今天发现活动室的两个路由器相继被 LUG VPN 的 fail2ban 禁止掉了。之前 高一凡 也发现过 freeshell 的主机 IP 被 VPN 服务器 fail2ban,从而向配置文件 /etc/fail2ban/filter.d/openvpn.conf 添加了 ignoreregex = freeshell 白名单。

被 fail2ban 禁止的原因是 OpenVPN 客户端偶尔出现的一些小问题,会触发下面的 1、2、4 行正则表达式,错误在一定时间内累积到一定数量就会封客户端 IP。因此把这些行给注释掉了。

[Definition]
_daemon = openvpn
failregex =
#           ^.*\/<host>:[0-9]{4,5} TLS ERROR:.*$     # 这是因为客户端长时间未更新 session ID
#           ^.* <host>:[0-9]{4,5} TLS Error:.*$      # 这是因为客户端超过 60 秒未响应,可能是网络不稳定所致
            ^.* <host>:[0-9]{4,5} VERIFY ERROR:.*$   # 这个是证书错误,合法客户端不会出现
#           ^.*\/<host>:[0-9]{4,5} Authenticate\/Decrypt packet error:.*$   # 这是网络传输中偶尔出现了差错
ignoreregex = freeshell
</host></host></host></host>