Google Группы больше не поддерживают новые публикации и подписки в сети Usenet. Опубликованный ранее контент останется доступен.
Закрыть

openvpn и replay

8 просмотров
Перейти к первому непрочитанному сообщению

Ed

не прочитано,
9 сент. 2011 г., 08:30:0209.09.2011
О©╫О©╫О©╫О©╫О©╫ О©╫ О©╫О©╫О©╫О©╫ openvpn О©╫О©╫О©╫О©╫О©╫О©╫ О©╫ О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫ О©╫ О©╫О©╫О©╫О©╫О©╫ О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫ О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫
О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫:

Authenticate/Decrypt packet error: bad packet ID (may be a replay): [
#1 / time = (1315567947) Fri Sep 9 15:32:27 2011 ] -- see the man page
entry for --no-replay and --replay-window for more info or silence this
warning with --mute-replay-warnings

(О©╫О©╫О©╫О©╫О©╫О©╫ О©╫О©╫О©╫О©╫ О©╫О©╫О©╫О©╫О©╫ О©╫О©╫ О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫ О©╫ #2, #3, ...)

О©╫О©╫О©╫ О©╫О©╫О©╫О©╫ О©╫О©╫О©╫О©╫О©╫О©╫ "О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫".
О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫ О©╫О©╫О©╫О©╫О©╫О©╫О©╫ О©╫О©╫О©╫О©╫О©╫О©╫ О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫.


О©╫О©╫О©╫О©╫О©╫О©╫: О©╫О©╫О©╫ О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫ О©╫ О©╫О©╫О©╫ О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫?

О©╫О©╫О©╫ О©╫ О©╫О©╫О©╫О©╫О©╫О©╫О©╫, О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫ openvpn О©╫О©╫О©╫ О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫, О©╫О©╫О©╫О©╫О©╫О©╫О©╫ О©╫О©╫ О©╫О©╫О©╫О©╫О©╫О©╫
О©╫О©╫О©╫О©╫О©╫О©╫ О©╫О©╫О©╫О©╫О©╫ О©╫ #1, О©╫О©╫О©╫О©╫ О©╫О©╫О©╫О©╫О©╫О©╫ О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫ "replay О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫".

О©╫О©╫ О©╫О©╫О©╫ О©╫О©╫О©╫О©╫ О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫ О©╫О©╫О©╫О©╫О©╫О©╫О©╫ О©╫ О©╫О©╫О©╫О©╫О©╫-О©╫О©╫ О©╫О©╫О©╫О©╫О©╫О©╫О©╫ О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫ О©╫ О©╫О©╫О©╫О©╫О©╫О©╫ О©╫О©╫
О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫ О©╫О©╫О©╫О©╫О©╫О©╫О©╫. О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫ О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫ О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫ О©╫О©╫ О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫.


--
To UNSUBSCRIBE, email to debian-russ...@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listm...@lists.debian.org
Archive: http://lists.debian.org/4E6A00F9...@yandex.ru

Victor Wagner

не прочитано,
9 сент. 2011 г., 09:10:0309.09.2011
On 2011.09.09 at 16:05:13 +0400, Ed wrote:

> стоит у меня openvpn сервер и периодически в логах появляются
> подобные сообщения:
>
> Authenticate/Decrypt packet error: bad packet ID (may be a replay):
> [ #1 / time = (1315567947) Fri Sep 9 15:32:27 2011 ] -- see the man
> page entry for --no-replay and --replay-window for more info or
> silence this warning with --mute-replay-warnings
>
> (дальше идут такие же предупреждения с #2, #3, ...)
>
> при этом клиент "отваливается".
> перезапуск сервера решает проблему.
>
>
> вопрос: что происходит и как бороться?

В сообщении написано "прочитайте раздел man-страницы про опции
--no-replay и --replay-window.

>
> как я понимаю, клиентский openvpn был перезапущен, поэтому он заново
> послал пакет с #1, чего сервер испугался "replay наверное".

Абсолютно неверное представление. OpenVPN достаточно хитрая софтина,
чтобы для идентификаторов пакетов использовать нечто отличное от
простого порядкового номера.

Скорее всего действительно прилетает дубль пакета. Из-за каких-нибудь
сетевых проблем. Или пакеты по дороге перепутываются и приходят не в том
порядке (что вполне нормально. Ненормально то, что за заданное по
умолчанию количество пакетов и секунд не удается собрать правильную
цепочку).

Если игры с --replay-window не приведут к успеху, можно
попробовать использовать openvpn в tcp-режиме вместо udp. Тогда
сборкой пакетов в правильной последовательности будет заниматься ядро, а
не openvpn. Но это приведет к потерям производительности.

Впрочем, лучше работающий медленно, чем зависающий канал.


--
To UNSUBSCRIBE, email to debian-russ...@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listm...@lists.debian.org
Archive: http://lists.debian.org/20110909130...@wagner.pp.ru

Ed

не прочитано,
9 сент. 2011 г., 09:20:0209.09.2011
On 09/09/11 17:00, Victor Wagner wrote:
> On 2011.09.09 at 16:05:13 +0400, Ed wrote:

>> как я понимаю, клиентский openvpn был перезапущен, поэтому он заново
>> послал пакет с #1, чего сервер испугался "replay наверное".
>
> Абсолютно неверное представление. OpenVPN достаточно хитрая софтина,
> чтобы для идентификаторов пакетов использовать нечто отличное от
> простого порядкового номера.
>
> Скорее всего действительно прилетает дубль пакета. Из-за каких-нибудь
> сетевых проблем. Или пакеты по дороге перепутываются и приходят не в том
> порядке (что вполне нормально. Ненормально то, что за заданное по
> умолчанию количество пакетов и секунд не удается собрать правильную
> цепочку).

такое объяснение первым приходит в голову, но нет же - проверил логи,
проблемы начинаются с #1.

сейчас заметил такую приписку в man:
In Static Key mode or when using an CFB or OFB mode cipher, OpenVPN uses
a 64 bit unique identifier that combines a time stamp with an
incrementing sequence number.

у меня как раз static key mode.

возможно что-то с таймштампом на виндовых клиентах? (такое ощущение, что
проблемы только с ними)
например служба перезапскается два раза за одну секунду.


--
To UNSUBSCRIBE, email to debian-russ...@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listm...@lists.debian.org

Archive: http://lists.debian.org/4E6A1221...@yandex.ru

0 новых сообщений