Problema no OpenVPN [RESOLVIDO]

carlosparisotto
(usa Red Hat)

Enviado em 29/04/2010 - 10:06h

Pessoal,
tenho um servidor que possui VPN com servidores de algumas filiais, todos rodando Red Hat (ou Red Hat based) e usando o OpenVPN. Há alguns dias parou de funcionar a minha VPN com uma das filiais apenas, fiz teste, pra ver se tinha firewall, modem, ou alguma outra coisa bloqueando e não detectei nada. Mudei a porta UDP de comunicação com outra filial e continuou não funcionando, enquanto que na outra filial continuou funcionando, o que me elimina do problema da porta com problema. Na Central, está me mostrando os seguintes logs(5050 é a porta UDP de comunicação):
Apr 29 09:44:53 serv001 openvpn[2808]: UDPv4 link local (bound): [undef]:5050
Apr 29 09:44:53 serv001 openvpn[2808]: UDPv4 link remote: [undef]
Apr 29 09:46:53 serv001 openvpn[2808]: Inactivity timeout (--ping-restart), resta
rting
Apr 29 09:46:53 serv001 openvpn[2808]: SIGUSR1[soft,ping-restart] received, proce
ss restarting
Apr 29 09:46:55 serv001 openvpn[2808]: Re-using pre-shared static key
Apr 29 09:46:55 serv001 openvpn[2808]: LZO compression initialized
Apr 29 09:46:55 serv001 openvpn[2808]: Preserving previous TUN/TAP instance: tun2

Se alguem tiver alguma solução, me ajuda.

predator
(usa Debian)

Enviado em 29/04/2010 - 10:35h

opa

Verificou, se voce consegue pingar de uma para outra, porque o openvpn da um ping periodicamente para testar os tuneis.
Se por exemplo o firewall de qualquer uma das pontas estivar barrando ping, não vai conectar mesmo.

abs

irado
(usa XUbuntu)

Enviado em 29/04/2010 - 11:32h

a) acesse o outro lado por ssh, coloque o tcpdump 'olhando' para a tun0; coloque TAMBÉM tcpdump para 'olhar' a tun0 dêste lado, pingue daqui pra lá e observe pra ver se, pelo menos, está chegando.

b) aumente a verborragia (falação) do log para 9 nas duas pontas e observe qualquer problema

c) normalmente não são aceitos 'ping' de ponta-a-ponta, só de lan2lan, então, a partir de máquina qualquer (que não o fwll/gw) pingue outra máquina qualquer (que não o fwll/gw)

carlosparisotto
(usa Red Hat)

Enviado em 29/04/2010 - 12:04h

Essas VPNs estão configuradas para funcionar o ping de ponta a ponta, de qualquer forma, eu tentei pelos IPs de LAN, e não deu certo. As mensagens de log acima são referentes ao servidor central, que mostra estar tendo algum tipo de comunicação na porta 5050. Vou tentar aumentar os níveis de log, e ver se detecto alguma outra coisa.
Enquanto isso, quem tiver alguma outra idéia, por favor poste.

irado
(usa XUbuntu)

Enviado em 29/04/2010 - 21:50h

"mostra estar tendo algum tipo de comunicação na porta 5050"..

isso pode ser apenas uma impressão e.. não usamos "ter impressões". Como sugeri, analise EXCLUSIVAMENTE pelo que o tcpdump possa te dizer, qualquer outra coisa não passa de especulação.

tcpdump -vvi tun0 em AMBAS as pontas.

carlosparisotto
(usa Red Hat)

Enviado em 30/04/2010 - 15:08h

Com o tcpdump não apareceu nada vindo do outro host em nenhuma das duas pontas.
Alguém tem alguma outra idéia de arquivo onde eu possa visualizar mais logs?

Detalhe importante: Salvei os arquivos do openvpn, removi e instalei o pacote do
openvpn e voltou a funcionar...por um dia, no dia seguinte aconteceu o mesmo erro,
da mesma forma, tentei a mesma coisa e dessa vez não funcionou (eu sei que parece
impossível, mas é isso mesmo)

irado
(usa XUbuntu)

Enviado em 30/04/2010 - 21:51h

se o tcpdump não mostra nada, indica não haver tráfego entre as interfaces. Ou até mesmo não existem interfaces. Bem, como recomendei a outro colega (outro post, problema similar):

verifique se tunX que aponta para a filial existe e está ativa (com ip-addr que vc configurou, etc).

hã um modo (man openvpn ou site) de ativar o openvpn com êste passando todas as informações para o console e mesmo um teste bem eficaz de server/client na mesma máquina - só pra ver se realmente está ativo

no relatório (seu) indica que não há atividade no túnel, então faça a verificação na outra ponta, uma vez que vc informa que funciona com outras filiais.

quanto a testar com tcpdump: sugiro acompanhar outro trédi (acho que está em 'redes') onde eu indico como e o que vc pode esperar do seu uso.

vamos ver se um dia isso funciona de novo, como deve :)

carlosparisotto
(usa Red Hat)

Enviado em 03/09/2010 - 14:23h

Pessoal, após 5 meses eu consegui acabar 100% com o problema. Um dos servidores estava com bloqueio ICMP, o que causa problema no protocolo UDP. Mudando para TCP funcionou perfeitamente.