Коллеги, тут пришлось вытащить из загашника пару старых машинок,
на которых стоят более старые версии Debian, и обнаружилось, что
сконнектиться с openvpn-сервером на stretch клиенты с jessie и wheezy
не могут.
Ругань при этом сыплется совершенно разнообразная:
Oct 18 13:17:46 deneb ovpn-server[19930]:
polaris.wagner.home/188.255.54.51:1194 Authenticate/Decrypt packet
error: bad packet ID (may be a replay): [ #3929391416 / time =
(893150200) Tue Apr 21 13:16:40 1998 ] -- see the man page entry for
--no-replay and --replay-window for more info or silence this warning
with --mute-replay-warnings
Oct 18 13:18:44 deneb ovpn-server[19930]:
polaris.wagner.home/188.255.54.51:1194 WARNING: 'link-mtu' is used
inconsistently, local='link-mtu 1562', remote='link-mtu 1542' Oct 18
13:18:44 deneb ovpn-server[19930]:
polaris.wagner.home/188.255.54.51:1194 WARNING: 'cipher' is used
inconsistently, local='cipher AES-256-CFB', remote='cipher BF-CBC'
и так далее, и тому подобное. При этом победить проблему путем такой
настройки опций на (старом) клиенте, чтобы они соответствовали (новому)
серверу мне не удалось.
С jessie проблему удалось решить путем установки openvpn из backports,
в смысле той же версии, что и в stretch. В wheezy, я, конечно, скажу
dist-upgrade два раза и этим инцидент будет исчерпан.
Но что, действительно при переходе от openvpn 2.3.x к 2.4.0 все
несовместимым образом сломали, или все же существует совместимая
конфигурация.
У меня конфигурация сервера была весьма простая:
dev tun
server 192.168.217.128 255.255.255.192
dh dh.pem
ca ca.crt
key server.key
cert server.crt
comp-lzo
mode server
cipher aes-256-cfb
proto udp
port 1194
topology subnet
keepalive 10 60
client-to-client
--