Sessioni VPN OpenVPN che saltano ogni 2 minuti

Technetium

Da più di un mese sto combattendo contro un bel problema: Ho diverse VPN OpenVPN e Ike2 che circa ogni due minuti (in realtà un po' prima tra 1:30" e 1:57") si disconnettono.
Sembra che non avviene mai il rinnovo della connessione. Solo che le uso per amministrare diversi router e server e non riesco più a fare niente.
Prima di Marzo non avevo problemi.
Escludo problemi alla mia linea perchè ho provato tramite connessione fissa e rete mobile (diverse reti: Wind, Iliad, Fastweb)

Qualcuno ha ha avuto un problema simile ?

x_term

Technetium config? Io ho avuto un problema simile con un concentratore usando 2FA... la connessione non veniva rinegoziata correttamente perchè serviva un nuovo codice dal token e quindi moriva.
Ho aggiunto alla config reneg-sec 0 e non l'ha più fatto.

Technetium

Le config dei due server sono su questa falsa riga:

port XXXXX
proto udp
dev tun
ca ca.crt
cert server.crt
key server.key
dh dh.pem
verb 3

server 192.168.2.0 255.255.255.0

push "route 192.168.1.0 255.255.255.0"
push "route X.X.X.0 255.255.255.0"
push "route X.X.X.0 255.255.255.0"

keepalive 30 120

tls-version-min 1.2
tls-cipher TLS-DHE-RSA-WITH-AES-256-GCM-SHA384:TLS-DHE-RSA-WITH-AES-128-GCM-SHA256:TLS-DHE-RSA
cipher AES-256-CBC
auth SHA512
explicit-exit-notify 1

ifconfig-pool-persist ipp.txt

Le altre sono configurazioni su router mikrotik su TCP.
Ti dico che non è il keepalive anche perchè accade mentre c'è traffico.
Funzionava tutto fino a fine Febbraio..
Non ho configurazioni complesse con 2FA.

Il bello è che simulando le stesse config a casa, funziona tutto perfettamente.

[cancellato]

Non hai dei log con qualche informazione utile?

Technetium

[cancellato]
I log dei mikrotik non dicono niente.. la connessione rimane "appesa" ma non comunica più.. poi ovviamente cade per timeot.. di fatto sono fuori dopo un tempo di meno di 2 minuti.
Dei server.. non saprei neanche se openvpn tiene i log.. non mi era capitano mai nulla di simile.

[cancellato]

Su pfSense OpenVPN ha il suo log, dipende da come è configurato. Per Ubuntu, ad esempio:

https://askubuntu.com/questions/276664/where-are-the-openvpn-connection-logs-and-configuration-files

Mikrotik non ne ho mai usati, @x_term magari sa dirti di più. Però se è un problema lato client dovresti vedere anche il log del client.

https://openvpn.net/vpn-server-resources/troubleshooting-client-vpn-tunnel-connectivity/

x_term

Io rimango convinto di quella opzione sopra. Non è il keepalive della sessione TCP a riposo, ma la rinegoziazione delle chiavi periodica che mi faceva saltare tutto. Prova a mettere il reneg-sec 0 e vedi se lo fa ancora.
Su Mikrotik il log è unico by default, quindi su winbox clicchi su Log e vedi tutto il marasma.
Se vuoi puoi impostare più file e/o persistenza dal menu System

Technetium

Stasera mi collego e ci provo. E' che oltre a quello è proprio tutto a rallentatore. Solo a caricare l'interfaccia del mikrotik per dire.. di solito 1-2 secondi.. adesso.. 20 secondi.
Di giorno sono collegati gli utenti che usano altri servizi che fortunatamente non lamentano particolari problemi. Solo la "solita" lentezza della linea.

x_term

Technetium su cosa gira il server? Un apparato o un server vero e proprio?

Technetium

Server bare-metal con ubuntu 18.04 😅 Il problema è che non c'è nessuno a presidiarli se vanno in blocco... quindi ci vado cauto.
Gli altri sono router Mikrotik che hanno un server OVPN minimale. Anche quelli in questo periodo non sono presidiati.

Technetium

Ho provato su un server inserendo reneg-sec 0 nella config sopra il keepalive.. non è cambiato nulla. Stesso comportamento.. deve essere qualcos'altro.. d'altronde prima funzionava tutto correttamente.
Anche sui mikrotik, dove non si può regolare il la rinegoziazione a tempo infinito, funzionava.
C'è qualcos'altro.

x_term

Technetium hmmm... E niente log del server?

Informativa privacy - Informativa cookie - Termini e condizioni - Regolamento - Disclaimer - 🏳️‍🌈 🇵🇸
P.I. IT16712091004 - info@fibraclick.it

♻️ Il server di questo sito è alimentato al 100% con energia rinnovabile