База знаний по Open Source
Yandex поиск по всему сайту
Авторизация

Обычно возникают вопросы от пользователей OpenVpn, когда они встречают в логах сообщения о TLS soft reset: чем это грозит, не прерывается ли нормальная работа и вообще — что это такое.

По умолчанию раз в час в логах OpenVpn появляются сообщения типа этого:

Sun Dec 15 23:17:43 2019 some_body/xxx.xxx.xxx.xxx:3863 TLS: soft reset sec=-1 bytes=80421/-1 pkts=1123/0
Sun Dec 15 23:17:43 2019 some_body/xxx.xxx.xxx.xxx:3863 VERIFY OK: depth=1, C=RU, ST=RU, L=Moscow, O=your_organization, OU=your_organization_unit, CN=your_organization CA, name=EasyRSA, emailAddress=your_mail@your_domain.com
Sun Dec 15 23:17:43 2019 some_body/xxx.xxx.xxx.xxx:3863 VERIFY OK: depth=0, C=RU, ST=RU, L=Moscow, O=your_organization, OU=your_organization_unit, CN=some_body, name=EasyRSA, emailAddress=your_mail@your_domain.com
Sun Dec 15 23:17:43 2019 some_body/xxx.xxx.xxx.xxx:3863 peer info: IV_VER=2.4.6
Sun Dec 15 23:17:43 2019 some_body/xxx.xxx.xxx.xxx:3863 peer info: IV_PLAT=win
Sun Dec 15 23:17:43 2019 some_body/xxx.xxx.xxx.xxx:3863 peer info: IV_PROTO=2
Sun Dec 15 23:17:43 2019 some_body/xxx.xxx.xxx.xxx:3863 peer info: IV_LZ4=1
Sun Dec 15 23:17:43 2019 some_body/xxx.xxx.xxx.xxx:3863 peer info: IV_LZ4v2=1
Sun Dec 15 23:17:43 2019 some_body/xxx.xxx.xxx.xxx:3863 peer info: IV_LZO=1
Sun Dec 15 23:17:43 2019 some_body/xxx.xxx.xxx.xxx:3863 peer info: IV_COMP_STUB=1
Sun Dec 15 23:17:43 2019 some_body/xxx.xxx.xxx.xxx:3863 peer info: IV_COMP_STUBv2=1
Sun Dec 15 23:17:43 2019 some_body/xxx.xxx.xxx.xxx:3863 peer info: IV_TCPNL=1
Sun Dec 15 23:17:43 2019 some_body/xxx.xxx.xxx.xxx:3863 peer info: IV_GUI_VER=OpenVPN_GUI_11
Sun Dec 15 23:17:43 2019 some_body/xxx.xxx.xxx.xxx:3863 Outgoing Data Channel: Cipher 'AES-256-GCM' initialized with 256 bit key
Sun Dec 15 23:17:43 2019 some_body/xxx.xxx.xxx.xxx:3863 Incoming Data Channel: Cipher 'AES-256-GCM' initialized with 256 bit key
Sun Dec 15 23:17:43 2019 some_body/xxx.xxx.xxx.xxx:3863 Control Channel: TLSv1.2, cipher TLSv1/SSLv3 ECDHE-RSA-AES256-GCM-SHA384, 2048 bit RSA

TLS: soft reset — это означает программный сброс TLS, который инициируется самой OpenVPN: по умолчанию каждые 60 минут ключи TLS регенерируются (обновляются), и вы увидите в логах это сообщение.

Это чисто информационное сообщение и никаких перерывов в работе не будет — в течение этого периода обновления ключей VPN будет оставаться в рабочем и безопасном состоянии.

Интервал обновления можно изменить, добавив в файл конфигурации сервера строчку:

reneg-sec N;

где N — интервал обновления TLS ключей, по умолчанию N=3600. Вы также можете отключить программный сброс TLS, указав N=0, но повторное согласование ключtq TLS является повышением безопасности системы и это делать не рекомендуется.