Re: openvpn и replay
On 2011.09.09 at 16:05:13 +0400, Ed wrote:
> стоит у меня openvpn сервер и периодически в логах появляются
> подобные сообщения:
>
> Authenticate/Decrypt packet error: bad packet ID (may be a replay):
> [ #1 / time = (1315567947) Fri Sep 9 15:32:27 2011 ] -- see the man
> page entry for --no-replay and --replay-window for more info or
> silence this warning with --mute-replay-warnings
>
> (дальше идут такие же предупреждения с #2, #3, ...)
>
> при этом клиент "отваливается".
> перезапуск сервера решает проблему.
>
>
> вопрос: что происходит и как бороться?
В сообщении написано "прочитайте раздел man-страницы про опции
--no-replay и --replay-window.
>
> как я понимаю, клиентский openvpn был перезапущен, поэтому он заново
> послал пакет с #1, чего сервер испугался "replay наверное".
Абсолютно неверное представление. OpenVPN достаточно хитрая софтина,
чтобы для идентификаторов пакетов использовать нечто отличное от
простого порядкового номера.
Скорее всего действительно прилетает дубль пакета. Из-за каких-нибудь
сетевых проблем. Или пакеты по дороге перепутываются и приходят не в том
порядке (что вполне нормально. Ненормально то, что за заданное по
умолчанию количество пакетов и секунд не удается собрать правильную
цепочку).
Если игры с --replay-window не приведут к успеху, можно
попробовать использовать openvpn в tcp-режиме вместо udp. Тогда
сборкой пакетов в правильной последовательности будет заниматься ядро, а
не openvpn. Но это приведет к потерям производительности.
Впрочем, лучше работающий медленно, чем зависающий канал.
Reply to: