OpenVPN-динамический IP на стороне клиента, статический IP на стороне сервера

соединение OpenVPN, когда по крайней мере один между клиентом и сервером не имеет статического IP-адреса, представляет следующую проблему: если любой из них изменяет адрес в течение соединения, это будет удалено.

существует, однако, стандартный способ (см. эту официальную вики-страницу OpenVPN) для автоматического запроса клиента и / или сервера на принудительное повторное подключение при разрыве соединения. Он состоит из использования следующих строк в клиенте и файлы конфигурации сервера:

ping               15
ping-restart      300 # 5 minutes
resolv-retry        300 # 5 minutes
persist-tun
persist-key 

обратите внимание, однако, что эти строки сохраняют ссылку OpenVPN независимо от причины временного удаления (не говоря уже об изменении общедоступного IP-адреса), поэтому я обычно храню их как в файлах конфигурации клиента, так и в файлах конфигурации сервера, чтобы разрешить автоматическое переподключение.

по данным руководство:

--ping n

пинг дистанционного управления через TCP / UDP управления канал если пакеты были отправлены как минимум в N секунд (укажите --пинг на обеих сторонах, чтобы вызвать пинг пакеты, передаваемые в обоих направлениях, поскольку для OpenVPN пакеты Ping не разносились как пакеты IP для пинга). При использовании в одном из безопасных режимов OpenVPN (где указан --secret, --tls-server или --tls-client), ping-пакет будет криптографически защищен.

-- ping-перезапустить n

аналогично --ping-exit, но запускает перезапуск SIGUSR1 после n секунды проходят без приема пинга или другого пакета с пульта. Этот параметр полезен в тех случаях, когда удаленный компьютер имеет динамический IP-адрес и низким уровнем ТТЛ DNS-имя используется для отслеживания IP-адрес используя услуги, такие как http://dyndns.org/ + динамический DNS-клиент, такой как ddclient.

Если узел не может быть достигнут, перезапуск будет инициирован, заставляя имя хоста, используемое с -- remote, быть повторно разрешенным (если --resolv-retry также задан).

в режиме сервера, --ping-restart, --inactive, или любой другой тип внутренне генерируемого сигнала всегда будет применяться к отдельным объектам экземпляра клиента, никогда не ко всему серверу. Также обратите внимание, что в режиме сервера любой внутренний сигнал, который обычно вызывает перезапуск, приведет к удалению объекта экземпляра клиента.

в режиме клиента параметр --ping-restart по умолчанию равен 120 секундам. Это значение по умолчанию будет храниться до клиента извлекает значение замены с сервера на основе параметра -- keepalive в конфигурации сервера. Чтобы отключить 120-секундное значение по умолчанию, установите --ping-restart 0 на клиенте.

см. раздел "сигналы" ниже для получения дополнительной информации о SIGUSR1.

обратите внимание, что поведение SIGUSR1 может быть изменен на ... сохраняются-Тун, --упорно-ключ, --упорно-местные-ИП, и-упорно-удаленный-IP-параметры.

также обратите внимание, что --ping-exit и --ping-restart взаимоисключающими и не могут использоваться вместе.

--resolv-retry N Если не удается разрешить имя хоста для --remote, повторите попытку разрешения в течение n секунд перед сбоем. Установите n в "infinite" для повтора на неопределенный срок.

по умолчанию, --resolv-retry infinite включен. Вы можете отключить, установив n=0.

--persist-tun

Не закрывать и не открывать TUN/TAP устройство или запускать Up / down скрипты через SIGUSR1 или -- ping-перезапуск перезагружается. SIGUSR1 сигнал рестарта подобный SIGHUP, но который предлагает более точное управление над вариантами возврата.

--persist-key

не перечитывать ключевые файлы через SIGUSR1 или --ping-restart. Эта опция может быть объединена с --user nobody, чтобы разрешить перезапуски, инициированные сигналом SIGUSR1. Обычно, если вы удалите привилегии root в OpenVPN, демон не может быть перезапущен, так как теперь он не сможет перечитывать защищенный ключ архив.

эта опция решает проблему, сохраняя ключи через сброс SIGUSR1, поэтому их не нужно перечитывать.