【求教】OpenVPN+radius+linux 怪異的伺服器掉線問題
伺服器端採用redhat as4和CentOS 4.4的都有
openvpn 2.0.9 採用radius認證
現在有不規律的掉線問題 困擾了很久不得解 希望有熱心朋友幫忙分析解決 積分少 多少是點意思 作為感謝
本人對linux不是很了解,openvpn伺服器和radius認證伺服器都是找人做的,給我做系統的人也分析不出具體問題所在
每次掉線的時候,檢查openvpn監聽的443已經消失了,需要重啟openvpn服務,有時需要重啟伺服器才可以。
伺服器平時大概在線100多人,有時候就算有幾十人也會掉線。嘣的一下,人都掉了,也沒有任何先兆。
起先懷疑是有人利用openvpn或者radiusplugin.so的漏洞攻擊,後來慢慢排除攻擊的可能。
掉線沒有什麼規則可言,6台VPN伺服器,一台Radius,系統有redhat,也有centos。都掉。高峰期掉,非高峰期也掉。
而且很少只掉一台,掉線的話一般都是接二連三的掉幾台,最近的一次比較嚴重的是在同一時刻,機會同一秒鐘,三台VPN掉線
分屬三個IDC,不通的網段,可以排除是機房原因吧。同一時刻掉線。找了許久也沒找到原因,我貼出來一些配置參數。還望有朋友可以幫忙分析,謝謝!
在工作的其中一台VPN Server server.conf
#OpenVPN Server conf
daemon vpn91
writepid /var/run/openvpn.pid
#DAN prepare ZERINA for listening on blue and orange
dev tun0
#tun-mtu 1460
proto tcp
port 443
tls-server
ca /etc/openvpn/ca/cacert.pem
cert /etc/openvpn/certs/servercert.pem
key /etc/openvpn/certs/serverkey.pem
dh /etc/openvpn/ca/dh1024.pem
#tls-auth /etc/openvpn/certs/ta.key 0
server 172.18.0.0 255.255.0.0
push "redirect-gateway def1"
push "dhcp-option DNS 202.102.192.68"
push "dhcp-option DNS 202.86.252.254"
client-config-dir /etc/openvpn/ccd
management 127.0.0.1 7505
plugin /etc/openvpn/radiusplugin.so /etc/openvpn/radiusplugin.conf
client-cert-not-required
username-as-common-name
client-to-client
duplicate-cn
keepalive 15 120
status-version 1
status /etc/openvpn/server.log 30
cipher BF-CBC
comp-lzo
max-clients 200
tls-verify /etc/openvpn/verify
user nobody
group nobody
#user root
#group root
persist-key
persist-tun
log-append /var/log/openvpn.log
mute 5
# The NAS identifier which is sent to the RADIUS server
#NAS-Identifier=OpenVpn
NAS-Identifier=vpn91
# The service type which is sent to the RADIUS server
#Service-Type=2
Service-Type=5
# The framed protocol which is sent to the RADIUS server
Framed-Protocol=1
# The NAS port type which is sent to the RADIUS server
NAS-Port-Type=5
NAS-IP-Address=61.191.*.*
OpenVPNConfig=/etc/openvpn/server.conf
server
{
acctport=1813
authport=1812
name=61.191.*.*
retry=1
wait=1
sharedsecret=***
}
每次系統啟動的時候,或者重啟openvpn服務的時候,看的狀態都是failed,奇怪。但是openvpn確實在工作。
[ 本帖最後由 farmer6 於 2009-4-19 13:46 編輯 ]
《解決方案》
原帖由 farmer6 於 2009-5-2 15:11 發表 http://bbs2.chinaunix.net/images/common/back.gif
這個問題難道就無人知曉了。。?
我這幾天架的伺服器也有這個問題
目前查出來應該是被人攻擊
攻擊的人利用radius和openvpn認證的插件有點漏洞
你試試在登陸的時候在用戶名后加一個空格
看看是不是openvpn服務就掛了
現象:
openvpn監聽的埠消失,兩個root進程還在,nobody進程沒了
當時通過在radius上對用戶名做策略防住了攻擊
今天又出現了一次,現象一樣
我的vpn論壇:
bbs.sogo360.com
《解決方案》
ifconfig的信息
eth0 Link encap:Ethernet HWaddr 00:E0:4C:8C:08:C9
inet addr:61.191.55.91 Bcast:61.191.55.255 Mask:255.255.255.0
inet6 addr: fe80::2e0:4cff:fe8c:8c9/64 Scope:Link
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:35159344 errors:0 dropped:0 overruns:0 frame:0
TX packets:37666319 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:4103985790 (3.8 GiB) TX bytes:4252073138 (3.9 GiB)
Interrupt:201 Base address:0xa000
lo Link encap:Local Loopback
inet addr:127.0.0.1 Mask:255.0.0.0
inet6 addr: ::1/128 Scope:Host
UP LOOPBACK RUNNING MTU:16436 Metric:1
RX packets:1549 errors:0 dropped:0 overruns:0 frame:0
TX packets:1549 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:186158 (181.7 KiB) TX bytes:186158 (181.7 KiB)
tun0 Link encap:UNSPEC HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00
inet addr:172.18.0.1 P-t-P:172.18.0.2 Mask:255.255.255.255
UP POINTOPOINT RUNNING NOARP MULTICAST MTU:1500 Metric:1
RX packets:530908 errors:0 dropped:0 overruns:0 frame:0
TX packets:410394 errors:0 dropped:226 overruns:0 carrier:0
collisions:0 txqueuelen:100
RX bytes:167647877 (159.8 MiB) TX bytes:106800761 (101.8 MiB)
《解決方案》
Radius Server上的配置文件
Radius是安裝在win2003里的VMware 5.5里,橋接,VM的網卡是192.168.2.115. Radius里的是192.168.2.165
server.conf
#OpenVPN Server conf
daemon radiusserver
writepid /var/run/openvpn.pid
#DAN prepare ZERINA for listening on blue and orange
dev tun0
#tun-mtu 1460
proto tcp
port 443
tls-server
ca /etc/openvpn/ca/cacert.pem
cert /etc/openvpn/certs/servercert.pem
key /etc/openvpn/certs/serverkey.pem
dh /etc/openvpn/ca/dh1024.pem
#tls-auth /etc/openvpn/certs/ta.key 0
server 172.18.0.0 255.255.0.0
push "redirect-gateway def1"
push "dhcp-option DNS 202.102.192.68"
push "dhcp-option DNS 202.86.252.254"
client-config-dir /etc/openvpn/ccd
management 127.0.0.1 7505
plugin /etc/openvpn/radiusplugin.so /etc/openvpn/radiusplugin.conf
client-cert-not-required
username-as-common-name
client-to-client
duplicate-cn
keepalive 15 120
status-version 1
status /etc/openvpn/server.log 30
cipher BF-CBC
comp-lzo
max-clients 400
tls-verify /etc/openvpn/verify
user nobody
group nobody
#user root
#group root
persist-key
persist-tun
log-append /var/log/openvpn.log
mute 5
ifconfig
eth0 Link encap:Ethernet HWaddr 00:0C:29:77:35:E3
inet addr:192.168.2.165 Bcast:192.168.2.255 Mask:255.255.255.0
inet6 addr: fe80::20c:29ff:fe77:35e3/64 Scope:Link
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:59392890 errors:0 dropped:0 overruns:0 frame:0
TX packets:65436963 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:1335967023 (1.2 GiB) TX bytes:1356338281 (1.2 GiB)
Interrupt:10 Base address:0x1400
eth1 Link encap:Ethernet HWaddr 00:0C:29:77:35:ED
inet addr:172.16.1.1 Bcast:172.16.1.255 Mask:255.255.255.0
inet6 addr: fe80::20c:29ff:fe77:35ed/64 Scope:Link
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:0 errors:0 dropped:0 overruns:0 frame:0
TX packets:3055 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:0 (0.0 b) TX bytes:128478 (125.4 KiB)
Interrupt:9 Base address:0x1480
lo Link encap:Local Loopback
inet addr:127.0.0.1 Mask:255.0.0.0
inet6 addr: ::1/128 Scope:Host
UP LOOPBACK RUNNING MTU:16436 Metric:1
RX packets:123332 errors:0 dropped:0 overruns:0 frame:0
TX packets:123332 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:81682927 (77.8 MiB) TX bytes:81682927 (77.8 MiB)
tun0 Link encap:UNSPEC HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00 -00
inet addr:172.18.0.1 P-t-P:172.18.0.2 Mask:255.255.255.255
UP POINTOPOINT RUNNING NOARP MULTICAST MTU:1500 Metric:1
RX packets:31673728 errors:0 dropped:0 overruns:0 frame:0
TX packets:28024850 errors:0 dropped:64365 overruns:0 carrier:0
collisions:0 txqueuelen:100
RX bytes:1191671579 (1.1 GiB) TX bytes:893832471 (852.4 MiB)
[ 本帖最後由 farmer6 於 2009-4-19 13:54 編輯 ]
《解決方案》
回復 #1 farmer6 的帖子
既然是找人做的,還是去找做的人分析一下
從目前的現象上看應該問題也不是很大的
《解決方案》
原帖由 kns1024wh 於 2009-4-19 14:11 發表 http://bbs2.chinaunix.net/images/common/back.gif
既然是找人做的,還是去找做的人分析一下
從目前的現象上看應該問題也不是很大的
給我做系統的人也分析不出具體問題所在
《解決方案》
今天下午又有兩台伺服器掉線。。 怪了這事&……
沒有朋友遇到過類似問題嗎?
或者從提供的信息里得到線索嗎?
《解決方案》
回復 #1 farmer6 的帖子
是否與負載有關係
[ 本帖最後由 kns1024wh 於 2009-4-19 19:04 編輯 ]
《解決方案》
原帖由 farmer6 於 2009-4-19 13:41 發表 http://bbs2.chinaunix.net/images/common/back.gif
伺服器端採用redhat as4和CentOS 4.4的都有
openvpn 2.0.9 採用radius認證
現在有不規律的掉線問題 困擾了很久不得解 希望有熱心朋友幫忙分析解決 積分少 多少是點意思 作為感謝
本人對linux不是很了解, ...
已經大致猜到掉線的原因了,比較初級的問題,也不難解決,所以,如果不急的話,過幾天再告訴你,這期間你自己找找資料嘗試解決,可以多學到不少知識,如果急用的話,可以簡訊立即給你。
《解決方案》
原帖由 bbjmmj 於 2009-4-19 20:17 發表 http://bbs2.chinaunix.net/images/common/back.gif
已經大致猜到掉線的原因了,比較初級的問題,也不難解決,所以,如果不急的話,過幾天再告訴你,這期間你自己找找資料嘗試解決,可以多學到不少知識,如果急用的話,可以簡訊立即給你。
說出您的看法吧。讓其他人也可以學學:mrgreen:
