Я долго рвал на себе волосы из-за этой проблемы. Уже 2 года я без проблем запускаю OpenVPN на Ubuntu 18.04. В качестве виртуального сервера на Virtualbox на хосте Windows. Теперь я на некоторое время сменил хост на Ubuntu 19.10 и использую KVM / QEMU в качестве решения для виртуализации. Все еще использую виртуальный сервер с Ubuntu 18.04 и OpenVPN. Он работал хорошо, но с некоторых пор каждые 5 дней после загрузки сервера все клиенты больше не могут подключиться. Временным решением было просто перезагрузить сервер, но я обнаружил, что есть еще более быстрый способ. Также помогает отключение и повторное подключение (виртуальной) сетевой карты сервера. Ритуал, который я должен повторить через 5 дней.
Думая, что это проблема хоста, я построил недавно установленный сервер Ubuntu 20.04 и переместил туда виртуальный сервер. Но, к сожалению, проблема остается. Ниже приведен фрагмент журнала Openvpn.log. (Я изменил IP-адрес внешнего клиента на 1.2.3.4 из соображений конфиденциальности)
May 1 14:33:33 UBSRV ovpn-server[2295]: 1.2.3.4:53856 TLS: Initial packet from [AF_INET]1.2.3.4:53856, sid=c9c686be 9cf0f8ce
May 1 14:34:22 UBSRV ovpn-server[2295]: 1.2.3.4:53851 TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity)
May 1 14:34:22 UBSRV ovpn-server[2295]: 1.2.3.4:53851 TLS Error: TLS handshake failed
May 1 14:34:22 UBSRV ovpn-server[2295]: 1.2.3.4:53851 SIGUSR1[soft,tls-error] received, client-instance restarting
May 1 14:34:33 UBSRV ovpn-server[2295]: 1.2.3.4:53856 TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity)
May 1 14:34:33 UBSRV ovpn-server[2295]: 1.2.3.4:53856 TLS Error: TLS handshake failed
May 1 14:34:33 UBSRV ovpn-server[2295]: 1.2.3.4:53856 SIGUSR1[soft,tls-error] received, client-instance restarting
May 1 14:43:30 UBSRV ovpn-server[2295]: 1.2.3.4:53956 TLS: Initial packet from [AF_INET]1.2.3.4:53956, sid=282f086d cc3e3b5b
May 1 14:43:31 UBSRV ovpn-server[2295]: 1.2.3.4:53956 tls-crypt unwrap error: bad packet ID (may be a replay): [ #1 / time = (1588337010) Fri May 1 14:43:30 2020 ] -- see the man page entry for --no-replay and --replay-window for more info or silence this warning with --mute-replay-warnings
May 1 14:43:31 UBSRV ovpn-server[2295]: 1.2.3.4:53956 tls-crypt unwrap error: packet replay
Конфигурация сервера следующая:
dev tun
proto udp
port 1194
ca /etc/openvpn/easy-rsa/pki/ca.crt
cert /etc/openvpn/easy-rsa/pki/issued/UBSRV_e307a924-b5ae-413a-94af-89a150a03de8.crt
key /etc/openvpn/easy-rsa/pki/private/UBSRV_e307a924-b5ae-413a-94af-89a150a03de8.key
dh none
ecdh-curve prime256v1
topology subnet
server 10.8.0.0 255.255.255.0
push "dhcp-option DNS 10.8.0.1"
push "block-outside-dns"
push "redirect-gateway def1"
client-to-client
client-config-dir /etc/openvpn/ccd
keepalive 15 120
remote-cert-tls client
tls-version-min 1.2
tls-crypt /etc/openvpn/easy-rsa/pki/ta.key
cipher AES-256-CBC
auth SHA256
user openvpn
group openvpn
persist-key
persist-tun
crl-verify /etc/openvpn/crl.pem
status /var/log/openvpn-status.log 20
status-version 3
syslog
verb 3
Надеюсь, у кого-то есть идея или подсказка, что искать. Возможно, я верну машину в VirtualBox и посмотрю, решит ли это проблему.
Обновление: я изменил свой сервер Ubuntu с KVM / QEMU на Proxmox 6.2 (на основе QEMU версии 5). Время работы составляет более 5 дней, а VPN все еще работает! Определенно есть какая-то сетевая ошибка в версии 4.2.0.