[Eisfair_dev] [e1] openVPN 1.0.0 erfolgreich getestet

Hans-Georg Kiefer HansGeorg at edv-einsteiger.de
Mi Aug 10 16:18:15 CEST 2016 

Sooo, ausgeschlafrn, Kaffeepegel OK.

Am 10.08.2016 um 09:15 schrieb Olaf Jaehrling:
> Moin Tanne,
>
>> INSTALLATION:
>> Sieht gut aus. Vielleicht je einmal zuviel 'shutting down openvpn...' und 'creating directories'.
>
> Das ist alles noch vom originalem Paket. Da hab ich noch nichts gemacht.
>
OK.

>>
>> KONFIGURATION:
>> OPENVPN2_CLIENT_1_IPV6 wird als neuer Parameter standardmässig auf 'no' gesetzt.
>> Ich hätte es für nützlich empfunden, wenn das auch bei den weiteren Clients so wäre.
>> Das resultiert beim Speichern in einer Fehlermeldung, wenn man nicht aufpasst bei 38 Clients.
>
> Hää, ist doch.
> Auszug aus /var/install/config.d/openvpn2-update.sh Zeile 59
> OPENVPN2_CLIENT_1_IPV6='no'

Genau. Wir reden hier zunächst von einem Update von v1.0.0.
Ab Zeile 88 openvpn2-update.sh:

idx=1
while [ "$idx" -le "$OPENVPN2_CLIENT_N" ]
do
     eval clientv6='$OPENVPN2_CLIENT_'$idx'_V6'
     if [ "$clientv6" = "" ]
     then
         eval 'OPENVPN2_CLIENT_'$idx'_V6'=no
     fi
     idx=`/usr/bin/expr $idx + 1`
done

Ich habe zwei Clients konfiguriert und bei dem Update auf 1.0.1 wird 
OPENVPN2_CLIENT_1_IPV6='no' gesetzt, jedoch ist 
OPENVPN2_CLIENT_2_IPV6='' -> also leer. Das wäre dann auch bei jedem 
weiteren Client so. Somit funktioniert obiges Konstrukt nicht so richtig.

>>
>> OPENVPN2_APPEND_LOG = yes kann bei fest eingestelltem verbosity level 2 und ohne Rotation extrem große Logdateien erzeugen. Wäre es viel ArBeit, bei Aktivierung dieses Features zusätzlich einen Parameter einzublenden, der die Einstellung für verb (0, 4, 5, 9) freigibt?
>> Prallel dazu ein Hinweis im Hilfetext, dass log-verbosity > 0 eine große Log-Datei erzeugen kann.
>
> So groß wird die nicht
> ls -lh /var/log/openvpn/
> total 196K
> -rw------- 1 root root 187K Aug 10 08:41 openvpn.log
>
Wir werden sehen, wie das bei 38 Clients mit bis zu 200 
Logins/Reconnects am Tag aussehen wird.
>
> Aber der Hinweis mit der Rotation ist richtig. Werde ich allerdings erst in 1.0.2 einbauen.
>
Na guuut, einverstanden. ;-)
Man gut, dass die ovpn-logs in BFB nicht ausgewertet werden.
>>
>> Oder Variante "B": Bei OPENVPN2_APPEND_LOG = yes verbosity fest auf 0 stellen. Bei 'no' auf 2 wie bisher, oder 3.
>>
Die Option bleibt ja auch noch.

>>
>> OPENVPN2_ROUTE_N klappt noch nicht ganz. Default ist laut Hilfe jetzt 1, aber wird nicht gesetzt und die IP-Adresse ist nicht die Netzadresse aus der Base. In meinem Fall Soll=192.168.10.0  Ist=192.168.0.0
>> Der Hilfetext ist noch unbefriedigend, aber das können wir an anderer Stelle noch verfeinern.
>
> Bei Dir wird sie nicht gesetzt. Das ist richtig, weil du schon die 1.0.1. hast. Stelle /var/install/packages/openvpn2 aus 1.0.0 und es sollte gehen.
> Und der Rest ist vom Origanal übernommen, Sollte also genauso aussehen.
> War:
> echo "push \"route $IP_ETH_1_NETWORK $IP_ETH_1_NETMASK\""
> IST:
> OPENVPN2_ROUTE_1_NET=$IP_ETH_1_NETWORK
> OPENVPN2_ROUTE_1_SUBNET=$IP_ETH_1_NETMASK
>
>
> Also 1:1. Evlt ein Folgefehler bei Dir wegen schon installierter 1.0.1.

Ich bin nicht überzeugt. Die Vorversion war v1.0.0 und die Route hab ich 
noch nie aktiviert, weil es nie nötig war. Stand also auf '0'.

Um den ovpn-Server mit der 1.0.0 zum Laufen zu bringen, habe ich die 
Route direkt in /etc/openvpn/server.conf eingetragen.

Ab Zeile 75 openvpn2-update.sh:

## Wenn bei einer alten konfiguration kleiner 1.0.1 OPENVPN2_ROUTE_N=0 
dann hochziehen auf 1
if [ -f /tmp/oldovpn ]
then
     if [ "$OPENVPN2_ROUTE_N" = "0" ]
     then
         . /etc/config.d/base
         OPENVPN2_ROUTE_N=1
         OPENVPN2_ROUTE_1_NET=$IP_ETH_1_NETWORK
         OPENVPN2_ROUTE_1_SUBNET=$IP_ETH_1_NETMASK
     fi
     rm -f /tmp/oldovpn
fi

Von meiner Seite sind beide Bedingungen erfüllt gewesen.
Wo und wann wird /tmp/oldovpn erzeugt?

>>
>> FUNKTION:
>> Wenn Route korrekt eingetragen ist, sieht das schonaml gut aus. Ausführlicher nach der Arbeit. Um 9:00 ist Schluss.
>
> Na denn nach Hause jetzt. Hopp, hopp. :)
>
Jawohl, Obi Wan.

Tanne

-- 
--------------------------
Es grüsst hochachtungsvoll
******* T A N N E ********

---
Diese E-Mail wurde von Avast Antivirus-Software auf Viren geprüft.
https://www.avast.com/antivirus

Mehr Informationen über die Mailingliste Eisfair_dev