OpenVPN "on demand"

tylerD · Beitrag von **tylerD** » 30.06.2004 10:16:31

Folgende Konstellation:

Ich habe einen Einwahlrechner der das Routing, Firewalling für ein kleines Firmennetz übernimmt. Die Einwahl muss leider über ISDN geschehen, und sollte sich deshalb on-demand einwählen und bei inaktivität wieder auswählen. Das funktioniert an sich gut.

Als nächstes baut der Rechner ein VPN-Tunnel mittels openvpn zu einem anderen Rechner auf. Funktioniert auch gut. Nur wählt sich jetzt der Router nicht mehr aus, da ja das VPN wohl immer Traffic macht. Mit der inactive Option, bricht das VPN auch nach einer Weile ab-> jedoch steht dann das VPN nicht mehr zur Verfügung falls es danach doch noch gebraucht wird.

Irgendwie hab ich noch keinen richtigen Lösungsansatz. Hat jemand einen, oder eine ähnliche Konstelation schon mal umgesetzt?

Danke
cu

mistersixt · Beitrag von **mistersixt** » 30.06.2004 10:43:35

Bei ppp-Verbindungen kann man ja mit Scripten in /etc/ppp/ip-up.d/ und /etc/ppp//ip-down.d/ etwas "steuern", so baue ich immer meinen FreeSwan/OpenSwan-Verbindungen ab und auf, wenn mal DSL-Verbindungen wegfliegen. Gibt es bei ipppd auch /etc/ipppd/ip-up.d/ oder was Synonymes? Das könnte Dir doch evtl. weiterhelfen, oder?

Gruss, mistersixt.

gucki · Beitrag von **gucki** » 30.06.2004 10:45:52

was steht denn in deiner config?

OpenVPN kennt ja den "ping" parameter. Dieser erzeugt alle n sec nen ping auf der Leitung. Ansonsten würd ich mal kucken welche Pakete durch das TUN/TAP Device laufen wenn in Wirklichkeit nix gemacht wird. vielleicht könnte man die ja per iptables filtern.

Ansonsten fällt mir nur ein das mit nen script löst:

- iptables schreibt wenn Verbindung logisch down nee Zeile in messages
- durch Überwachung von messages wird die VPN-Verbindung aufgebaut und iptables umkonfiguriert
- nach inactive timeout per --down script iptables wieder umkonfigurieren

In der Art hab ich das mit OpenVPN noch nicht gemacht. Also "aus der Hüfte geschossen"

tylerD · Beitrag von **tylerD** » 30.06.2004 11:21:41

Das Aufbauen ist ja nicht so das Problem. Das abwählen ist nen bissel das Problem. Solange das VPN auf ist, ist ja auch Traffic da (obwohl vielleicht schon h keiner mehr im Büro ist). Deshalb wird die ISDN-Verbindung nicht abgebaut. Wenn ich den VPN nach ner Zeit inaktivität schließe, wird die ISDN-Leitung ja dann noch später geschlossen(erst ab jetzt inaktivität). Bloß wenn jetzt dummerweise jemand wieder das normale Netz benutzt, ist das vpn aus und isdn wieder an.

Ich glaub ich hab einen Lösungsansatz mit active-filtern in pppd gefunden (da könnt ich sagen das der vpn-Traffic nicht mitgezählt wird). Nur leider hab ich noch nicht gepeilt wo ich das eintragen muss. In der /etc/isdn/ipppd.ippp0 anscheinend nicht.

cu

gucki · Beitrag von **gucki** » 30.06.2004 11:39:08

Ich glaub ich hab einen Lösungsansatz mit active-filtern in pppd gefunden (da könnt ich sagen das der vpn-Traffic nicht mitgezählt wird). Nur leider hab ich noch nicht gepeilt wo ich das eintragen muss. In der /etc/isdn/ipppd.ippp0 anscheinend nicht.

Das dürfte dann aber auch nicht funzen weil ja dieser Traffic auch nicht zum Aufbauen der Verbindung führt und auch dann die Verbindung abgebaut wird wenn du noch wirklich Daten über das VPN schickst.

tylerD · Beitrag von **tylerD** » 01.07.2004 08:20:45

gucki hat geschrieben: Das dürfte dann aber auch nicht funzen weil ja dieser Traffic auch nicht zum Aufbauen der Verbindung führt und auch dann die Verbindung abgebaut wird wenn du noch wirklich Daten über das VPN schickst.

Das würde gehen. Ich kann über die Filterregeln sagen, das er explizit nur den UDP-Port herausnehmen soll. Der aufbau über den Tunnel ist ja dann auch eine andere Ip und er wähl sich auch ein und theoretisch wieder aus.

Nur habe ich das Problem, das heutzutage in so nem normalen Netz derart viele Anfragen sind auf die auch geantwortet werden, das auf dem Device immer Traffic besteht und er sich deshalb nicht auswählt.Aber das ist nen neues Problem -> neuer Thread...

cu