Arch Linux

OpenVPN und resolvconf/Autostart

ChrisGT

Hallo, leider habe ich schwierigkeiten mit der Namensauflösung über eine OpenVPN(für perfect-privacy anonymisierungsdienst) verbindung.

Als Workaround wurde mir gesagt ich soll

~ up /etc/openvpn/update-resolv-conf
~ down /etc/openvpn/update-resolv-conf

in die client-config packen.

Was allerdings nicht funktioniert. Ich gehe davon aus das, das normale OpenVPN Paket aus der normalen Repo nicht die richtigen Dateien hat. Gibt es irgendwo noch ein anderes. Wie löse ich das Problem?

Bin noch nich sooo lange auf Arch und deswegen gerade etwas über fordert 🙁

GerBra

ChrisGT schrieb Als Workaround wurde mir gesagt ich soll

~ up /etc/openvpn/update-resolv-conf
~ down /etc/openvpn/update-resolv-conf

in die client-config packen.

Beide Scripte gibt es (zumindest unter Arch openvpn) nicht in /etc/openvpn.

up und down Kommandos/Skripte sind allerdings schon möglich, nimmt man i.d.R. bei statischen
IPs zwischen Openvpn-Server und Client.
Bei dynamischer Vergabe per DHCP der IP kann dem Client per push in der Server-Config auch ein DNS-
Server mitgegeben werden, allerdings gibt es da einen wichtigen Hinweis zu:
http://openvpn.net/faq.html#dhcpcaveats

Frage: nutzt du feste oder dynamische IP's?
Was möchtest du an der Namensauflösung verändern während einen VPN-Sitzung? Nur den VPN-Server
als Nameserver hinzufügen (und am Ende wieder entfernen)?

ChrisGT

Vom provider habe ich bei mir eigentlich eine feste IP(ich nutze den Networkmanager), was sich aber die nächsten tage ändern dürfte, da ich umziehe und dort leider nicht mehr Kabel Deutschland habe, sondern einen anderen Anbieter.

Also gehen wir am liebsten von ner dynamischen IP aus :lol:

Das Hauptproblem ist einfach das ich, wenn ich mit perfect-privacy per Openvpn verbunden bin, die Netzverbindung schlicht und ergreifend nicht nutzen kann, da ich zwar per http://216.239.59.104/ auf googel komme, aber nicht wenn ich einfach www.google.de eingebe. Jetzt habe ich in der resolv.conf den Namensserver geändert und

nameserver 84.2.*.**
nameserver 84.2.*.***
nameserver 80...**

eingegeben und das funktioniert.(das ist ein Namensserver von perfect-privacy)

Soweit ich aber weiß, wird bei jedem Neustart die resolv.conf neu geschrieben, tja und dann ist die Lösung wieder weg.

Vielen Dank auf jeden Fall schon mal für Deine Hilfe. Im normal Fall ist der Service von Perfect-Privacy absolute spitze. Nur diesesmal muss ich halt hier fragen, da die ja auch nicht über jede Distrie-Eigenheit bescheid wissen können.

Nachtrag:

Was möchtest du an der Namensauflösung verändern während einen VPN-Sitzung? Nur den VPN-Server
als Nameserver hinzufügen (und am Ende wieder entfernen)?

Ich glaube das wäre die einfachste Lösung.

GerBra

Mit dynamisch oder statisch meinte ich die IP, die du vom OpenVPN-Server für die virtuellen
Interfaces tun/tap kriegst. Die kann man entweder statisch einrichten (erkennst du daran, daß in
deiner /etc/openvpn/client.conf (oder wie sie auch heißt) ein ifconfig xx.yy.xx.yy dd.ff.dd.ff drin hast.

Aber eigentlich ist das egal. Ich kenne diesen Service jetzt nicht, aber scheinbar ersetzt dieser
deine "normale" default-Route (umverschlüsselt zum Provider) durch ein eigenes Default-Gateway,
so daß jedweder Traffic nach "außerhalb" über das VPN geht.
Somit erreichst du (scheinbar) auch die normalen DNS-Server nicht. die ja die IP von google kennen.

Oft oder normalerweise 😉 macht man das so: es wird eine zusätzliche Route vom VPN-Server
übermittelt, aber nicht das Default-GW üebrschrieben.
Wenn de VPN-Client-User jetzt z.B. seinen Browser bedient um zu google zu kommen geht diese
Anfrage normal über eth0/wlan0/..., also über das "unverschlüsselte" Device.
Nur Pakete die explizit für den VPN-Server bzw. das Netz des VPN-Devices (tun/tap) bestimmt sind,
werden über diese Route verschlüsselt.
Da das ja aber ein sog. Privatisierer ist wird bei dir wohl jeder Traffic über das VPN laufen.

Du mußt also: Nach Aufbau der Versbindung zum VPN deren Nameserver in die resolv.conf
eintragen, nach Beendigung muß dieser wieder raus bzw. sollen wieder die "normalen" DNS-Server
greifen.

Kannst du IMHO ganz einfach machen, diese up/down Befehle kümmern sich darum.
Lege dir zwei Skripts in /etc/openvpn an:
resolv.new

#!/bin/sh
#
cp /etc/resolv.conf /etc/openvpn/resolv.conf
echo "nameserver 10.1.1.1" | cat - /etc/openvpn/resolv.conf > /etc/openvpn/resolv.new
mv /etc/openvpn/resolv.new /etc/resolv.conf

resolv.old

#!/bin/sh
#
mv /etc/openvpn/resolv.conf /etc/resolv.conf

Beide Skripte mußt du ausführbar machen, also chmod +x

Das macht jetzt folgendes: Ich nehme hier an dein Privacy DSN hätte die IP 10.1.1.1.
Diese ersetztz du durch die richtige.
Diese IP wird jetzt an 1. Stelle in eine temporäre resolv.conf geschrieben. Vorher wird die aktuelle
aus /etc gesichert. Dann wird die neue nach /etc verschoben, greift also sofort.
Das wird durch das resolv.new erledigt.
resolv.old verschiebt jetzt lediglich die "originale" resolv.conf wieder nach /etc wenn die VPN-
Verbindung beendet ist.

In deine client.conf in /etc/openvpn mußt du jetzt eintragen:

up ./resolv.new
down ./resolv.old

Da nur root die /etc/resolv.conf verändern darf: ich weiß nicht, ob du als root die VPN-Verbindung
aufbaust. Wenn ja, dann gibt es mit den up/down-Skripten kein Problem.
Wenn du es als Normaluser machst dann, dann wird es komplizierter - dann mußt du bestimmte
Befehle mit sudo freischalten. Ich will das nicht alles erklären (sudo gibt es auch im Wiki) wenn
du es sowieso als root machst, dann kann ich mir das sparen.
Wenn also nicht als root und du mit sodo nicht zurechtkommst dann melde dich nochmal.

[gelöscht]

Super vielen vielen Dank.

Ich muste alle drei Namensserveradressen eingeben und es funzt eins a.

Danke.

Jetzt muss ich die Scripts nur noch anpassen und ne passende GUI suchen.

Perfect-privacy hat momentan 14 verschieden Server welche alle per SSH OpenVPN und PPTP angesteuert werden können. Sprich ich muss das dann noch so anpassen das ich alles bequem per gui starten kann, was ja pro server einfach nur die umbenennung der resolv.new in resolvamsterdam.new z.b tun würde und dann in die passende config damit.

Also noch mal vielen Dank

PS: Ich passe alles an und übertrag dann die Lösung ins PP-Forum, dürfte einige Leute geben die dir dann auch noch dankbar sind :lol:

ChrisGT

Noch ne Frage:

Weis irgendwer wo das VPN-Plugin für den networkmanager die Configs speichert? Ich hab in /etc nichts gefunden und auch in /Home/benutzer kann ich nichts finden. Wäre super wenn einer mir nen Tip geben kann.

ChrisGT

Ich hätte noch eine Frage zu dem Thema.

Ich habe nun das Problem mit den namensserver gelöst und einen Script in /usr/bin namens vpn-amsterdam gelegt der mir die ganze Sache ohne Passworteingabe oder sonstiges startet.

Ich möchte nun, das Arch direkt beim start(Benutzerunabhängig, also noch vor gdm) den script ausführt. Als Deamon sozusagen, halt im Hintergrund.

Die Eintragung von vpn-amsterdam in die rc.local war schon ein Schuss in den ofen für mich, da Arch sich dann wunderbar mit dem Server verbindet, aber dummerweise bei der Nachricht das die Verbindung hergestellt ist stehen bleibt. Wie kann ich das am Besten lösen das Arch das einfach im Hintergrund macht?

GerBra

Startest du openvpn im Skript denn auch als Daemon (--daemon).
Siehe: man openvpn->--daemon

Die rc.local ist schon ein guter Platz für dein Skript.
Einige Ideen (z.B. für ein Runlevel-Skript) lassen sich aus diesem Wiki-Artikel ziehen:
http://wiki.archlinux.org/index.php/OpenVPN_Bridge

ChrisGT

hmmm, das war irgendwie auch nix.

Ich habs erst als Option mit

openvpn --daemon Amsterdam.ovpn

probiert und danach hab ichs mal probiert mit dem Eintrag deamon direkt in der Amsterdam.ovpn. Laut dem deamon.log kann der Angeblich irgend nen Script nicht ausführen, was ich nicht verstehe, denn ohne Daemon läufts doch top.

Irgendwie ist mir der Wiki Artikel etwas zu hoch, ich bin noch in der Lernphase 😉

Das ist der letzte Absatz aus /var/log/daemon.log

Aug 8 17:46:16 foobar test[23704]: Options error: Unrecognized option or missing parameter(s) in [PUSH-OPTIONS]:7: topology (2.0.9)
Aug 8 17:46:16 foobar test[23704]: OPTIONS IMPORT: --ifconfig/up options modified
Aug 8 17:46:16 foobar test[23704]: OPTIONS IMPORT: route options modified
Aug 8 17:46:16 foobar test[23704]: OPTIONS IMPORT: --ip-win32 and/or --dhcp-option options modified
Aug 8 17:46:16 foobar test[23704]: TUN/TAP device tun0 opened
Aug 8 17:46:16 foobar test[23704]: TUN/TAP TX queue length set to 100
Aug 8 17:46:16 foobar test[23704]: /sbin/ifconfig tun0 10.0.31.62 pointopoint 10.0.31.61 mtu 1500
Aug 8 17:46:16 foobar test[23704]: ./resolv.new tun0 1500 1562 10.0.31.62 10.0.31.61 init
Aug 8 17:46:16 foobar test[23704]: script failed: could not execute shell command
Aug 8 17:46:16 foobar test[23704]: Exiting

GerBra

Nun, die Meldung:
script failed: could not execute shell command
kommt wahrscheinlich daher, daß du openvpn im "falschen" Verzeichniss startest (durch das
Skript). Wir waren in der config bei den up/down-Teilen ja soweit, daß wir: up./blah.script ausführen.
blah_script wird dadurch im aktuellen Verzeichniss gesucht - und wahrscheinlich nicht gefunden.

Schau dir als Vorlage für dein Start-Skript ggf. mal: /etc/openvpn/examples/openvpn-startup.sh an.

Dort wird als dir /etc/openvpn festgelegt. Und openvpn dann gegen Ende so gestartet:

openvpn --cd $dir --daemon --config vpn2.conf

So sollte es auch in deinem Skript funktionieren.

ChrisGT

Haaaaa, mit der Option --cd funzt das. ich glaubs nich. Neustart ging problemlos. Also ich schreibe hier völlig krank über ne Leitung die erst durch Holland(OpenVPN) und dann über Kannada(SSH) geht :lol:

Cooooooool

Auf die Idee mit dem cd wäre ich nich im Leben gekommen da ich im vpn-amsterdam start script, ja nen cd vor das openvpn gesetzt habe und beim test in der Konsole mich schon im richtigen Verzeichniss befunden habe. Hätte ich nich damit gerechnet, dass ich das trotzdem noch angeben muss.

Vielen lieben Dank, da hab ich wieder was gelernt :lol: