openvpn/openvpn-status.log
log-append /var/log/openvpn/openvpn.log
verb 3
mute 20
daemon
mode server
tls-server
comp-lzo yes
sndbuf 524288
rcvbuf 524288
push "sndbuf 524288"
push "rcvbuf 524288"
tcp-nodelay

client.ovpn

client
dev tun
proto tcp4
remote xxx.xxx.xxx.xxx 65000
resolv-retry infinite
nobind
persist-key
persist-tun
ca ca.crt
dh dh.pem
tls-client
tls-auth ta.key 1
float
keepalive 10 120
comp-lzo
verb 0
cert d_shavaleev.crt
key d_shavaleev.key

Comments

[zohan1993]

клиенты получают IP правильно?
как настроено здесь?
ifconfig-pool-persist /etc/openvpn/server/ipp.txt

[Денис Шавалеев]

zohan1993, Да, с адрессацией а-ля DHCP все ок, каждому клиенту свой притягивается

ipp.txt

ChangeMe,174.25.67.4
d_shavaleev,174.25.67.6
testclient,174.25.67.8
r_kvarackhelia,174.25.67.12

[zohan1993]

ок
а что логи говорят?

[Денис Шавалеев]

Клиентский лог гворит, что EVENT:TRANSPORT_ERROR info='Transport error on 'xxx.xxx.xxx.xxx:NETWORK_EOF_ERROR', далее дисконнект, запуск туннеля и по кругу.

Логи на сервере:

/var/log/openvpn/openvpn.log

Socket flags: TCP_NODELAY=1 succeeded
n:63896 TLS: Initial packet from [AF_INET]n:63896, sid=a9ba960a 7ce8d114
n:63896 VERIFY OK: depth=1, CN=ovp
n:63896 VERIFY OK: depth=0, CN=ChangeMe
n:63896 peer info: IV_VER=3.git::3e56f9a6
n:63896 peer info: IV_PLAT=win
n:63896 peer info: IV_NCP=2
n:63896 peer info: IV_TCPNL=1
n:63896 peer info: IV_PROTO=2
n:63896 peer info: IV_LZO_STUB=1
n:63896 peer info: IV_COMP_STUB=1
n:63896 peer info: IV_COMP_STUBv2=1
n:63896 peer info: IV_AUTO_SESS=1
n:63896 peer info: IV_GUI_VER=OCWindows_3.2.1-1180
n:63896 peer info: IV_SSO=openurl
n:63896 peer info: IV_BS64DL=1
n:63896 WARNING: 'link-mtu' is used inconsistently, local='link-mtu 1552', remote='link-mtu 1544'
n:63896 WARNING: 'cipher' is used inconsistently, local='cipher AES-256-GCM', remote='cipher BF-CBC'
n:63896 WARNING: 'auth' is used inconsistently, local='auth [null-digest]', remote='auth SHA1'
n:63896 WARNING: 'keysize' is used inconsistently, local='keysize 256', remote='keysize 128'
n:63896 Control Channel: TLSv1.3, cipher TLSv1.3 TLS_AES_256_GCM_SHA384, 2048 bit RSA
n:63896 [ChangeMe] Peer Connection Initiated with [AF_INET]n:63896
MULTI: new connection by client 'ChangeMe' will cause previous active sessions by this client to be dropped. Remember to use the --duplicate-cn option if you want multiple clients using the same certificate or username to concurrently connect.
MULTI_sva: pool returned IPv4=174.25.67.6, IPv6=(Not enabled)
MULTI: Learn: 174.25.67.6 -> ChangeMe/n:63896
MULTI: primary virtual IP for ChangeMe/n:63896: 174.25.67.6
ChangeMe/n:63896 SENT CONTROL [ChangeMe]: 'PUSH_REPLY,route 192.168.0.0 255.255.255.0,route 192.168.1.0 255.255.255.0,route 192.168.5.0 255.255.255.0,route 192.168.7.0 255.255.255.0,route 192.168.8.0 255.255.255.0,route 192.168.42.0 255.255.255.0,route 192.168.88.0 255.255.255.0,route 192.168.113.0 255.255.255.0,route 192.168.203.0 255.255.255.0,sndbuf 524288,rcvbuf 524288,route 174.25.67.1,topology net30,ping 10,ping-restart 120,socket-flags TCP_NODELAY,ifconfig 174.25.67.6 174.25.67.5,peer-id 0,cipher AES-256-GCM' (status=1)
ChangeMe/n:63896 Outgoing Data Channel: Cipher 'AES-256-GCM' initialized with 256 bit key
ChangeMe/n:63896 Incoming Data Channel: Cipher 'AES-256-GCM' initialized with 256 bit key
/sbin/ip route del 174.25.67.0/24
Closing TUN/TAP interface
/sbin/ip addr del dev tun0 local 174.25.67.1 peer 174.25.67.2
SIGTERM[hard,] received, process exiting
OpenVPN 2.4.9 x86_64-redhat-linux-gnu [SSL (OpenSSL)] [LZO] [LZ4] [EPOLL] [PKCS11] [MH/PKTINFO] [AEAD] built on Apr 24 2020
library versions: OpenSSL 1.1.1c FIPS 28 May 2019, LZO 2.08
Diffie-Hellman initialized with 2048 bit key
CRL: loaded 1 CRLs from file /etc/openvpn/server/keys/crl.pem
Outgoing Control Channel Authentication: Using 160 bit message hash 'SHA1' for HMAC authentication
Incoming Control Channel Authentication: Using 160 bit message hash 'SHA1' for HMAC authentication
ROUTE_GATEWAY 192.168.88.1/255.255.255.0 IFACE=ens18 HWADDR=3a:7a:14:00:0b:b5
TUN/TAP device tun0 opened
TUN/TAP TX queue length set to 100
/sbin/ip link set dev tun0 up mtu 1500
/sbin/ip addr add dev tun0 local 174.25.67.1 peer 174.25.67.2
/sbin/ip route add 174.25.67.0/24 via 174.25.67.2
Socket Buffers: R=[87380->425984] S=[16384->425984]
TCPv4_SERVER link local (bound): [AF_INET]192.168.88.202:65000
TCPv4_SERVER link remote: [AF_UNSPEC]
MULTI: multi_init called, r=256 v=256
IFCONFIG POOL: base=174.25.67.4 size=62, ipv6=0
ifconfig_pool_read(), in='ChangeMe,174.25.67.4', TODO: IPv6
succeeded -> ifconfig_pool_set()
ifconfig_pool_read(), in='testclient,174.25.67.8', TODO: IPv6
succeeded -> ifconfig_pool_set()
ifconfig_pool_read(), in='r_kvarackhelia,174.25.67.12', TODO: IPv6
succeeded -> ifconfig_pool_set()
ifconfig_pool_read(), in='d_shavaleev,174.25.67.16', TODO: IPv6
succeeded -> ifconfig_pool_set()
ifconfig_pool_read(), in='m_karimov,174.25.67.20', TODO: IPv6
succeeded -> ifconfig_pool_set()
IFCONFIG POOL LIST
ChangeMe,174.25.67.4
testclient,174.25.67.8
r_kvarackhelia,174.25.67.12
d_shavaleev,174.25.67.16
m_karimov,174.25.67.20
MULTI: TCP INIT maxclients=100 maxevents=104
Initialization Sequence Completed
TCP connection established with [AF_INET]n:63966
Socket flags: TCP_NODELAY=1 succeeded
n:63966 TLS: Initial packet from [AF_INET]n:63966, sid=f97f0a0d d8aba105
n:63966 VERIFY OK: depth=1, CN=ovp
n:63966 VERIFY OK: depth=0, CN=ChangeMe
n:63966 peer info: IV_VER=3.git::3e56f9a6
n:63966 peer info: IV_PLAT=win
n:63966 peer info: IV_NCP=2
n:63966 peer info: IV_TCPNL=1
n:63966 peer info: IV_PROTO=2
n:63966 peer info: IV_LZO_STUB=1
n:63966 peer info: IV_COMP_STUB=1
n:63966 peer info: IV_COMP_STUBv2=1
n:63966 peer info: IV_AUTO_SESS=1
n:63966 peer info: IV_GUI_VER=OCWindows_3.2.1-1180
n:63966 peer info: IV_SSO=openurl
n:63966 peer info: IV_BS64DL=1
n:63966 WARNING: 'link-mtu' is used inconsistently, local='link-mtu 1552', remote='link-mtu 1544'
n:63966 WARNING: 'cipher' is used inconsistently, local='cipher AES-256-GCM', remote='cipher BF-CBC'
n:63966 WARNING: 'auth' is used inconsistently, local='auth [null-digest]', remote='auth SHA1'
n:63966 WARNING: 'keysize' is used inconsistently, local='keysize 256', remote='keysize 128'
n:63966 Control Channel: TLSv1.3, cipher TLSv1.3 TLS_AES_256_GCM_SHA384, 2048 bit RSA
n:63966 [ChangeMe] Peer Connection Initiated with [AF_INET]n:63966
ChangeMe/n:63966 MULTI_sva: pool returned IPv4=174.25.67.6, IPv6=(Not enabled)
ChangeMe/n:63966 MULTI: Learn: 174.25.67.6 -> ChangeMe/n:63966
ChangeMe/n:63966 MULTI: primary virtual IP for ChangeMe/n:63966: 174.25.67.6
ChangeMe/n:63966 PUSH: Received control message: 'PUSH_REQUEST'
ChangeMe/n:63966 SENT CONTROL [ChangeMe]: 'PUSH_REPLY,route 192.168.0.0 255.255.255.0,route 192.168.1.0 255.255.255.0,route 192.168.5.0 255.255.255.0,route 192.168.7.0 255.255.255.0,route 192.168.8.0 255.255.255.0,route 192.168.42.0 255.255.255.0,route 192.168.88.0 255.255.255.0,route 192.168.113.0 255.255.255.0,route 192.168.203.0 255.255.255.0,sndbuf 524288,rcvbuf 524288,route 174.25.67.1,topology net30,ping 10,ping-restart 120,socket-flags TCP_NODELAY,ifconfig 174.25.67.6 174.25.67.5,peer-id 0,cipher AES-256-GCM' (status=1)
ChangeMe/n:63966 Outgoing Data Channel: Cipher 'AES-256-GCM' initialized with 256 bit key
ChangeMe/n:63966 Incoming Data Channel: Cipher 'AES-256-GCM' initialized with 256 bit key

Answer 1

[mureevms]

Если для всех клиентов используется один и тот же клиентский ключ/сертификат, то это нормальное поведение OpenVPN сервера. Чтобы позволить нескольким клиентам использовать один ключ/сертификат, надо в конфиг сервера добавить строку duplicate-cn.
Но это не сильно хорошо для контроля и безопасности, поэтому лучше каждому клиенту выдать свой сертификат.

Comments

[Денис Шавалеев]

У каждого клиента уникальный ключ и сертификат, помимо тех, что общие.

[mureevms]

Денис Шавалеев,

помимо тех, что общие

что это значит?

Вообще, если вы на 100% уверены, что дело не в дублировании сертификата (в чем лично я не уверен), то смотрите логи подключения

[Денис Шавалеев]

mureevms,

что это значит?

ну т.е. есть пачка файлов, которая отправляется клиенту для подлючения состоит из:
серверного сертификата ca.crt, ключа TLS ta.key, ключа Деффи-Хэллмана dh.pem, и далее набор уникальных файлов, клиентские серт/ключ, и конифг в формате ovpn.
Вот по логам только не совсем понимаю ChangeMe откуда берется, и чтото подсказывает из-за этого косяк. Т.е. на сервере клиенты не распознаются. :| Либо же я пока не совсем понимаю что-то из-за замыленного мозга.

[Денис Шавалеев]

mureevms, похоже понял, при генерации сертификатов, а это реализовано на скриптах, похоже в коде запоролся и не корректно прописывается CN в сертификат, из-за чего такие задвоения идут, пока включил duplicate-cn, надо будет тогда лопатить скрипты. Спасибо за наводку)

Answer 2

[Berdis87]

Что бы пользоваться одним ключом на многих устройствах одновременно, нужна настроить сервер на протокол UDP. На протоколе TCP ключи будут вырубать друг друга.

Comments

[Денис Шавалеев]

Berdis87, может быть Вы и правы, но могу сказать, что абсолютно отлично работают и по протоколу tcp. Проблема была в неправильной генерации самих сертификатов из-за ошибки в написаном мною скрипте, в виду чего все сертификаты выписывались с CN на ChangeMe, т.е. формально на одного пользователя, отсюда и разрывы при параллельном соединении разных сотрудников.