|
SMConnect & SMConfig VPN-сервер на базе SMH-2Gi, Trim5 и SMH4 и средство удалённой настройки контроллера |
|
Опции темы | Поиск в этой теме |
10.09.2018, 00:11 | #1 |
Новичок
Регистрация: Jun 2012
Сообщения: 20
Благодарил(а): 0 раз(а)
Поблагодарили:
0 раз(а) в 0 сообщениях
|
VPN связь
Всем добрый день!
Появилась проблема, как ее решить пока не знаю, может тут подскажут) Итак, начнем с истории: Раньше стоял контроллер VPN сервер SMH2Gi 002031 2 , со старой прошивкой software 264.100. В сети примерно было около 50 клиентов - это и рабочие станции на базе Windows, Linux и контроллеры клиенты SMH2Gi с прошивкой 264.100 и более новые. Все в принципе было хорошо, ну почти))) бывало отваливались клиенты, из-за не стабильного интернета но не критично, после перезагрузки, вуаля они снова с нами. Несколько дней назад, отвалились все клиенты, в итоге оказалось что контроллер VPN завис и не отвечал никак, помогла только принудительная перезагрузка его(отключения питания). Раз такое дело, решил поменять его на другой с последней актуальной прошивкой 265.834. Подключил, запустил , добавил клиентов которые отправили запросы, все ок. Правда есть контроллеры которые только после перезагрузке подключаются, где-то читал вроде уже на этом форуме что проблема заключается скорее всего в FBD проекте, отсюда вопрос как понять что дело в проекте и как это исправить, куда смотреть и что делать? Кстати в сети находятся на данный момент контроллеры с разными прошивками, а проблема это как и у тех так и у других, короче не зависит от прошивки. Теперь второй момент: Так же с недавних пор, VPN сервер, через какое-то время перестает пускать в сеть, на клиенте пишет такое сообщение TCP/UDP: Closing socket(даже клиенты которые находятся с ним в одной локальной сети), только после перезапуска VPN сервера, начинает работать. Залез в логи сервера и увидел что ко мне стучатся всякие из-за бугра "редиски". Здесь мой косяк, признаю, надо было сразу запретить все, что не разрешено- а именно пускать на порты впн только избранные IP, уже исправляюсь. Но напрягает в тех же логах сообщения типа : read UDPv4 [ECONNREFUSED]: Connection refused (code=111) , read UDPv4 [EHOSTUNREACH]: No route to host (code=113) и такие сообщения я встречал при подключении с ip клиента которого я знаю и после перезапуска ВПН. Возможно это все из-за флуда на него, я надеюсь что это так, я правильно понимаю? Буду держать в курсе событий. В принципе меня волнует пока первый вопрос, почему некоторые контроллеры сами не стучатся, а только после перезапуска? |
10.09.2018, 10:13 | #2 |
Новичок
Регистрация: Jun 2012
Сообщения: 20
Благодарил(а): 0 раз(а)
Поблагодарили:
0 раз(а) в 0 сообщениях
|
Ответ: VPN связь
Меня тут осенило, что некоторые сообшения по 2 вопросу возникают из-за того что я ещё не все обновил ключи на рабочих станциях, но то что стучатся из других стран это факт. Работаю над этим. Все ещё напрягает первый вопрос.
|
10.09.2018, 13:39 | #3 |
Senior Member
Регистрация: Jun 2007
Адрес: Tyumen
Сообщения: 2 053
Благодарил(а): 20 раз(а)
Поблагодарили:
21 раз(а) в 21 сообщениях
|
Ответ: VPN связь
Я однажды делал котельную на одном из самых первых 2Gi. Подключил его к интернету и прописал в СМсервер компании Сегнетикс. Потом в течении 2 лет мы отлавливали касяки в ядре контроллера совместно с разработчиками компании Сегнетикс. Но сейчас не о том... так вот во время такого ковыряния мы обнаружили что на порты контроллера постоянно долбятся с разных IP из-за бугра. Естественно стоял хороший пароль и эти попытки ни к чему не приводили... так вот я к чему - наверное это обычное дело... разные там кофеварки, взломанные другими приборами сканируют сеть и пытаются подключиться чтобы внедрить вредоносный код и получить контроль над вашим сервером...
|
12.09.2018, 11:53 | #4 |
Уволен из Сегнетикс
Регистрация: Nov 2015
Адрес: CПб/ВЛГ
Сообщения: 0
Благодарил(а): 0 раз(а)
Поблагодарили:
1 раз в 1 сообщении
|
Ответ: VPN связь
У меня роутер microtik с проброшенными наружу портами и без пароля висит в сети.
Без пароля, конечно, не порядок, надо бы поставить.... Но так или иначе, пока что не было проблем с атаками, хотя я знаю, что там есть уязвимости, даже с использованием пароля, надо прошивку обновлять, чтобы всё хорошо было. Ну а что касается контроллеров, думаю, верная настройка nat на роутере сможет помочь избавить его от спама. Сам с таким не сталкивался... А по этому поводу - давайте информации больше соберём. Контроллеры все 2Gi? Выход в интернет и подключение у коннекту как у них настроено? __________________ В сегнетиксе не работаю с самого начала 2019 года. Последний раз редактировалось Gromov, 12.09.2018 в 12:26 |
12.09.2018, 12:51 | #5 |
Новичок
Регистрация: Jun 2012
Сообщения: 20
Благодарил(а): 0 раз(а)
Поблагодарили:
0 раз(а) в 0 сообщениях
|
Ответ: VPN связь
Доберусь до ПК, отпишусь, а то с телефона не удобно)
|
13.09.2018, 14:13 | #6 | |
Новичок
Регистрация: Jun 2012
Сообщения: 20
Благодарил(а): 0 раз(а)
Поблагодарили:
0 раз(а) в 0 сообщениях
|
Ответ: VPN связь
Итак, начнем:
Цитата:
Теперь по-поводу нашей сети: У нас тоже стоит mikrotik(6.42.7), два интернета - основной и резервный канал, проброшены порты. Так вот сейчас, как я писал выше, проблема в том что контроллер с VPN сервером, через какое-то время закрывает порт(TCP/UDP: Closing socket). В логах постоянно "редиски" всякие: Sep 13 16:33:23 openvpn[26080]: 139.99.192.56:80 TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity) Sep 13 16:33:23 openvpn[26080]: 139.99.192.56:80 TLS Error: TLS handshake failed Sep 13 16:33:23 openvpn[26080]: 139.99.192.56:80 SIGUSR1[soft,tls-error] received, client-instance restarting Sep 13 16:33:25 openvpn[26080]: MULTI: multi_create_instance called Sep 13 16:33:25 openvpn[26080]: 139.99.192.56:80 Re-using SSL/TLS context Sep 13 16:33:25 openvpn[26080]: 139.99.192.56:80 LZO compression initialized Sep 13 16:33:25 openvpn[26080]: 139.99.192.56:80 Control Channel MTU parms [ L:1590 D:138 EF:38 EB:0 ET:0 EL:0 ] Sep 13 16:33:25 openvpn[26080]: 139.99.192.56:80 Data Channel MTU parms [ L:1590 D:1450 EF:58 EB:135 ET:32 EL:0 AF:3/1 ] Sep 13 16:33:25 openvpn[26080]: 139.99.192.56:80 Local Options hash (VER=V4): '26e19fc0' Sep 13 16:33:25 openvpn[26080]: 139.99.192.56:80 Expected Remote Options hash (VER=V4): 'b498be7c' Sep 13 16:33:25 openvpn[26080]: 139.99.192.56:80 TLS: Initial packet from 139.99.192.56:80, sid=6a22eb44 5adb63fe Sep 13 16:33:41 openvpn[26080]: 185.200.118.71:60689 TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity) Sep 13 16:33:41 openvpn[26080]: 185.200.118.71:60689 TLS Error: TLS handshake failed Sep 13 16:33:41 openvpn[26080]: 185.200.118.71:60689 SIGUSR1[soft,tls-error] received, client-instance restarting Sep 13 16:34:25 openvpn[26080]: 139.99.192.56:80 TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity) Sep 13 16:34:25 openvpn[26080]: 139.99.192.56:80 TLS Error: TLS handshake failed Sep 13 16:34:25 openvpn[26080]: 139.99.192.56:80 SIGUSR1[soft,tls-error] received, client-instance restarting Sep 13 16:34:29 openvpn[26080]: MULTI: multi_create_instance called Sep 13 16:34:29 openvpn[26080]: 139.99.192.56:80 Re-using SSL/TLS context Sep 13 16:34:29 openvpn[26080]: 139.99.192.56:80 LZO compression initialized Sep 13 16:34:29 openvpn[26080]: 139.99.192.56:80 Control Channel MTU parms [ L:1590 D:138 EF:38 EB:0 ET:0 EL:0 ] Sep 13 16:34:29 openvpn[26080]: 139.99.192.56:80 Data Channel MTU parms [ L:1590 D:1450 EF:58 EB:135 ET:32 EL:0 AF:3/1 ] Sep 13 16:34:29 openvpn[26080]: 139.99.192.56:80 Local Options hash (VER=V4): '26e19fc0' Sep 13 16:34:29 openvpn[26080]: 139.99.192.56:80 Expected Remote Options hash (VER=V4): 'b498be7c' Sep 13 16:34:29 openvpn[26080]: 139.99.192.56:80 TLS: Initial packet from 139.99.192.56:80, sid=6a22eb44 5adb63fe Sep 13 16:35:29 openvpn[26080]: 139.99.192.56:80 TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity) Sep 13 16:35:29 openvpn[26080]: 139.99.192.56:80 TLS Error: TLS handshake failed Sep 13 16:35:29 openvpn[26080]: 139.99.192.56:80 SIGUSR1[soft,tls-error] received, client-instance restarting Почему-то раньше такого не было и вот не понятно что произошло : поменял контроллер на другой с новой прошивкой и обновил роутер. и понеслось((. На данный момент просто блокирую IP. Сегодня, завтра думаю закончим с настройкой, тормозит только то, что у некоторых контроллеров динамический IP. Ну все решаемо) Как только стабилизируется связь, можно будет поиграться с первым вопросом) |
|
02.10.2018, 14:11 | #7 |
Новичок
Регистрация: Jun 2012
Сообщения: 20
Благодарил(а): 0 раз(а)
Поблагодарили:
0 раз(а) в 0 сообщениях
|
Ответ: VPN связь
Наконец-то добрался, обновили правила фаервола, теперь все гуд, контроллер работает стабильно уже как 2 недели и "редисок" нет. Могу с уверенностью сообщить что проблема была еще в том, что пару контроллеров автоматом не удалили старые ключи, пришлось в ручную удалить их, только после этого они отправили запрос новый.
Теперь насчет первого вопроса, тоже пока все гуд, без обрывов, правда есть пару контроллеров которые минуты на 4 отваливаются, могут 1 раз в сутки оборваться, а могут и 5 раз, пока не понятно. Забил пока на них, не критично))) |