OpenVPN клиент не отвечает через некоторое время

[Zatserkovnyy]

Всем привет. Пробую подключиться к серверу через OpenVPN по инструкции, все подключается, НО, через 3-5 минут сервер ни в какую не отвечает, а журнал тем временем зеленый - последнее сообщение, что все ок и сессия инициализированна. Может надо что-то дополнительно прописать в конфигурацию? keepalive и ping-reset пробовал, без положительных изменений.

И еще интересует, почему при использовании L2TP/IPsec-клиента, ключ должен быть равен, либо больше 8 символов? Заметил, что если ввести ключ 4 символа используя новый web-интерфейс, то ругается. Если использовать старый web-интерфейс, то не ругается, но протокол передачи меняется на протокол L2TP.

[Le ecureuil]

1 час назад, Zatserkovnyy сказал:

Всем привет. Пробую подключиться к серверу через OpenVPN по инструкции, все подключается, НО, через 3-5 минут сервер ни в какую не отвечает, а журнал тем временем зеленый - последнее сообщение, что все ок и сессия инициализированна. Может надо что-то дополнительно прописать в конфигурацию? keepalive и ping-reset пробовал, без положительных изменений.

И еще интересует, почему при использовании L2TP/IPsec-клиента, ключ должен быть равен, либо больше 8 символов? Заметил, что если ввести ключ 4 символа используя новый web-интерфейс, то ругается. Если использовать старый web-интерфейс, то не ругается, но протокол передачи меняется на протокол L2TP.

1 - нужно настраивать ping и pinr-timer в openvpn. Инструкция там базовая, в ней ничего это не описано. Читаете man по openvpn - и вперед.

2 - потому что PSK меньше 8 символов - это не безопасность вообще, а так, "сикалки". Лучше вообще pptp без шифрования тогда.

[Zatserkovnyy]

Изучаю потихоньку, экспериментирую. Но это не помогает. Когда пингую, пакеты уходят, но не приходят.

[Zatserkovnyy]

Должны ли быть открыты порты TCP/UDP для использования VPN? Может быть в них дело, раз пакеты не приходят?

Что означает строка "Получать маршруты от удаленной стороны"? В каких случаях она должна быть включена?

[Le ecureuil]

18 минут назад, Zatserkovnyy сказал:

Должны ли быть открыты порты TCP/UDP для использования VPN? Может быть в них дело, раз пакеты не приходят?

Что означает строка "Получать маршруты от удаленной стороны"? В каких случаях она должна быть включена?

Да, порты на WAN на сервере обязательно должны быть открыты. У клиента нет.

Если вы используете команду "push route" на сервере или "route"/"iroute" на любой из сторон соединения, то нужна - она позволяет передать в систему нужные маршруты, чтобы система их себе установила. В том числе и default route.

[Zatserkovnyy]

Спасибо за ответы.

По поводу межсетевого экрана. Сервер же имеет свой IP, поэтому надо ли принудительно ему разрешать входящее подключение и нужно ли указывать TCP/UDP порты сервера в правиле? Если подключение к интернету идет не напрямую с Кинетика (Giga III подключен к терминалу провайдера, который предоставляет доступ по оптоволокну), эти правила надо настраивать на провайдерском терминале или в Кинетике?

[Le ecureuil]

23 минуты назад, Zatserkovnyy сказал:

Спасибо за ответы.

По поводу межсетевого экрана. Сервер же имеет свой IP, поэтому надо ли принудительно ему разрешать входящее подключение и нужно ли указывать TCP/UDP порты сервера в правиле? Если подключение к интернету идет не напрямую с Кинетика (Giga III подключен к терминалу провайдера, который предоставляет доступ по оптоволокну), эти правила надо настраивать на провайдерском терминале или в Кинетике?

Да, нужно открывать порты сервера на WAN + включать проброс на терминале (если он настроен как L3/L4-роутер, а не как L2 bridge).

[Zatserkovnyy]

3 минуты назад, Le ecureuil сказал:

Да, нужно открывать порты сервера на WAN + включать проброс на терминале (если он настроен как L3/L4-роутер, а не как L2 bridge).

Пардон, неправильно сформулировал вопрос. Сервер имеет свой IP (к примеру, 10.10.10.10). Надо ли мне в Кинетике в межсетевом экране принудительно разрешать входящие с этого IP-адреса? Терминал настроен как роутер, скорее всего. Потому что, когда мне требовалось открыть один порт, я открывал его именно на терминале. И получается, если подключениями и портами управляет терминал, то все настройки надо производить в нем? И надо ли, ведь первые 5 минут все хорошо, только потом не приходят пакеты. Извините, если вопросы лишком глупые.

[Le ecureuil]

1 час назад, Zatserkovnyy сказал:

Пардон, неправильно сформулировал вопрос. Сервер имеет свой IP (к примеру, 10.10.10.10). Надо ли мне в Кинетике в межсетевом экране принудительно разрешать входящие с этого IP-адреса? Терминал настроен как роутер, скорее всего. Потому что, когда мне требовалось открыть один порт, я открывал его именно на терминале. И получается, если подключениями и портами управляет терминал, то все настройки надо производить в нем? И надо ли, ведь первые 5 минут все хорошо, только потом не приходят пакеты. Извините, если вопросы лишком глупые.

На Кинетике они будут видется с настоящим IP клиента, потому нужно разрешить "ото всех" на эти порты. А мы сейчас про GPON и открытие портов говорим про клиент или про сервер? На клиенте ничего открывать не нужно.

[Zatserkovnyy]

Да, терминал GPON (Eltex), к нему подключен Giga III. Я - OpenVNP клиент, ко мне не приходят пакеты с сервера, но уходят на сервер.