openvpn падает канал

Mihail Z. · n00b Joined: 06 Oct 2005 Posts: 9 Location: Russia, Tula

Здравствуйте!
В какой-то момент времени (несколько дней назад) начал падать vpn канал между двумя ПК-шлюзами (на gentoo, естественно .), находящимися в наших удалённых офисах, до этого работавший без проблем несколько лет. Провайдер вроде как проблем у себя не видит, да и интернет исправно работает в обоих офисах - явных тормозов и потерь пингов нет.

Канал организован на openvpn: шлюз-1 является сервером, шлюз-2 - клиентом. Шлюз-1 также является openvpn-сервером для шлюза-3 (ещё один наш офис), и организует vpn мост со шлюзом-4 (опять же, ещё один офис). Связь со шлюзом-3 и -4 работает исправно.

Выглядит потеря связи так: соединение по vpn устанавливается (пинги в сеть-2 пошли). Затем попытка получить доступ к ресурсам сети-2 (например - доступ по rdp к их серверу) - в лучшем случае соединение после это держится минуты две, затем связь пропадает (пинги перестают проходить в сеть-2). Далее - реконнект openvpn по таймауту (keepalive 10 120 стоит). И всё по новой.

На шлюзе-2 обновил openvpn до 2.1.3 - не помогло.
Связь также пропадает если просто длительно идут пинги в сеть-2, хотя закономерности по времени и количеству пингов нет - может и пять пингов пройти, а может и 50 до обрыва.

Собрал логи с шлюза-1 и шлюза-2. Т.к. ставил verb 15, то пришлось их архивировать.
По времени обрыв происходит в логах в период с 10:51:28 по 10:51:29.

Что ещё заметил - по tcpdump на шлюзе-2 видно, что есть обмен пакетами со шлюзом-1 по портам openvpn во время разрыва (т.е. между фактической потерей связи и реконнектом).

Есть у кого мысли, что может быть?

http://foldo.ru/50398xzi0e/openvpn_log.zip.html

Mihail Z. · n00b Joined: 06 Oct 2005 Posts: 9 Location: Russia, Tula

На текущий момент проблему решил переводом данной связки openvpn на udp.

Azik · Posted: Wed Jan 12, 2011 1:34 pm Post subject:

Такое может происходить из-за того, что сервер и клиент теряют пакеты из-за неправильных MTU, рассогласованных на клиенте и сервере. Подробностей не помню, где-то есть дока на официальном сайте, описывающая подобную ситуацию, с рекомендацией использовать UDP и опции коррекции MSS и установки MTU вручную.
_________________
From Siberia with Love!

fank · Posted: Tue Jan 18, 2011 1:54 pm Post subject:

AFAIR, нужно разрешить входящие и исходящие ICMP 0,3,8,11 для правильной настройки PMTU.
Причина, скорее всего, кроется в установке новой железки на пусти следования трафика, которая ломает бывсшие представления оборудования о размере MTU поля. Можно эмпирически настроить вручную, но лучше настроить как положено в фаере.
_________________
Слово „христианство“ основано на недоразумении; в сущности, был один христианин, и тот умер на кресте.

Alehur · n00b Joined: 04 Nov 2003 Posts: 46 Location: Belarus

Попробуйте посмотреть с помощью опции --mtu-test и выставить link mtu как можно больше исходя из результата.

fank · Posted: Sun Mar 27, 2011 1:00 pm Post subject: