Entradas de log incomuns do servidor OpenVPN a cada minuto - Conexão redefinida, reiniciando [0]

2

O OpenVPN está sendo executado no lançamento do pfSense 2.0. Até recentemente, essas mensagens não haviam ocorrido. Nos logs do servidor OpenVPN, o conjunto seguinte de mensagens se repete a cada minuto

openvpn[34562]: xx.xx.xx.xx:11553 Connection reset, restarting [0]
openvpn[34562]: TCPv4_SERVER link remote: [AF_INET]xx.xx.xx.xx:11553
openvpn[34562]: TCPv4_SERVER link local: [undef]
openvpn[34562]: TCP connection established with [AF_INET]xx.xx.xx.xx:11553
openvpn[34562]: LZO compression initialized
openvpn[34562]: Re-using SSL/TLS context
openvpn[34562]: xx.xx.xx.xx:54881 Connection reset, restarting [0]
openvpn[34562]: TCPv4_SERVER link remote: [AF_INET]xx.xx.xx.xx:54881
openvpn[34562]: TCPv4_SERVER link local: [undef]
openvpn[34562]: TCP connection established with [AF_INET]xx.xx.xx.xx:54881
openvpn[34562]: LZO compression initialized
openvpn[34562]: Re-using SSL/TLS context
    
por zymhan 21.07.2014 / 14:59

2 respostas

2

Eu esqueço que fiz essa pergunta! Eu descobri o problema com a ajuda do suporte técnico. A questão era que estávamos monitorando a porta TCP do OpenVPN no servidor com o Zabbix, que estava abrindo uma conexão a cada minuto para confirmar que a porta estava aberta. Depois de confirmar que a porta estava aberta, o Zabbix fechava a conexão, causando as mensagens "Connection reset". Em retrospecto, os números de portas efêmeras do cliente de conexão deveriam ter sido um indício maior de que o problema não era com o OpenVPN em si.

Nada como descobrir que seu problema foi causado por você o tempo todo.

    
por 27.10.2014 / 16:27
2

Você não deve usar o TCP, a menos que seja sua única opção, sempre preferível para tunelar qualquer coisa em protocolos sem conexão. Não está diretamente relacionado ao problema, mas eu mudaria isso para o UDP. Fazer isso possivelmente ajudaria esse problema (embora seja provavelmente indicativo de alguma outra causa raiz).

A "redefinição de conexão" é a causa do problema, é uma questão de por que a conexão TCP está sendo descartada ou abandonada. Se a sua configuração matar estados na falha do gateway e o seu monitor de gateway não responder de forma confiável, ele poderá estar matando estados repetidamente. Verificar uma captura de pacotes do tráfego seria revelador.

Os registros que você postou não mostram sinais de problemas com keepalives. Eu não tocaria nisso e reverteria as alterações que você fez relacionadas a isso.

    
por 23.07.2014 / 09:36