После обновлния Microtik 7.10.2 и OpenVPN по ключу - коннект есть - связи нет

[joub]

Всем доброго!
Обновил я тут свой роутер до последней... 7.10.2 и настроенный OpenVPN клиент приказал долго жить.

Вот немножко конфига сервера:

port 1194
proto udp
dev tun
ca /etc/openvpn/certs/ca.crt
cert /etc/openvpn/certs/prx.bb8qq.com.crt
key /etc/openvpn/certs/prx.bb8qq.com.key
#crl-verify /etc/openvpn/certs/crl.pem
dh /etc/openvpn/certs/dh.pem
#tls-auth /etc/openvpn/certs/ta.key 0
client-config-dir .ccd
client-to-client
cipher AES-256-CBC
compress lz4-v2
push "compress lz4-v2"
persist-key
persist-tun
server 10.8.0.0 255.255.255.0
ifconfig-pool-persist /var/log/openvpn/ipp.txt
max-clients 10
keepalive 10 120
verb 3
explicit-exit-notify 1
status /var/log/openvpn/openvpn-status.log
log /var/log/openvpn/openvpn.log
log-append /var/log/openvpn/openvpn.log
#push "redirect-gateway def1 bypass-dhcp"
push "route 10.8.0.1 255.255.255.255"
push "route 10.8.0.0 255.255.255.0"
push "redirect-gateway"
push "dhcp-option DNS 8.8.8.8"


А вот немного лога подключения микротика на сервере 1.1.1.1 - для примера:

Initialization Sequence Completed
1.1.1.1:56780 TLS: Initial packet from [AF_INET]1.1.1.1:56780, sid=086ed992 15087e04
1.1.1.1:56780 VERIFY OK: depth=1, CN=prx
1.1.1.1:56780 VERIFY OK: depth=0, CN=mikrotik
1.1.1.1:56780 peer info: IV_PROTO=2
1.1.1.1:56780 WARNING: 'link-mtu' is used inconsistently, local='link-mtu 1558', remote='link-mtu 1557'
1.1.1.1:56780 WARNING: 'comp-lzo' is present in local config but missing in remote config, local='comp-lzo'
1.1.1.1:56780 Control Channel: TLSv1.2, cipher TLSv1.2 ECDHE-RSA-AES256-GCM-SHA384, 2048 bit RSA
1.1.1.1:56780 [mikrotik] Peer Connection Initiated with [AF_INET]1.1.1.1:56780
mikrotik/1.1.1.1:56780 MULTI_sva: pool returned IPv4=10.8.0.6, IPv6=(Not enabled)
mikrotik/1.1.1.1:56780 MULTI: Learn: 10.8.0.6 -> mikrotik/1.1.1.1:56780
mikrotik/1.1.1.1:56780 MULTI: primary virtual IP for mikrotik/1.1.1.1:56780: 10.8.0.6
mikrotik/1.1.1.1:56780 Outgoing Data Channel: Cipher 'AES-256-CBC' initialized with 256 bit key
mikrotik/1.1.1.1:56780 Outgoing Data Channel: Using 160 bit message hash 'SHA1' for HMAC authentication
mikrotik/1.1.1.1:56780 Incoming Data Channel: Cipher 'AES-256-CBC' initialized with 256 bit key
mikrotik/1.1.1.1:56780 Incoming Data Channel: Using 160 bit message hash 'SHA1' for HMAC authentication
mikrotik/1.1.1.1:56780 PUSH: Received control message: 'PUSH_REQUEST'
mikrotik/1.1.1.1:56780 SENT CONTROL [mikrotik]: 'PUSH_REPLY,compress lz4-v2,route 10.8.0.1 255.255.255.255,route 10.8.0.0 255.255.255.0,re
direct-gateway,dhcp-option DNS 8.8.8.8,route 10.8.0.0 255.255.255.0,topology net30,ping 10,ping-restart 120,ifconfig 10.8.0.6 10.8.0.5,peer-id 0'
(status=1)

Конфиг клиента - подключения со строраны роутера:

/interface ovpn-client
add add-default-route=yes certificate=mikrotik.crt_0 cipher=aes256-cbc \
comment=prx connect-to=2.2.2.2 disconnect-notify=no \
mac-address=02:34:AE:B9:88:CD name=ovpn protocol=udp use-peer-dns=no \
user=mikrotik
/ip firewall nat
add action=masquerade chain=srcnat ipsec-policy=out,none out-interface=ovpn

Пинги из консоли роутера:

[admin@MikroTik] > ping 10.8.0.1
SEQ HOST SIZE TTL TIME STATUS
0 10.8.0.1 timeout
1 10.8.0.1 timeout
sent=2 received=0 packet-loss=100%
[admin@MikroTik] > ping 10.8.0.1 interface=ovpn
SEQ HOST SIZE TTL TIME STATUS
0 10.8.0.1 timeout
1 10.8.0.1 timeout
[admin@MikroTik] > ping 1.1.1.1 interface=ovpn
SEQ HOST SIZE TTL TIME STATUS
0 1.1.1.1 timeout
1 1.1.1.1 timeout

[admin@MikroTik] > ping 1.1.1.1
SEQ HOST SIZE TTL TIME STATUS
0 1.1.1.1 56 53 17ms715us
1 1.1.1.1 timeout
2 1.1.1.1 timeout

Соединение - висит в статусе подключено, пинги на 10.8.0.1 - не идут, а пинги на самого себя 10.8.0.6 - идут...
Пинги со стороны сервера к 10.8.0.6 так-же не проходят.

И да, если подключаться по тому сертификату с компа - то все работает без проблемм.

Потратил больше 6 часов что-бы разобраться - а толку ноль

[Illinory]

Если сервер "за рубежом", то после 07.08 ТСПУ через DPI отлавливают OpenVPN/Wireguard/L2TP инициализации туннелей и автоматически их блокируют.

Т.е. если реконнекта не было, то он стабильно "висел" до того момента.

[joub]

Если сервер "за рубежом", то после 07.08 ТСПУ через DPI отлавливают OpenVPN/Wireguard/L2TP инициализации туннелей и автоматически их блокируют.

Т.е. если реконнекта не было, то он стабильно "висел" до того момента.

Я немножко в РБ нахожусь.
И там ниже писал, что подключение к тому-же серверу с теми же ключами, только с OpenVPN клиентам установленном на компе (Linux) - все работает на ура.

И до обновления прошивки на Микротике тоже все работало...

[joub]

Вопрос решен откатам на прошивку 7.8 - все заработало.
Вот после этого и следи на актуальными обновлениями... :(

[SaniaNET]

Обновил до 7.11 - так же UDP OVPN перестало работать, по TCP работает нормально. Кому-нибудь удалось настроить по UDP? Может какие-то новые дополнительные опции нужно покрутить?

[sysline]

7.12.beta3 пофиксили данную проблему