Прошу помочь советом.
Стояло 6 лет win 8.1, но решил перейти на Win10 по ряду причин.
Все нормально, НО!
ОДНО из соединений OpenVPN перестало работать.
Итак.
Есть несколько настроенных соединений OpenVPN с расширением ovpn и последняя версия OpenVPN 64 битная.
Но из 3 соединений на разные сервера одно не работает. Причем не работает то, которое самое нужное.
Остальные 2 соединения на другие сервера - работают и на старой и на новой винде.
Ставил старый винт с win8.1, вычищал OpenVPN и все заново переставлял - все работает, как и работало.
А на новой,- что только не делал - и запуск под Администратором, и установку предыдущих версий и проч.
2 соединения работают, а это самое главное - нет.
Системные администраторы на работе из дома под собой проверили (у них win10) - работает нормально.
Прошу помочь советом - что делать и куда смотреть.

вот запись куска нормального журнала

Wed Jan 06 12:40:47 2021 OPTIONS IMPORT: timers and/or timeouts modified
Wed Jan 06 12:40:47 2021 OPTIONS IMPORT: --sndbuf/--rcvbuf options modified
Wed Jan 06 12:40:47 2021 Socket Buffers: R=[65536->524288] S=[65536->524288]
Wed Jan 06 12:40:47 2021 OPTIONS IMPORT: --ifconfig/up options modified
Wed Jan 06 12:40:47 2021 OPTIONS IMPORT: route options modified
Wed Jan 06 12:40:47 2021 OPTIONS IMPORT: --ip-win32 and/or --dhcp-option options modified
Wed Jan 06 12:40:47 2021 Outgoing Data Channel: Cipher 'BF-CBC' initialized with 128 bit key
Wed Jan 06 12:40:47 2021 WARNING: INSECURE cipher with block size less than 128 bit (64 bit).  This allows attacks like SWEET32.  Mitigate by using a --cipher with a larger block size (e.g. AES-256-CBC).
Wed Jan 06 12:40:47 2021 Outgoing Data Channel: Using 160 bit message hash 'SHA1' for HMAC authentication
Wed Jan 06 12:40:47 2021 Incoming Data Channel: Cipher 'BF-CBC' initialized with 128 bit key
Wed Jan 06 12:40:47 2021 WARNING: INSECURE cipher with block size less than 128 bit (64 bit).  This allows attacks like SWEET32.  Mitigate by using a --cipher with a larger block size (e.g. AES-256-CBC).
Wed Jan 06 12:40:47 2021 Incoming Data Channel: Using 160 bit message hash 'SHA1' for HMAC authentication
Wed Jan 06 12:40:47 2021 WARNING: cipher with small block size in use, reducing reneg-bytes to 64MB to mitigate SWEET32 attacks.
Wed Jan 06 12:40:47 2021 interactive service msg_channel=412

вот куска соединения с ошибкой

2021-01-08 19:19:07 OPTIONS IMPORT: timers and/or timeouts modified
2021-01-08 19:19:07 OPTIONS IMPORT: --sndbuf/--rcvbuf options modified
2021-01-08 19:19:07 Socket Buffers: R=[65536->524288] S=[65536->524288]
2021-01-08 19:19:07 OPTIONS IMPORT: --ifconfig/up options modified
2021-01-08 19:19:07 OPTIONS IMPORT: route options modified
2021-01-08 19:19:07 OPTIONS IMPORT: --ip-win32 and/or --dhcp-option options modified
2021-01-08 19:19:07 OPTIONS ERROR: failed to negotiate cipher with server.  Add the server's cipher ('BF-CBC') to --data-ciphers (currently 'AES-256-GCM:AES-128-GCM') if you want to connect to this server.
2021-01-08 19:19:07 ERROR: Failed to apply push options
2021-01-08 19:19:07 Failed to open tun/tap interface
2021-01-08 19:19:07 SIGUSR1[soft,process-push-msg-failed] received, process restarting
2021-01-08 19:19:07 MANAGEMENT: >STATE:1610122747,RECONNECTING,process-push-msg-failed,,,,,
2021-01-08 19:19:07 Restart pause, 5 second(s)

Ошибка после

OPTIONS IMPORT: --ip-win32 and/or --dhcp-option options modified

Комп один и тот же.

failed to negotiate cipher with server.  Add the server's cipher ('BF-CBC')

нашел причину - на англоязычном сайте.
Последний инсталятор и другой который пользовал - не работают на win10.

сказали нужна версия 2.4.9 для win10.

поставил ее и все заработало

тема закрыта

(0) OpenVPN - зло. Нужно использовать стандартную VPN.

(7) вот например стандартный впн у меня не работал. потому что серый айпи. при этом опен впн - работал

(8) >> потому что серый айпи

Сомнительно

(9) я хз сомнительно или нет. но заставить подключаться по штатному ВПН - не получилось. Порезfys пакеты у провайдера видимо. купил за 150р/месяц белый айпи - все стало мгновенно хорошо. и по штатному ВПН.

(7) ее блочат некоторые провайдеры. в забайкальском крае - ТТК, а там он очень популярен.
(5) да, в ней куча глюков, пришлось искать старую.

(10) к сожалению, не могу заставить бабушек покупать домой всякие белые айпи ((

(7) Стандартная vpn с имитацией диалапа - убога до невозможности.

(11) А я давно замечаю, что как только какое-то ПО вылижут до идеального состояния - сразу делается рефакторинг с нуля на каком-то новомодном тулките или среде разработке, и всё работать перестает нормально. Неоднократно такое замечал. Эффект шила в попе у разработчиков что ли такой..

(11) WireGuard работает по своему протоколу, на произвольном порту, русифицирован и конфиг можно юзеру по почте отправить. Я еще не донастроил, но вроде перспективно)

(15) у меня микротик, он умеет поднимать pptp и openvpn. pptp заблочили, я перешел на openvpn. а WireGuard линевый, я в нем не спец. да и переводить килотонны мануалов на русский, а потом еще на понятный русский неохота. а по опенвпну есть мануалы для ламеров, я по ним все настроил. да, было сначала страшно, но буквально все настраивается за полчаса, не знаю, почему раньше не попробовал все это дело. единственная проблема, что опенвпн, поднятый на роутере ASUS работает не так, как на микротике - он пропускает в интернет после коннекта к впн, а микротиковский впн блочит все, пока не отключишься. это даже лучше для клиентов, чтобы работали и не отвлекались, причину найти не могу, но для работы достаточно.

(16) для меня наоборот микротик это макось с диалектом на ингрише. опенвпн не хочу т.к. древний интерфейс, а проблема как раз в домохозяйках удаленщицах с зверцд вин 7, пптп то работает. ВайрГвард тоже с глюками, но мб факультативно доковыряю

(16) "а микротиковский впн блочит все, пока не отключишься."
маршрутизацию надо поправить может быть. такое и на стандартном ВПН бывает - подключаешься - ВПН работает, а в инет - фиг. мне сисадмин маршрутизацию подстраивал в таком случае и все ок становилось.

(16) это не VPN блочит, это на клиентской машине надо разрулить маршруты, чтобы в подключение VPN ходил только тот трафик, который относится к локальной сети предприятия, куда ты подключаешься, а все остальное - в инет. В более-менее свежих виндах можно сделать просто, например, командлетом из повершелла:

Add-VpnConnectionRoute -ConnectionName "Ваш-VPN-интерфейс" -DestinationPrefix УдаленнаяПодсетьКудаКидатьПакеты

причем, если я правильно помню, будучи раз введенной, эта команда навсегда запомнится для данного подключения.

На более старых виндах можно делать командой route add, но это придется делать каждый раз при установке соединения.

если работаете иногда на андроидном телефоне/планшете через VPN, то там все еще проще. В стандартном VPN-клиенте есть поле ввода "Маршруты пересылки". Вот туда и прописываете подсеть локалки предприятия, с которой работаете. И вуаля - после того как загорится значок VPN в прямоугольнике, доступ в инет у дрюши не пропадет.

(19) там есть route -p . Но возможно микротик не учитывает дефаулт гейтвей, они же гордые, им подавай пряморуких

(19) Чтобы задать маршрут к удаленной сети через впн, не меняя шлюза по умолчанию, нужно указывать идентификатор сетевого интерфейса, а он при каждом подключении разный. Так что route -p не катит..

(5) Вопрос чисто из любопытства. Зачем тебе OpenVPN, если тебе пофиг на "INSECURE cipher"?

Начиная с windows 8,есть возможность указывать маршруты в привязке в сетевому соединению,тогда они будут включаться только при его установке.
Но,печальна ситуация,когда какая-то подсесть организации совпадает с подсетью провайдера.

(24) "Но,печальна ситуация,когда какая-то подсесть организации совпадает с подсетью провайдера."
Скорее не с подсетью провайдера, а с подсетью клиента. У них от роутера часто 192.168.x и в организации та же. Провайдеры же обычно используют более экзотические серые подсети, 100 или 172.

(25) ну тут уже сисадмин организации злобная буратина... По крайней мере можно сделать какую-нибудь 192.168.112.*, а не 192.168.0.* или 1.*

Провайдеры пытаются раздать подсети так,чтобы они в разных регионах не повторялись - от этого "экзотические" номера и получаются.

У клиентов,как раз,все более просто,стандартные для роутеров подсети 0, 1 или 2.
Более экзотические варианты встречаются,если кто-то прописывает вручную.

(17) так вот у меня как раз PPTP-то и не работает, я был бы рад его использовать. А удаленщицам кидаю только дистриб по почте, в котором все зашито, им надо только установить, ничего настраивать не надо, все прописано в конфиге. насчет того, что это макось на инглише - к ней хотя бы мануалы есть русские. для остального софта надо штудировать все на английском. сейчас посмотрел этот WireGuard - русского не нашел.
(18) в инете есть сотня советов и все они сводятся к одному - поменять маршрут, только вот для этого должно одно условие соблюдаться - подсети должны быть разные. а у меня они одинаковые. то есть и в офисе подсетка 192.168.1.1, и у большинства юзеров дома тоже 192.168.1.1. в офисе не вариант менять подсеть - там все айпи в оборудовании зашиты, на это год надо, чтобы все заменить, так как штатного сисадмина там нет. у домохозяек дома менять тоже не вариант, они, как правило, не знают пароля от роутера, да и ехать к ним не вариант, их много и они далеко. я надеялся настроить так, чтобы только 1-2 адреса открыть из офиса, грубо говоря, объединить сетки, но роутеры мне показывают хер. даже если я пытаюсь указать шлюз офиса, интернета все равно нет. самое интересное, что на роутере ASUS впн спокойно все объединял сам и я даже не думал, что эта проблема вообще возникнет. тут вроде есть толковые сисдамины, но они говорят - единственный способ - менять подсетку в офисе на другие адреса. не буду. мне за это не платят.

(19) у меня openvpn. куда эту вашу команду вводить? и да, у опенвпн есть аналогичная команда в конфиге, поверьте, я ее вводил и сотни ее вариаций, не получается. могу даже вам конфигу подключения скинуть, чтобы вы поэкспериментировали. факт остается, пптп я не могу юзать, хотя он мне сначала нравился

(21) где-то в роутере надо прописывать, чтобы он впновских юзеров пускал в инет. но мне туда сказали не лазить, разрешили только сервер опенвпн дали поднять. поэтому я ничего не могу проверить.

(13) Не используй имитацию диалапа.

(30) это в настройках отправляемых клиенту должно быть, что то про пуш роут афаир

(30) команду вводить на той машине, которая подключается к удаленной сети.

(32) Штатные впн в винде по другому не умеют

(27) Скорее, чтобы не пересечься со стандартной подсетью бытовых роутеров. А там в 99% случаев 192.168.x, так что выбор 100 или 172 серой сети наиболее логичен, некоторые провайдеры дают 10 - но это уже есть риск наткнуться на такую подсеть у клиента..

(29) если подсети совпадают, тогда пипец. В этом случае маршрутизация не будет нормально работать.

(37) если пиринга нет между клиентами, иногда тошнит но работает)

Вариант такой
Делаем для vpn свою подсеть и для нее же пишем правила трансляции для всех машин,которые в офисе должны быть доступны,то есть каждой выделяем ещё и адрес из созданной для vpn сети.
Сетей для vpn сделать как минимум две,чтобы в случае совпадения клиенту можно было дать другую.
Тогда никаких маршрутов не надо,но нужно правила трансляции писать правильно,чтобы пакеты уходили назад с обратной подменой ip-адреса.

Опять же,на клиенте таблица роутинга имеет приоритеты,и если адреса не пересекаются,то даже для одной сети можно маршруты разделить.
Просто,из двух машин с одним и тем же ip-адресом клиент будет всегда видеть только одну.

Если у клиента подсеть 192.168.1.х
Но в ней нет машины 192.168.1.80,которая в офисе сервер,то пишем маршрут по маске только до него,то есть маску 255.255.255.255 и метрику 1,тогда пакеты на сервер пойдут в vpn,а вся остальная сеть 192.168.1.x по стандартному маршруту с метрикой в районе 200 будет прекрасно доступна.

Конечно,выдать по vpn адрес из той же сети 192.168.1.x напрямую не получится - таблица маршрутов испортится,и ничего не будет работать.

(37) самое смешное, что адреса не совпадают (ну, кроме шлюзов, конечно). но если честно, мне вообще все это непонятно. при соединении вообще создаются адреса 10.0.0.х, для чего они тогда нужны? почему бы не выдавать адреса по DHCP? куча адресов свободна, но как их настроить, хз. в мануалах все все по одной схеме делают, шаг влево, шаг вправо - ничего не работает. я вообще хотел бы, чтобы можно было половину одной сетки объединить с половиной другой. или по маске какой-нибудь. там, до 200-х адресов пусть будут домашние адреса, после - офисные. но так низзя (

(40) вот, это у меня и не получается. надо всего пару адресов прокинуть, я писал маршруты до них.

(35) Все она умеет. Обнови винду до десятки.

(41) похоже ты делал по мануалу лан2лан, это без маршрутов не работает конечно