Проблема с подключением 2+ профилей VPN

[Jack_Frost13]

В наличии имеется работающий сервер OpenVPN, конфиг импортирован в роутер, все работает зачетно. Появилась потребность поднять второй VPN из другой страны, создал сервер идентичным 1 к 1 образом, импортировал конфиг, сместил подсеть OpenVPN с 10.8... на 10.9..., чтобы не было проблем с подключением. Конфиг показывается подключенным, однако трафика никакого нет. Идет обмен мелкими пакетами в tcpdump раз в минуту +- и все. Перековырял настройки сервера, анализировал флаги пакетов и т.д., ноль идей.

Решил поставить WireGuard вместо второго OpenVPN. Нашел инструкцию, поднял сервак, прописал пира, но результат тот же - обмен хендшейком и больше никакого трафика.

Отключил первый конфиг OpenVPN чтобы потестить теорию о пересечении раутинга, второй VPN так и не заработал. У WG был проблеск на пару минут, потом все снова отвалилось.

Роутер Keenetic KN-3710, прошивка 5.0.4. Могу предоставить доступ к серверам и конфигам, если потребуется. Подскажите, что я не так делаю?

[mrGhotius]

10 часов назад, Jack_Frost13 сказал:

Конфиг показывается подключенным, однако трафика никакого нет.

Так а какой трафик вы туда заворачиваете, может проблема с маршрутизацией?

[Jack_Frost13]

16 часов назад, mrGhotius сказал:

Так а какой трафик вы туда заворачиваете, может проблема с маршрутизацией?

Заворачиваю туда трафик по списку хостнеймов. Попробовал через прямые адреса подсетей, результат такой же

[mrGhotius]

7 часов назад, Jack_Frost13 сказал:

Заворачиваю туда трафик по списку хостнеймов. Попробовал через прямые адреса подсетей, результат такой же

Такой же это какой? Не маршрутизируется в туннель, "глохнет" на каком-нибудь хопе или что? Покажите хоть какие-нибудь диагностические выводы (пинг, трейс и т.п.). В списке действующих маршрутов посмотрите не указывают ли оба интерфейса на один удаленный шлюз.

Изменено 4 февраля пользователем mrGhotius

[Jack_Frost13]

traceroute сравнительный. Сайт x.com идет через опенвпн 10.9.0.1 через DNS список, chatgpt.com идет через 10.8.0.1 через указание подсети:

PS C:\Users\Jack_Frost13> tracert -d x.com

Трассировка маршрута к x.com [172.66.0.227]
с максимальным числом прыжков 30:

  1    <1 мс    <1 мс    <1 мс  192.168.1.1
  2     *        *        *     Превышен интервал ожидания для запроса.
  3     *        *        *     Превышен интервал ожидания для запроса.
  4     *        *        *     Превышен интервал ожидания для запроса.
PS C:\Users\Jack_Frost13> tracert -d chatgpt.com

Трассировка маршрута к chatgpt.com [8.47.69.6]
с максимальным числом прыжков 30:

  1    <1 мс    <1 мс    <1 мс  192.168.1.1
  2    59 ms    49 ms    46 ms  10.8.0.1
  3    47 ms    57 ms    60 ms  5.35.35.254
  4    51 ms    49 ms     *     89.19.38.10
  5     *       62 ms     *     87.245.233.216
  6    52 ms    51 ms    49 ms  87.245.215.187
  7    60 ms    54 ms    55 ms  141.101.65.103
  8    59 ms    58 ms    59 ms  8.47.69.6

Сменил раутинг трафика на подсеть твиттера, картинка поменялась:

PS C:\Users\Jack_Frost13> tracert -d x.com

Трассировка маршрута к x.com [172.66.0.227]
с максимальным числом прыжков 30:

  1    <1 мс    <1 мс    <1 мс  192.168.1.1
  2     1 ms     2 ms     1 ms  84.22.133.1
  3     2 ms     1 ms     2 ms  172.28.28.38
  4     2 ms     1 ms     1 ms  80.64.102.8
  5     *

Хопа на сервер не происходит при указании подсети, а при указании DNS вообще идет полный стоп трафика. При этом локально с ПК я спокойно могу подключиться к серверу, конфиг и сервер работают.

[mrGhotius]

44 минуты назад, Jack_Frost13 сказал:

Хопа на сервер не происходит при указании подсети, а при указании DNS вообще идет полный стоп трафика. При этом локально с ПК я спокойно могу подключиться к серверу, конфиг и сервер работают.

Динамические маршруты вида 10.9.0.0/24 на OpenVPN2 и 10.8.0.0/24 на OpenVPN1 присутствуют? И оставьте пока DNS маршрутизацию, проверяйте только на статических маршрутах.

Изменено 4 февраля пользователем mrGhotius

[Jack_Frost13]

3 минуты назад, mrGhotius сказал:

Динамические маршруты вида 10.9.0.0/24 на OpenVPN2 и 10.8.0.0/24 на OpenVPN1 присутствуют?

Да, на сервере прописано `server 10.9.0.0 255.255.255.0` и `server 10.8.0.0 255.255.255.0` соответственно, иначе бы я не получил отбивку "подключено" с адресом в интерфейсе кинетика

[mrGhotius]

2 минуты назад, Jack_Frost13 сказал:

на сервере прописано

Я про роутер, на нем должны появится динамические маршруты после установки соединения и получения адреса на OpenVPN интерфейсе. 

[Jack_Frost13]

И интерфейсы соответственно тоже на ВМках есть: `10.9.0.0/24 dev tun0 proto kernel scope link src 10.9.0.1` и `10.8.0.0/24 dev tun0 proto kernel scope link src 10.8.0.1`

[Jack_Frost13]

1 минуту назад, mrGhotius сказал:

Я про роутер

[mrGhotius]

1 час назад, Jack_Frost13 сказал:

`10.9.0.0/24 dev tun0 proto kernel scope link src 10.9.0.1` и `10.8.0.0/24 dev tun0 proto kernel scope link src 10.8.0.1`

Может tun1 не? Или это интерфейсы на VPS'ках?. Так это мы уже выяснили, раз соединение устанавливается. Динамический маршрут прописывается, но не срабатывает. На самом роутере попробуйте посмотреть захваченные пакеты на интерфейсе openvpn-ch.

Вот мои два туннеля на роутере. Работает без проблем с маршрутизацией.

Спойлер

И соответственно:

Спойлер

 

Изменено 4 февраля пользователем mrGhotius

[Jack_Frost13]

Это интерфейсы в двух разных вмках

2 часа назад, mrGhotius сказал:

На самом роутере попробуйте посмотреть захваченные пакеты на интерфейсе openvpn-ch

А как это сделать? Исколесил весь UI, ничего не нашел похожего, только системный журнал

[Jack_Frost13]

Настроил ping-check на подключение, выдает "нет интернета". Проанализировал все пути:
 

(tools)> show ip route
================================================================================
Destination         Gateway          Interface                        F  Metric
================================================================================
0.0.0.0/0           84.22.133.1      ISP                              U  1000
1.1.1.1/32          0.0.0.0          OpenVPN1                         U  1000
1.1.1.1/32          0.0.0.0          OpenVPN1                         U  1000
5.35.45.232/32      84.22.133.1      ISP                              U  1000
5.101.85.11/32      84.22.133.1      ISP                              U  1000
8.6.0.0/16          0.0.0.0          OpenVPN0                         U  1000
8.8.4.4/32          0.0.0.0          OpenVPN1                         U  1000
8.8.8.8/32          0.0.0.0          OpenVPN1                         U  1000
8.8.8.8/32          0.0.0.0          OpenVPN1                         U  1000
8.47.0.0/16         0.0.0.0          OpenVPN0                         U  1000
10.8.0.0/24         0.0.0.0          OpenVPN0                         U  1000
10.9.0.0/24         0.0.0.0          OpenVPN1                         U  1000
10.9.0.1/32         0.0.0.0          OpenVPN1                         U  1000
64.233.0.0/16       0.0.0.0          OpenVPN0                         U  1000
74.125.0.0/16       0.0.0.0          OpenVPN0                         U  1000
84.22.133.0/24      0.0.0.0          ISP                              U  1000
89.207.216.1/32     84.22.133.1      ISP                              U  1000
95.131.144.199/32   84.22.133.1      ISP                              U  1000
104.18.0.0/16       0.0.0.0          OpenVPN0                         U  1000
108.177.0.0/16      0.0.0.0          OpenVPN0                         U  1000
142.250.0.0/16      0.0.0.0          OpenVPN0                         U  1000
142.251.0.0/16      0.0.0.0          OpenVPN0                         U  1000
151.101.66.0/24     10.9.0.1         OpenVPN1                         U  1000
157.240.205.0/24    0.0.0.0          OpenVPN0                         U  1000
172.64.0.0/16       0.0.0.0          OpenVPN0                         U  1000
173.194.0.0/16      0.0.0.0          OpenVPN0                         U  1000
188.114.0.0/16      0.0.0.0          OpenVPN0                         U  1000
192.168.1.0/24      0.0.0.0          Home                             U  1000
209.85.0.0/16       0.0.0.0          OpenVPN0                         U  1000
216.58.0.0/16       0.0.0.0          OpenVPN0                         U  1000
(config)> show ip route table 4096
================================================================================
Destination         Gateway          Interface                        F  Metric
================================================================================
0.0.0.0/0           0.0.0.0          OpenVPN1                         U  1000
1.1.1.1/32          0.0.0.0          OpenVPN1                         U  1000
8.8.4.4/32          0.0.0.0          OpenVPN1                         U  1000
8.8.8.8/32          0.0.0.0          OpenVPN1                         U  1000
10.9.0.0/24         0.0.0.0          OpenVPN1                         U  1000
10.9.0.1/32         0.0.0.0          OpenVPN1                         U  1000
151.101.66.0/24     10.9.0.1         OpenVPN1                         U  1000

Есть вот эта вторая таблица 4096, но она почему-то вторичная, и есть подозрение что трафик через нее не идет вообще. Потрейсил ту единственную подсеть которая идет в основной таблице через OpenVPN1, на 14 попыток хопнуть я получил на сервере только две пары пакетов:

PS C:\Windows\system32> tracert 151.101.66.0

Трассировка маршрута к 151.101.66.0 с максимальным числом прыжков 30

  1    <1 мс    <1 мс    <1 мс  192.168.1.1
  2     *        *       59 ms  10.9.0.1
  3     *        *        *     Превышен интервал ожидания для запроса.
  4     *        *        *     Превышен интервал ожидания для запроса.
  5     *        *        *     Превышен интервал ожидания для запроса.
  6     *        *        *     Превышен интервал ожидания для запроса.
  7     *        *        *     Превышен интервал ожидания для запроса.
  8     *        *        *     Превышен интервал ожидания для запроса.
  9     *        *        *     Превышен интервал ожидания для запроса.
 10     *        *        *     Превышен интервал ожидания для запроса.
 11     *        *        *     Превышен интервал ожидания для запроса.
 12     *        *        *     Превышен интервал ожидания для запроса.
 13     *        *        *     Превышен интервал ожидания для запроса.
 14     *        *        *     Превышен интервал ожидания для запроса.
 -------------------------------------------------------------------------

root@vm33124:~# sudo tcpdump -ni tun0 icmp
tcpdump: verbose output suppressed, use -v[v]... for full protocol decode
listening on tun0, link-type RAW (Raw IP), snapshot length 262144 bytes
03:52:10.669144 IP 10.9.0.2 > 151.101.66.0: ICMP echo request, id 1, seq 677, length 72
03:52:10.669260 IP 10.9.0.1 > 10.9.0.2: ICMP time exceeded in-transit, length 100
03:52:10.669136 IP 10.9.0.2 > 151.101.66.0: ICMP echo request, id 1, seq 677, length 72
03:52:10.669259 IP 10.9.0.1 > 10.9.0.2: ICMP time exceeded in-transit, length 100

Любые остальные тесты по адресам в таблице 4096 вообще никаких пакетов не дали на сервере.

[mrGhotius]

3 часа назад, Jack_Frost13 сказал:

Проанализировал все пути:

Смущает вот этот хост-маршрут 

10.9.0.1/32         0.0.0.0          OpenVPN1

Вроде бы ничего необычного, но для 10.8.0.1 у вас такого нет, может попробовать убрать push этого маршрута в конфиге сервера?

Цитата

А как это сделать? Исколесил весь UI, ничего не нашел похожего, только системный журнал

Нужно установить компонент "Захват сетевых пакетов"

Изменено 5 февраля пользователем mrGhotius

[Jack_Frost13]

Убрал пуш маршрута уже, всю ночь копошился, проблема не в роутере а в транспорте пакетов с адаптера наружу. До сервера доходят только keepalive пакеты при попытке попинговать с ПК, и в обратную сторону так же - пакеты с сервера уходят в сторону ПК, но никакого ответа я не получаю. Сижу думаю что не так, потому что настраивал нулевой конфиг я 1 к 1 и он работает по сей день, а первый не хочет

[Jack_Frost13]

В общем, я проанализировал все что вижу. Почему-то у меня винда не транспортит нормально трафик до нового сервера даже напрямую с ПК. Созданы они все по одному скрипту, имеют идентичную структуру, но почему-то первые два конфига и сервера делают свою работу, а третий нет

[mrGhotius]

2 часа назад, Jack_Frost13 сказал:

Почему-то у меня винда не транспортит нормально трафик до нового сервера даже напрямую с ПК.

Может данный сервер попал под руку РКН? Попробуйте настроить конфигурацию на другой порт транспорта, например 443 для TCP, 53 для UDP.

[Jack_Frost13]

11 часов назад, mrGhotius сказал:

например 443 для TCP, 53 для UDP

Пробовал два дня назад на TCP/443 и менять порты на UDP, результат тот же оказался. Даже сервер новый заказал, в той же стране но кардинально другой сети, все равно одно и то же.

Протестил каждый узел в маршруте пакетов, с роутера пакеты должны уходить, увидел их на физическом адаптере и на роутере через перехват пакетов, но до сервака не доходит. Вроде бы MTU настроил, побаловался параметрами, все еще 0 идей