OpenVPN 클라이언트는 120초마다 상태를 전환합니다.

tag-icon tag-icon freebsd openvpn pfsense
OpenVPN 클라이언트는 120초마다 상태를 전환합니다.

저는 pfSense의 OpenVPN 클라이언트를 사용하여 두 개의 OpenVPN 서버에 연결하고 있습니다.

연결은 작동하지만 사용 가능 상태에서 사용 불가능 상태로 바뀌었다가 120초마다 다시 돌아옵니다. 즉, 핑은 120초 동안 작동했다가 작동을 멈추고 120초 동안 작동하지 않았다가 다시 작동하는 식으로 진행됩니다.

각 사이클은 120초 동안 지속되며 매우 정확합니다.

로그는 다음과 같습니다.

[server] Inactivity timeout (--ping-restart), restarting
SIGUSR1[soft,ping-restart] received, process restarting
Restart pause, 2 second(s)
WARNING: No server certificate verification method has been enabled. See http://openvpn.net/howto.html#mitm for more info.
NOTE: the current --script-security setting may allow this configuration to call user-defined scripts
Socket Buffers: R=[42080->42080] S=[57344->57344]
UDPv4 link local (bound): [AF_INET]MY.SE.RV.ER
UDPv4 link remote: [AF_INET]MY.SE.RV.ER:1194
TLS: Initial packet from [AF_INET]MY.SE.RV.ER:1194, sid=e1f19b04 500620f5
VERIFY OK: ...
VERIFY OK: ...
Data Channel Encrypt: Cipher 'BF-CBC' initialized with 128 bit key
WARNING: INSECURE cipher with block size less than 128 bit (64 bit). This allows attacks like SWEET32. Mitigate by using a --cipher with a larger block size (e.g. AES-256-CBC).
Data Channel Encrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Data Channel Decrypt: Cipher 'BF-CBC' initialized with 128 bit key
WARNING: INSECURE cipher with block size less than 128 bit (64 bit). This allows attacks like SWEET32. Mitigate by using a --cipher with a larger block size (e.g. AES-256-CBC).
Data Channel Decrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Control Channel: TLSv1, cipher TLSv1/SSLv3 DHE-RSA-AES256-SHA, 2048 bit RSA
[server] Peer Connection Initiated with [AF_INET]MY.SE.RV.ER:1194
SENT CONTROL [server]: 'PUSH_REQUEST' (status=1)
PUSH: Received control message: 'PUSH_REPLY,route 10.10.0.0 255.255.255.0,route-gateway 10.11.0.1,ping 10,ping-restart 120,ifconfig 10.11.0.34 255.255.255.0'
OPTIONS IMPORT: timers and/or timeouts modified
OPTIONS IMPORT: --ifconfig/up options modified
OPTIONS IMPORT: route options modified
OPTIONS IMPORT: route-related options modified
Preserving previous TUN/TAP instance: ovpnc5
Initialization Sequence Completed

120초가 존재하는데, 그것이 어떤 영향을 미치나요?

답변1

가능한 원인은 나가는 트래픽이 여러 WAN 연결을 통과하기 때문입니다. HTTP와 같은 일반 연결의 경우 괜찮지만 UDPopenvp를 사용하면 서버가 핑백을 할 수 없고 서버가 다시 시작될 수 있습니다.

아직 충분히 입증되지 않았습니다.

관련 정보