vpn újrakapcsolódás hiba

 ( connor | 2018. július 11., szerda - 12:26 )

Sziasztok,

Adott egy szerver és egy helyi hálózaton működő nas. Mivel a hálózatot a upc adja, így a legkézenfekvőbb megoldás az, ha a szerverre VPN-en keresztül ssh-zok be (fizikailag a nas 1km-re van). Így a VPN kapcsolatnak 0-24 kellene mennie. Azt itt az egyik fórumban már megtaláltam, hogy a keepalive-ot érdemes lejjebb venni, így a logok azon része már nem releváns, levettem 60ra.

Itt a kliens logja:
https://pastebin.com/EbZDVL96

Az utolsó pár sorból látszik, hogy a tun0 restartja nem sikerült, viszont erről nem találtam más infót, hogy miért nem tudta törölni az előző beállításokat.
Ez lehet jogosultsági gond? Vagy egyszerűen nem jó routing configot közöl a szerver és amiatt nem tudja újrahúzni a tun0-t?

kliens Ubuntu 16.04 és openvpn 2.3.10
szerver debian 9 és openvpn 2.4.0

Hozzászólás megjelenítési lehetőségek

A választott hozzászólás megjelenítési mód a „Beállítás” gombbal rögzíthető.

egy dolgot vettem még észre. a nas helyi hálózatán a mask /8. van elképzelésem, hogy miért, de azt most inkább nem piszkálom. az egész VPN-t áttettem 192.168.8.0/24-re. megnézzük így. sajnos szimulálni nem tudok hálózati "problémát" rendes üzem mellett, így várni kell egy napot.

Jol latom, hogy atiranyitod a default gatewayt?
Utana mikor megszakad a route del valamiert nem sikerul neki, ezert mikor ujra probalkozik a default gateway mar nem jo.

--
http://blog.htmm.hu/

Az openvpn biztonsági okok miatt a VPN csatorna felépítése után el tudja dobni a root privilégiumát. (Ha a konfigban be van állítva.) Ez sajnos előállítja a gordiuszi csomó problémáját, ugyanis ha később bármi miatt az interface-t down-ba kell tenni és törölni a rá vonatkozó route-okat, akkor ez talpas userként nem sikerül --> hiba --> openvpn megáll.
Mondjuk ha ezen át lehetne lépni, eldobott root privilégiumok mellett az újrahúzás is elfüstölne, mertugyanígy up-ba se tudná tenni az interface-t meg route-ot se tudna rá akasztani.
Megoldások:
- biztonság ide vagy oda, root-ként futtatod
- szerencsét próbálsz a persist opciókkal - ilyenkor szakadás esetén még nem nyomja le az interface-t, tehát ha a kapcsolat véges időn belül helyre áll és nem változnak a beállítások sem (pl. IP csere), akkor életben maradhat a kapcsolat (a hangsúly a véges időn belül és a nem változik a konfig megkötéseken van)
- valamivel figyeled és ha kiakad, újraindíttatod (pl. monit)

A gyakorlatban a szerveren el lehet dobatni a root jogot, mert ott egy hálózati kapcsolat szakadása nincs kihatással a VPN-hez tartozó interface állapotára, viszont itt kapcsolatot fogad a program: egészségesebb, ha nem root-ként fut. A kliens meg futhat root-ként, kapcsolatot úgy se fogad, de ilyen problémák esetén az interface és route állítgatás nem okoz problémát neki.

köszönöm a kimerítő választ!

szerintem a persisttel fogok szerencsét próbálni, mert se a kliens se a szerver nem változtat semmit a beállításain és a cél az, hogy a kapcsolat folyamatos legyen, hogy bármikor be tudjak lépni a kliensre.