Re: openvpn и replay

[Victor Wagner <vitus@wagner.pp.ru>]

On 2011.09.09 at 16:05:13 +0400, Ed wrote:

> стоит у меня openvpn сервер и периодически в логах появляются
> подобные сообщения:
> 
>  Authenticate/Decrypt packet error: bad packet ID (may be a replay):
> [ #1 / time = (1315567947) Fri Sep  9 15:32:27 2011 ] -- see the man
> page entry for --no-replay and --replay-window for more info or
> silence this warning with --mute-replay-warnings
> 
> (дальше идут такие же предупреждения с #2, #3, ...)
> 
> при этом клиент "отваливается".
> перезапуск сервера решает проблему.
> 
> 
> вопрос: что происходит и как бороться?

В сообщении написано "прочитайте раздел  man-страницы про опции
--no-replay и --replay-window.

> 
> как я понимаю, клиентский openvpn был перезапущен, поэтому он заново
> послал пакет с #1, чего сервер испугался "replay наверное".

Абсолютно неверное представление. OpenVPN достаточно хитрая софтина,
чтобы для идентификаторов пакетов использовать нечто отличное от
простого порядкового номера.

Скорее всего действительно прилетает дубль пакета. Из-за каких-нибудь
сетевых проблем. Или пакеты по дороге перепутываются и приходят не в том
порядке (что вполне нормально. Ненормально то, что за заданное по
умолчанию количество пакетов и секунд не удается собрать правильную
цепочку).

Если игры с --replay-window не приведут к успеху, можно
попробовать использовать openvpn в tcp-режиме вместо udp. Тогда
сборкой пакетов в правильной последовательности будет заниматься ядро, а
не openvpn. Но это приведет к потерям производительности.

Впрочем, лучше работающий медленно, чем зависающий канал.