Коллеги, тут пришлось вытащить из загашника пару старых машинок, на которых стоят более старые версии Debian, и обнаружилось, что сконнектиться с openvpn-сервером на stretch клиенты с jessie и wheezy не могут.
Ругань при этом сыплется совершенно разнообразная: Oct 18 13:17:46 deneb ovpn-server[19930]: polaris.wagner.home/188.255.54.51:1194 Authenticate/Decrypt packet error: bad packet ID (may be a replay): [ #3929391416 / time = (893150200) Tue Apr 21 13:16:40 1998 ] -- see the man page entry for --no-replay and --replay-window for more info or silence this warning with --mute-replay-warnings Oct 18 13:18:44 deneb ovpn-server[19930]: polaris.wagner.home/188.255.54.51:1194 WARNING: 'link-mtu' is used inconsistently, local='link-mtu 1562', remote='link-mtu 1542' Oct 18 13:18:44 deneb ovpn-server[19930]: polaris.wagner.home/188.255.54.51:1194 WARNING: 'cipher' is used inconsistently, local='cipher AES-256-CFB', remote='cipher BF-CBC' и так далее, и тому подобное. При этом победить проблему путем такой настройки опций на (старом) клиенте, чтобы они соответствовали (новому) серверу мне не удалось. С jessie проблему удалось решить путем установки openvpn из backports, в смысле той же версии, что и в stretch. В wheezy, я, конечно, скажу dist-upgrade два раза и этим инцидент будет исчерпан. Но что, действительно при переходе от openvpn 2.3.x к 2.4.0 все несовместимым образом сломали, или все же существует совместимая конфигурация. У меня конфигурация сервера была весьма простая: dev tun server 192.168.217.128 255.255.255.192 dh dh.pem ca ca.crt key server.key cert server.crt comp-lzo mode server cipher aes-256-cfb proto udp port 1194 topology subnet keepalive 10 60 client-to-client --
