+7 495 320-55-52
- Назад
- Телефоны
- +7 495 320-55-52
- Заказать звонок
info@mikrotik.moscow
г. Москва, ул. Бакунинская, 84
Пн-Пт: 09-00 до 18-00
Сб-Вс: выходной

OVPN по UDP с сервером linux OVPN

OVPN по UDP с сервером linux OVPN, RouterOS

maxpage

Guest

02.07.2023 12:49:00

У меня вопрос. Совместима ли реализация MT OVPN UDP с реализацией openvpn.net? У меня такая конфигурация на OpenVPN-сервере (OpenVPN 2.6.3 x86_64-pc-linux-gnu Debian 12):

server 172.16.0.0 255.255.255.0
topology subnet
dev tun
proto tcp
port 1194
keepalive 10 120

ca ca.crt
cert server.crt
key server.key
dh dh.pem

auth SHA256
data-ciphers AES-256-GCM:AES-256-CBC:AES-128-GCM:AES-128-CBC
data-ciphers-fallback AES-256-CBC
engine aesni

В TCP-режиме всё работает отлично (с аппаратным ускорением)

Но когда я просто меняю протокол на udp (заменив одну строку): proto udp, подключение MT OVPN-клиента перестаёт работать:

Ниже некоторые логи сервера:

2023-07-02 14:37:13 OpenVPN 2.6.3 x86_64-pc-linux-gnu [SSL (OpenSSL)] [LZO] [LZ4] [EPOLL] [PKCS11] [MH/PKTINFO] [AEAD] [DCO]
2023-07-02 14:37:13 library versions: OpenSSL 3.0.9 30 May 2023, LZO 2.10
2023-07-02 14:37:13 DCO version: N/A
2023-07-02 14:37:13 TUN/TAP device tun0 opened
2023-07-02 14:37:13 net_iface_mtu_set: mtu 1500 for tun0
2023-07-02 14:37:13 net_iface_up: set tun0 up
2023-07-02 14:37:13 net_addr_v4_add: 172.16.0.1/24 dev tun0
2023-07-02 14:37:13 Could not determine IPv4/IPv6 protocol. Using AF_INET
2023-07-02 14:37:13 UDPv4 link local (bound): [AF_INET][undef]:1194
2023-07-02 14:37:13 UDPv4 link remote: [AF_UNSPEC]
2023-07-02 14:37:13 Initialization Sequence Completed
2023-07-02 14:37:19 0.0.0.0:50847 Note: OpenSSL hardware crypto engine functionality is not available
2023-07-02 14:37:19 0.0.0.0:50847 TLS Error: Unroutable control packet received from [AF_INET]0.0.0.0:50847 (si=3 op=P_CONTROL_V1)
2023-07-02 14:37:19 0.0.0.0:50847 TLS Error: Unroutable control packet received from [AF_INET]0.0.0.0:50847 (si=3 op=P_ACK_V1)
2023-07-02 14:37:20 0.0.0.0:50847 TLS Error: Unroutable control packet received from [AF_INET]0.0.0.0:50847 (si=3 op=P_CONTROL_V1)
2023-07-02 14:37:21 0.0.0.0:50847 TLS Error: Unroutable control packet received от [AF_INET]0.0.0.0:50847 (si=3 op=P_CONTROL_V1)
2023-07-02 14:37:22 0.0.0.0:50847 TLS Error: Unroutable control packet received от [AF_INET]0.0.0.0:50847 (si=3 op=P_CONTROL_V1)
2023-07-02 14:37:23 0.0.0.0:50847 TLS Error: Unroutable control packet received от [AF_INET]0.0.0.0:50847 (si=3 op=P_CONTROL_V1)
2023-07-02 14:37:24 0.0.0.0:50847 TLS Error: Unroutable control packet received от [AF_INET]0.0.0.0:50847 (si=3 op=P_CONTROL_V1)
2023-07-02 14:37:25 0.0.0.0:50847 TLS Error: Unroutable control packet received от [AF_INET]0.0.0.0:50847 (si=3 op=P_CONTROL_V1)
2023-07-02 14:37:26 0.0.0.0:50847 TLS Error: Unroutable control packet received от [AF_INET]0.0.0.0:50847 (si=3 op=P_CONTROL_V1)
2023-07-02 14:37:27 0.0.0.0:50847 TLS Error: Unroutable control packet received от [AF_INET]0.0.0.0:50847 (si=3 op=P_CONTROL_V1)
2023-07-02 14:37:28 0.0.0.0:50847 TLS Error: Unroutable control packet received от [AF_INET]0.0.0.0:50847 (si=3 op=P_CONTROL_V1)
2023-07-02 14:37:29 0.0.0.0:50847 TLS Error: Unroutable control packet received от [AF_INET]0.0.0.0:50847 (si=3 op=P_CONTROL_V1)
2023-07-02 14:37:30 0.0.0.0:50847 TLS Error: Unрoutable control packet received от [AF_INET]0.0.0.0:50847 (si=3 op=P_CONTROL_V1)
2023-07-02 14:37:31 0.0.0.0:50847 TLS Error: Unрoutable control packet received от [AF_INET]0.0.0.0:50847 (si=3 op=P_CONTROL_V1)
2023-07-02 14:37:32 0.0.0.0:50847 TLS Error: Unрoutable control packet received от [AF_INET]0.0.0.0:50847 (si=3 op=P_CONTROL_V1)
2023-07-02 14:37:33 0.0.0.0:50847 TLS Error: Unрoutable control packet received от [AF_INET]0.0.0.0:50847 (si=3 op=P_CONTROL_V1)
2023-07-02 14:37:34 0.0.0.0:50847 TLS Error: Unрoutable control packet received от [AF_INET]0.0.0.0:50847 (si=3 op=P_CONTROL_V1)
2023-07-02 14:37:35 0.0.0.0:50847 TLS Error: Unрoutable control packet received от [AF_INET]0.0.0.0:50847 (si=3 op=P_CONTROL_V1)
2023-07-02 14:37:36 0.0.0.0:50847 TLS Error: Unрoutable control packet received от [AF_INET]0.0.0.0:50847 (si=3 op=P_CONTROL_V1)
2023-07-02 14:37:37 0.0.0.0:50847 TLS Error: Unрoutable control packet received от [AF_INET]0.0.0.0:50847 (si=3 op=P_CONTROL_V1)
2023-07-02 14:37:38 0.0.0.0:50847 TLS Error: Unрoutable control packet received от [AF_INET]0.0.0.0:50847 (si=3 op=P_CONTROL_V1)
2023-07-02 14:37:39 0.0.0.0:50847 TLS Error: Unрoutable control packet received от [AF_INET]0.0.0.0:50847 (si=3 op=P_CONTROL_V1)
2023-07-02 14:37:40 0.0.0.0:50847 TLS Error: Unрoutable control packet received от [AF_INET]0.0.0.0:50847 (si=3 op=P_CONTROL_V1)
2023-07-02 14:37:41 0.0.0.0:50847 TLS Error: Unрoutable control packet received от [AF_INET]0.0.0.0:50847 (si=3 op=P_CONTROL_V1)
2023-07-02 14:37:42 0.0.0.0:50847 TLS Error: Unрoutable control packet received от [AF_INET]0.0.0.0:50847 (si=3 op=P_CONTROL_V1)
2023-07-02 14:37:43 0.0.0.0:50847 TLS Error: Unрoutable control packet received от [AF_INET]0.0.0.0:50847 (si=3 op=P_CONTROL_V1)
2023-07-02 14:37:44 0.0.0.0:50847 TLS Error: Unрoutable control packet received от [AF_INET]0.0.0.0:50847 (si=3 op=P_CONTROL_V1)
2023-07-02 14:37:45 0.0.0.0:50847 TLS Error: Unрoutable control packet received от [AF_INET]0.0.0.0:50847 (si=3 op=P_CONTROL_V1)
2023-07-02 14:37:46 0.0.0.0:50847 TLS Error: Unрoutable control packet received от [AF_INET]0.0.0.0:50847 (si=3 op=P_CONTROL_V1)
2023-07-02 14:37:47 0.0.0.0:50847 TLS Error: Unрoutable control packet received от [AF_INET]0.0.0.0:50847 (si=3 op=P_CONTROL_V1)
2023-07-02 14:37:48 0.0.0.0:50847 TLS Error: Unрoutable control packet received от [AF_INET]0.0.0.0:50847 (si=3 op=P_CONTROL_V1)
^C
2023-07-02 14:37:51 event_wait : Interrupted system call (fd=-1,code=4)
2023-07-02 14:37:51 net_addr_v4_del: 172.16.0.1 dev tun0
2023-07-02 14:37:51 SIGINT[hard,] received, process exiting

challado Guest	#2 0 05.10.2023 15:25:00 Та же проблема и у меня. При использовании linux openvpn клиента всё отлично работает даже по UDP. Только с mikrotik возникают такие проблемы. Ты случайно не нашёл решение?

JMLabs

Guest

21.12.2023 17:10:00

У меня такая же проблема. Уже неделю не могу выиграть. Пожалуйста, помогите, если есть решение. Я проверил дату, поменял настройки шифрования, даже сменил версию OpenVPN. Ошибка всё равно остается: TLS Error: Unroutable control packet received from [AF_INET] (si=3 op=P_CONTROL_V1) RouterOS 7.12.1 OpenVPN server 2.6.1-1ubuntu1.1

neo89skynet Guest	#4 0 04.04.2024 11:13:00 Нашёл решение этой проблемы? У меня точно такая же ситуация. Кто может помочь?

VictorS Guest	#5 0 14.04.2024 13:46:00 У меня тоже такая проблема: OpenVPN 2.6.3/Debian 12, RouterOS 7.13.4. Может, у кого-то есть идеи?

gheorghe

Guest

04.06.2024 02:49:00

Ошибка TLS: получен некорректный управляющий пакет от [AF_INET] (si=3 op=P_CONTROL_V1)

Я столкнулся с этой ошибкой, провёл расследование и вот к каким выводам пришёл.

Объяснение: ошибка, хоть и выглядит как ошибка TLS, на самом деле не связана напрямую с TLS и не является проблемой маршрутизации, как можно было бы подумать. Насколько я понял, ошибка вызвана особенностями работы udp-соединения OpenVPN.

Объясню подробнее: UDP — это протокол без установления соединения (когда приходит пакет UDP, в отличие от TCP, не отправляется подтверждение). OpenVPN-сервер не может определить, завершил ли клиент соединение или клиент всё ещё подключён, просто не отправляя данные. Аналогичная ситуация происходит и на стороне клиента, если отключить интерфейс, например, нажатием Disable в интерфейсе Mikrotik. Процесс при этом продолжает работу в фоне, предполагая, что соединение всё ещё действительно (только интерфейс стал недоступен), и не удаляет старые данные о соединении.

Поэтому, когда вы пытаетесь сразу же переподключиться, в памяти ещё хранятся старые данные о соединении (параметры, по которым была установлена связь), а другая сторона не понимает, что делать с получаемыми пакетами, и возникает ошибка: «TLS Error: Unroutable control packet received».

В моём случае решение — подождать минимум 30 секунд, а затем попытаться подключиться снова. За это время процесс сам очищает старые данные (по таймауту), и новое соединение устанавливается нормально.

Если же пытаться сразу переподключаться (вручную или автоматически через выключение/включение интерфейса), ошибка будет возникать бесконечно, так как при каждой попытке на другой стороне обновляется период "keep alive", и старые данные не удаляются.

Если на роутере включена автоматическая попытка подключения (галочка Enable), он будет постоянно пробовать переподключиться и каждый раз получать эту ошибку.

Иными словами, одна сторона считает соединение действительным, а другая — что оно закончилось, и пытается создать новое под тем же именем пользователя. Это и даёт эту ошибку.

Решение (обходной путь): нужно отключить автоматическое подключение, остановить соединение, подождать минимум 30 секунд, а потом заново подключиться.

Другой вариант — перезапустить процесс OpenVPN и затем подключиться (просто выключить и включить интерфейс OpenVPN в Mikrotik — НЕДОСТАТОЧНО, нужно именно подождать 30 секунд).

P.S. В моём случае роутер не работает с tls-аутентификацией для udp OpenVPN. Я использую сертификат + пароль для безопасности, и так всё нормально работает. Но даже если tls-auth не используется, описанная выше ошибка всё равно появляется — поэтому я считаю, что это ошибка таймаута, а не ошибка аутентификации TLS.

oliee0 Guest	#7 0 05.06.2024 09:42:00 То же самое происходит у меня с клиентом OpenVPN на Windows 11 и сервером OVPN Mikrotik… Жду 30 секунд, подключаюсь заново — работает, но это не решение.

dalersz Guest	#8 0 10.01.2025 20:00:00 ИСПРАВЛЕНО У меня была такая же проблема. Решилось понижением версии OpenVPN сервера с 2.6 до 2.5.11.

ptk2003 User Сообщений: 1 Регистрация: 14.10.2025	#9 0 14.10.2025 11:43:16 Да, к openvpn серверу начиная с 2.6 mikrotik клиент подключается не стабильно, чаще не подключается, чем подключается. То что написано выше про пред. сессии и подождать 30 сек - полная ерунда, если сделать выборку из 100 попыток подключения с перезапуском сервера и ожиданием клиента то шанс подключения будет таким же) вместа даунгрейда сервера попробуйте compat-mode 2.5.11 Изменено: ptk2003 - 14.10.2025 11:54:19

Читают тему

Главная Каталог 0 Корзина 0 Избранные Кабинет 0 Сравнение Акции Контакты Услуги Бренды Отзывы Компания Лицензии Документы Реквизиты Поиск Блог Обзоры