Обычно возникают вопросы от пользователей OpenVpn, когда они встречают в логах сообщения о TLS soft reset: чем это грозит, не прерывается ли нормальная работа и вообще — что это такое.
По умолчанию раз в час в логах OpenVpn появляются сообщения типа этого:
Sun Dec 15 23:17:43 2019 some_body/xxx.xxx.xxx.xxx:3863 TLS: soft reset sec=-1 bytes=80421/-1 pkts=1123/0 Sun Dec 15 23:17:43 2019 some_body/xxx.xxx.xxx.xxx:3863 VERIFY OK: depth=1, C=RU, ST=RU, L=Moscow, O=your_organization, OU=your_organization_unit, CN=your_organization CA, name=EasyRSA, emailAddress=your_mail@your_domain.com Sun Dec 15 23:17:43 2019 some_body/xxx.xxx.xxx.xxx:3863 VERIFY OK: depth=0, C=RU, ST=RU, L=Moscow, O=your_organization, OU=your_organization_unit, CN=some_body, name=EasyRSA, emailAddress=your_mail@your_domain.com Sun Dec 15 23:17:43 2019 some_body/xxx.xxx.xxx.xxx:3863 peer info: IV_VER=2.4.6 Sun Dec 15 23:17:43 2019 some_body/xxx.xxx.xxx.xxx:3863 peer info: IV_PLAT=win Sun Dec 15 23:17:43 2019 some_body/xxx.xxx.xxx.xxx:3863 peer info: IV_PROTO=2 Sun Dec 15 23:17:43 2019 some_body/xxx.xxx.xxx.xxx:3863 peer info: IV_LZ4=1 Sun Dec 15 23:17:43 2019 some_body/xxx.xxx.xxx.xxx:3863 peer info: IV_LZ4v2=1 Sun Dec 15 23:17:43 2019 some_body/xxx.xxx.xxx.xxx:3863 peer info: IV_LZO=1 Sun Dec 15 23:17:43 2019 some_body/xxx.xxx.xxx.xxx:3863 peer info: IV_COMP_STUB=1 Sun Dec 15 23:17:43 2019 some_body/xxx.xxx.xxx.xxx:3863 peer info: IV_COMP_STUBv2=1 Sun Dec 15 23:17:43 2019 some_body/xxx.xxx.xxx.xxx:3863 peer info: IV_TCPNL=1 Sun Dec 15 23:17:43 2019 some_body/xxx.xxx.xxx.xxx:3863 peer info: IV_GUI_VER=OpenVPN_GUI_11 Sun Dec 15 23:17:43 2019 some_body/xxx.xxx.xxx.xxx:3863 Outgoing Data Channel: Cipher 'AES-256-GCM' initialized with 256 bit key Sun Dec 15 23:17:43 2019 some_body/xxx.xxx.xxx.xxx:3863 Incoming Data Channel: Cipher 'AES-256-GCM' initialized with 256 bit key Sun Dec 15 23:17:43 2019 some_body/xxx.xxx.xxx.xxx:3863 Control Channel: TLSv1.2, cipher TLSv1/SSLv3 ECDHE-RSA-AES256-GCM-SHA384, 2048 bit RSA
TLS: soft reset — это означает программный сброс TLS, который инициируется самой OpenVPN: по умолчанию каждые 60 минут ключи TLS регенерируются (обновляются), и вы увидите в логах это сообщение.
Это чисто информационное сообщение и никаких перерывов в работе не будет — в течение этого периода обновления ключей VPN будет оставаться в рабочем и безопасном состоянии.
Интервал обновления можно изменить, добавив в файл конфигурации сервера строчку:
reneg-sec N;
где N — интервал обновления TLS ключей, по умолчанию N=3600. Вы также можете отключить программный сброс TLS, указав N=0, но повторное согласование ключtq TLS является повышением безопасности системы и это делать не рекомендуется.