OpenVPN отвалились на любое обновление 3.9.X, приходится откатываться на 3.8.5

[Mnior]

Изначально читал что в 3.9 идёт упор на обновление OpenVPN. Так что оно как бэ было ожидаемо. Но была надежда что люди пользуют массово и фидбек быстро появиться и пофиксят. Но уже 3.9.4, а только тут одна ветка на форуме намекает что всё не так радужно. Так что уже ни на 3.9.5 ни на 100.500 версию надежды нет.

Надеялся что логи ткнут на какой-то Deprecated, но нет.
Connection reset, restarting [0]
OpenVPN0: SIGTERM[soft,connection-reset] received, process exiting
ndm: Service: "OpenVPN0": unexpectedly stopped.

И назло оба OpenVPN-а что имею - оба одинаково отвалились.

Мар 17 01:45:53	OpenVPN0	OpenVPN 2.6_git [SSL (OpenSSL)] [LZO] [LZ4] [EPOLL] [MH/PKTINFO] [AEAD]
Мар 17 01:45:53	OpenVPN0	library versions: OpenSSL 3.0.8 7 Feb 2023, LZO 2.10
Мар 17 01:45:53	OpenVPN0	Socket Buffers: R=[87000->87000] S=[16000->16000]
Мар 17 01:45:53	OpenVPN0	Attempting to establish TCP connection with [AF_INET]81.XXX.XX.XXX:YYYY
Мар 17 01:45:53	OpenVPN0	TCP connection established with [AF_INET]81.XXX.XX.XXX:YYYY
Мар 17 01:45:53	OpenVPN0	TCPv4_CLIENT link local: (not bound)
Мар 17 01:45:53	OpenVPN0	TCPv4_CLIENT link remote: [AF_INET]81.XXX.XX.XXX:YYYY
Мар 17 01:45:53	OpenVPN0	NOTE: UID/GID downgrade will be delayed because of --client, --pull, or --up-delay
Мар 17 01:45:53	OpenVPN0	TLS: Initial packet from [AF_INET]81.XXX.XX.XXX:YYYY, sid=00z00z00 00z0z000
Мар 17 01:45:53	OpenVPN0	VERIFY SCRIPT OK: depth=1, C=ZZ, ST=ZZ, L=City, O=XXX, CN=Name-CA
Мар 17 01:45:53	OpenVPN0	VERIFY OK: depth=1, C=ZZ, ST=ZZ, L=City, O=XXX, CN=Name-CA
Мар 17 01:45:53	OpenVPN0	VERIFY SCRIPT OK: depth=0, C=ZZ, ST=ZZ, L=City, O=XXX, CN=Name-SRV-OVPN
Мар 17 01:45:53	OpenVPN0	VERIFY OK: depth=0, C=ZZ, ST=ZZ, L=City, O=XXX, CN=Name-SRV-OVPN
Мар 17 01:45:54	OpenVPN0	Connection reset, restarting [0]
Мар 17 01:45:54	OpenVPN0	SIGTERM[soft,connection-reset] received, process exiting
Мар 17 01:45:54	ndm	Service: "OpenVPN0": unexpectedly stopped.

-----------------------------------------------------------------------------------

[I] Mar 17 01:28:27 OpenVPN1: OpenVPN 2.6_git [SSL (OpenSSL)] [LZO] [LZ4] [EPOLL] [MH/PKTINFO] [AEAD] 
[I] Mar 17 01:28:27 OpenVPN1: library versions: OpenSSL 3.0.8 7 Feb 2023, LZO 2.10 
[I] Mar 17 01:28:28 OpenVPN1: Socket Buffers: R=[87000->87000] S=[16000->16000] 
[I] Mar 17 01:28:28 OpenVPN1: Attempting to establish TCP connection with [AF_INET]86.XXX.XX.XX:YYYY 
[I] Mar 17 01:28:28 OpenVPN1: TCP connection established with [AF_INET]86.XXX.XX.XX:YYYY 
[I] Mar 17 01:28:28 OpenVPN1: TCPv4_CLIENT link local: (not bound) 
[I] Mar 17 01:28:28 OpenVPN1: TCPv4_CLIENT link remote: [AF_INET]86.XXX.XX.XX:YYYY 
[I] Mar 17 01:28:28 OpenVPN1: NOTE: UID/GID downgrade will be delayed because of --client, --pull, or --up-delay 
[I] Mar 17 01:28:28 OpenVPN1: TLS: Initial packet from [AF_INET]86.XXX.XX.XX:YYYY, sid=z0zz0z00 z00z000Z 
[I] Mar 17 01:28:28 OpenVPN1: VERIFY SCRIPT OK: depth=1, C=ZZ, ST=Country, L=City, O=The Name, OU=IT, CN=CA 
[I] Mar 17 01:28:28 OpenVPN1: VERIFY OK: depth=1, C=ZZ, ST=Country, L=City, O=The Name, OU=IT, CN=CA 
[I] Mar 17 01:28:28 OpenVPN1: VERIFY KU OK 
[I] Mar 17 01:28:28 OpenVPN1: Validating certificate extended key usage 
[I] Mar 17 01:28:28 OpenVPN1: ++ Certificate has EKU (str) TLS Web Server Authentication, expects TLS Web Server Authentication 
[I] Mar 17 01:28:28 OpenVPN1: VERIFY EKU OK 
[I] Mar 17 01:28:28 OpenVPN1: VERIFY SCRIPT OK: depth=0, C=ZZ, ST=Country, L=City, O=IThe Name, OU=IT, CN=Server 
[I] Mar 17 01:28:28 OpenVPN1: VERIFY OK: depth=0, C=ZZ, ST=Country, L=City, O=The Name, OU=IT, CN=Server 
[E] Mar 17 01:28:29 OpenVPN1: Connection reset, restarting [0] 
[I] Mar 17 01:28:29 OpenVPN1: SIGTERM[soft,connection-reset] received, process exiting 
[E] Mar 17 01:28:29 ndm: Service: "OpenVPN1": unexpectedly stopped. 
[I] Mar 17 01:28:29 ndm: Network::Interface::Base: "OpenVPN1": interface is down. 

Конечно текущее мировое бытие определяет общественное сознание, но надеюсь что ктось откликнется. Ткнёт на очевидные вещи полному профану в OpenVPN.
А то как-то не хочется прилипнуть к 3.8.5 навсегда.

client
dev tun
proto tcp-client
remote 81.XXX.XX.XXX YYYY
resolv-retry infinite
nobind
persist-key
persist-tun
;cipher AES-256-CBC
;data-ciphers-fallback AES-256-CBC
cipher AES-256-GCM
auth SHA1
auth-nocache
tls-client

<auth-user-pass/>

verb 3

pull
route-delay 5
route 192.168.X.0 255.255.255.0
route 192.168.X.0 255.255.255.0
route 192.168.X.0 255.255.255.0
route 192.168.X.0 255.255.255.0

<ca/>

<cert/>

<key/>

-----------------------------------------

client
dev tun
proto tcp
remote 86.XXX.XX.XX YYYY
resolv-retry infinite
nobind
persist-key
persist-tun
;cipher AES-256-CBC
;data-ciphers-fallback AES-256-CBC
cipher AES-256-GCM

<auth-user-pass/>

verb 3
remote-cert-tls server

route X.XXX.XXX.XX 255.255.255.255 vpn_gateway

<ca/>

<cert/>

<key/>

Цыферики некоторые прикрыл, может даже черезчур.

На счёт cipher. Это я игрался, изначально было просто "cipher AES-256-CBC", разница лишь в варнинге:
DEPRECATED OPTION: --cipher set to 'AES-256-CBC' but missing in --data-ciphers (AES-256-GCM:AES-128-GCM:CHACHA20-POLY1305). OpenVPN ignores --cipher for cipher negotiations. 

Возможно в этом и трабла, шо AES-256-CBC не поддерживает и никак с ним невозможно поднять (только бесполезно просить поменять сервер). Но хотелось бы явного пинка в нужное место где это написано (хоть как-то прикрываться ею). Но странно что соффременные прогеры это подразумевают в очень информативной ошибке "unexpectedly stopped".

Если ошибся форумом, звиняйте и маякните куды лучше податься.
Заранее спасибо.

Изменено 20 марта, 2023 пользователем Mnior

[Marassa]

В 17.03.2023 в 03:44, Mnior сказал:

только тут одна ветка на форуме намекает что всё не так радужно

Если это намек на мою ветку, то там в конце выяснилось, что 3.9 ни при чем - просто совпало, что провайдер начал резать трафик на адреса известных VPN  провайдеров. Несколько недель мучился с двумя, пытаясь найти ещё неубитые локации (в конце дошло до Турции, Аргентины и Казахстана). Когда убились и они, пришлось таки купить VPS и поставить свой приватный VPN-сервер, с которым кинетик под 3.9.4 [пока] прекрасно работает по тому же OpenVPN.

[SySOPik]

В 17.03.2023 в 02:44, Mnior сказал:

ткнёт на очевидные вещи полному профану в OpenVPN.

то конфиг сервера и клиента выложили? Или то два клиента? И куда они подключены?  Шото оно сильно корявенькое

PS. Без конфига сервера сложно сказать, что в клиенте криво.

19 часов назад, Marassa сказал:

провайдер начал резать трафик на адреса известных VPN  провайдеров

У него Giga (KN-1010) UA, в нас все хорошо, ничего не режут.

Изменено 19 марта, 2023 пользователем SySOPik

[krass]

3 минуты назад, SySOPik сказал:

У него Giga (KN-1010) UA, в нас все хорошо, ничего не режут.

У вас нет разве организации наподобие роскомнадзора?

[SySOPik]

1 минуту назад, krass сказал:

У вас нет разве организации наподобие роскомнадзора?

Почему нету, есть организация, которая блокирует подсанкционые сайты, медиапропаганду и прочую шушваль по которой плачет международный криминальный суд. ВПН, протоколы, доступа никто не блочит.

[Mnior]

9 часов назад, SySOPik сказал:

то конфиг сервера и клиента выложили? Или то два клиента? И куда они подключены?  Шото оно сильно корявенькое

PS. Без конфига сервера сложно сказать, что в клиенте криво.

Оба клиента.
Думаю что конфиги серверов не смогу достать. :`(

Если есть чуйка хоть примерно где корявые, как вариант, то хоть что-то смогу начать пробывать/перебирать.
А пока опять откатываюсь ...

Изменено 19 марта, 2023 пользователем Mnior

[Mnior]

В 17.03.2023 в 02:44, Mnior сказал:

;cipher AES-256-CBC
;data-ciphers-fallback AES-256-CBC
cipher AES-256-GCM

Такая комбинашка на старом не идёт, только так
 

cipher AES-256-CBC

Думаю в этом и проблема, в новом версии оно не поддерживается, просто уже попадал на какой-то форму где заменяли на

cipher AES-256-GCM

Но там меняли и серверную часть.
Пока склоняюсь к тому что надо заставить их сменить версию сервера.

[SySOPik]

10 часов назад, Mnior сказал:

Такая комбинашка на старом не идёт, только так
 

cipher AES-256-CBC

Видно там только 256-CBC

 

10 часов назад, Mnior сказал:

Пока склоняюсь к тому что надо заставить их сменить версию сервера.

А сервер чей? Кто конфиги генерил?

[Mnior]

В 17.03.2023 в 02:44, Mnior сказал:

На счёт cipher. Это я игрался, изначально было просто "cipher AES-256-CBC",

Всё больше и больше склоняюсь к этому что несовместимо.

https://community.openvpn.net/openvpn/ticket/1349

Почему я начал играться с "AES-256-GCM". Вот из-за этого:
https://forums.openvpn.net/viewtopic.php?t=33536

Как я понял с клиентской стороны сделать практически ничего нельзя, какие либо логи можно получить в основном с серверной части.
Там даже затрагивается что роутеры частенько неправильно параметры обрабатываю. Но это так, вряд ли оно к делу относится.

И эта фигня лечится только с серверной стороны.
1. Типа нельзя указать что-то в клиенте, что бы как-то подстроиться под сервер. Только сервер может допускать вариации клиентов, при помощи этих особых параметров.
2. Возможно не все параметры OpenVPN поддерживает роутер (keenetic в частности). (compat-mode 2.4.6 - не катит)

Возможно это такая политика именно OpenVPN. Может это специально так устроено. Что бы нагибать админов обновляться хаем "тупых" пользователей. Но это не всегда работает.
А так как я знаю людей "с той стороны" (админы серверов) в этих двух конторках. То маловероятно что решить проблему удастся в скором времени. Пытаюсь пробиться, но как обычно горохом об ...
 

[SySOPik]

А с виндюка через клиент ОпенВПН с конфигом поднимается конект? Логи что пишут?

 

[cadet78]

у меня на роутерах с 3.7.5 вот это значение openvpn клиента выглядит так:

cipher AES-256-CBC
ncp-disable

а на 3.9.5 вот так:

data-ciphers-fallback AES-256-CBC
#ncp-disable

и всё везде работает (это клиент к впн-сервису). сделано по инструкции к кинетику.

[Avaritia]

2.6

уберите cipher.... , data-ciphers-fal... ncp-disable и т.п. из конфигурации клиента, по документации эти настройки допускается опускать, тогда будут работать настройки по умолчанию - или со стороны сервера.

а так я пробовал кинетик с 3.9.3 с сервером 2.5.9 на пк, на дефолтной конфигруации, всё работало очень хорошо.