Hab vor kurzem eine OpenVPN Verbindung zu einem Server mit wechselnder IP Adresse eingerichtet.
\n„Eh alles ganz einfach“ m\u00f6chte man vielleicht meinen.
\n„Wozu gibt es Services wie DynDNS, NoIP u.\u00e4.“.<\/p>\n
Tja.<\/p>\n
Geben tuts die schon. Allerdings sind die „free“ Zug\u00e4nge alles andere als zuverl\u00e4ssig.
\nUnd noch dazu wird man mit unn\u00f6tigen „Login Notifications“ bel\u00e4stigt.
\n(Meisst muss man sich mindestens 1x pro Monat einloggen, sonst wird der Hostname gel\u00f6scht)<\/p>\n
Die Bezahl-Zug\u00e4nge sind vermutlich zuverl\u00e4ssiger, allerdings :
\nWer will schon ein paar Euro\/Monat nur daf\u00fcr zahlen, damit zwischen 2 Standorten eine Verbindung aufgebaut werden kann ?!?
\n(Wenn es ein TopLevelDomain-DynDNS ist, auf welchem man Websites hostet, dann siehts nat. anders aus…)<\/p>\n
Drum hab ich mir gedacht, da muss man ja auch selber was stricken k\u00f6nnen. Kann man…<\/p>\n
Als erstes ben\u00f6tigt man daf\u00fcr nat\u00fcrlich einen Webspace, der sehr zuverl\u00e4ssig funktioniert.
\nDa drauf kommen 2 php Scripts :
\neintragen.php<\/p>\n
<?php\n $ip=$_SERVER['REMOTE_ADDR'];\n $f=fopen(\"\/tmp\/ipvonwoswoasiwem.txt\",\"w\") or die(\"Unable to open file!\");\n fwrite($f,$ip.\"\\n\");\n fclose($f);\n?><\/pre>\nauslesen.php<\/p>\n
<?php\n $f=fopen(\"\/tmp\/ipvonwoswoasiwem.txt\",\"r\") or die(\"Unable to open file!\");\n $ip=fread($f,50);\n echo $ip;\n fclose($f);\n?><\/pre>\nDamit ist schon mal die M\u00f6glichkeit geschaffen, dass der VPN-Server seine IP „bekannt“ machen kann, und der Client kann sie abholen.<\/p>\n
Der Server muss, sobald er feststellt, dass sich seine IP ge\u00e4ndert hat nur noch z.B. ein wget machen, das k\u00f6nnte etwa so aussehen :<\/p>\n
wget -O- http:\/\/example.com\/optionalesverzeichnisdamitsniemandsoleichtmanipulierenkann\/eintragen.php<\/pre>\nDamit der Server nicht unn\u00f6tigerweise z.B. jede Minute bei einem exterenen Dienstleister (z.B. whatsmyip.com) nachfragen muss, kann man dazu auch ganz einfach abfragen, ob noch irgendein VPN Client eingew\u00e4hlt ist. (geht viel schneller, und verursacht keinen extra Internet-Traffic).<\/p>\n
Soweit die Server-Seite. (der OpenVPN Server muss halt dort noch eingerichtet werden…)<\/p>\n
Jetzt gehts weiter mit der Client Seite. Da wirds richtig „tricky“.<\/p>\n
Das Problematische daran ist, dass es die OpenVPN Binary IMMER als „Service“ l\u00e4uft. D.h. egal, ob Server oder Client, einmal gestartet, verbindet er sich mit der angegebenen Adresse (IP oder Hostname). Bricht die Verbindung ab, versucht er die gleiche Verbindung wieder aufzubauen. \u00c4ndert sich die \u00f6ffentliche IP auf der Client-Seite, ist das \u00fcberhaupt kein Problem; die Verbindung steht ca. 1-2 Sekunden nach der Internet Verbindung wieder. \u00c4ndert sich allerdings die IP auf der Server-Seite, dann wirds problematisch. Wie soll man das feststellen, ohne DynDNS zu verwenden ? Es gibt zwar „Hooks“, die etwas triggern k\u00f6nnen, allerdings einen „Error-Hook“ hab ich bisher noch nicht gefunden.<\/p>\n
Also doch wieder DynDNS. Aber anders. Bei mir ist der OpenVPN Client ein Raspberry PI, der Internet-Router l\u00e4uft auf OpenWRT. Damit kann man schon was anstellen. Aber es gibt – wie immer – mehrere M\u00f6glichkeiten :<\/p>\n
*) die \/etc\/hosts Datei \u00e4ndern<\/p>\n
Das ist unpraktisch, kompliziert, und (weil man die Datei nicht so einfach auf die RAMDisk bekommt) f\u00fchrt m\u00f6glicherweise auch zu Problemen beim Booten. Da sind Eintr\u00e4ge drin, die u.U. f\u00fcr einen erfolgreichen Boot vermutlich notwendig sind (sowohl beim PI, als auch beim Router)<\/p>\n
*) die \/etc\/dnsmasq.conf \u00e4ndern<\/p>\n
Das ist auch nicht viel besser. u.U. hat man da drin z.B. Werbeblocker u.a. drinnen.<\/p>\n
*) DAS IST ES :<\/p>\n
Es gibt in der \/etc\/dnsmasq.conf einmal die M\u00f6glichkeit, zus\u00e4tzliche Config-Dateien einzubinden (mit conf-file=…) und dann aber noch die Option eine „k\u00fcnstliche“ hosts Datei zu verwenden. Der Eintrag dazu lautet :<\/p>\n
addn-hosts=\/tmp\/dynhosts<\/pre>\nDen einfach ganz am Ende einf\u00fcgen; dann erh\u00e4lt man das gew\u00fcnschte Ergebnis; dnsmasq kann AUCH OHNE diese Datei (z.B. beim Booten) hochfahren; die Datei kann man nach belieben unendlich oft wiederbeschreiben (weil sie in der RamDisk liegt).<\/p>\n
Ein „Problemchen“ bleibt noch : im Gegensatz zur „echten“ hosts Datei werden die \u00c4nderungen nicht „on-the-fly“ \u00fcbernommen. Aber auch daf\u00fcr gibt es eine ganz simple L\u00f6sung : man sendet ein „kill -1“ (=sighup), dann l\u00e4dt dnsmasq seine Config neu, ohne irgendeine sonstige Unterbrechung. Das Kommando dazu lautet :<\/p>\n
kill -1 $(cat \/var\/run\/dnsmasq\/dnsmasq.pid)<\/pre>\nBzw. das komplette Script namens dyndns.sh :<\/p>\n
#!\/bin\/sh\ndyn=\/tmp\/dynhosts\nsoll=$(wget -O- -T 5 http:\/\/example.com\/\/optionalesverzeichnisdamitsniemandsoleichtmanipulierenkann\/auslesen.php 2>\/dev\/null)\nif test \"$soll\" == \"\"\nthen\n soll=$(wget -O- -T 5 http:\/\/example_redundant.com\/\/optionalesverzeichnisdamitsniemandsoleichtmanipulierenkann\/auslesen.php 2>\/dev\/null)\nfi\nif test \"$soll\" != \"\"\nthen\n ist=$(cat $dyn 2>\/dev\/null | cut -d\" \" -f1)\n if test \"$soll\" != \"$ist\"\n then\n echo \"Ziel IP alt = $ist, update auf $soll\" >> \/tmp\/meineigenesdyndns.log\n echo \"$soll zielserver\" > $dyn\n kill -1 $(cat \/var\/run\/dnsmasq\/dnsmasq.pid)\n fi\nfi<\/pre>\nIch hab auch gleich noch einen 2. Webspace (der die gleiche Information bereith\u00e4lt) eingebaut, somit ergibt sich sogar eine gewisse Redundanz, falls mal was nicht geht.<\/p>\n
Wenn man das script (auf seinem Hauptrouter) aufruft, und dann z.B. ein „ping zielserver“ eingibt, dann sollte (zumindest versucht) werden, die entsprechende Gegenstelle anzupingen.<\/p>\n
Aufgerufen wird das Script (bei mir) 1x pro Stunde, und, sobald mein „dauerping“ Script feststellt, dass zwar das Internet geht, aber die VPN Verbindung nicht.<\/p>\n
Somit gibt es kaum extra Internetverkehr, aber die Verbindung sollte trotzdem in <1min wieder da sein, falls sich die Server-IP ge\u00e4ndert hat.<\/p>\n
Damit kann die „Domain“ auch problemlos in einer OpenVPN Konfigurationsdatei verwendet werden…. (Sogar auf einem Raspberry PI „hinter“ dem Router)<\/p>\n
Update :
\nWas mir noch so aufgefallen ist : wenn statt zielserver ein Name mit Punkt verwendet werden soll, dann gibts zumindest mit .local Probleme.
\nD.h. zielserver.local -> geht nicht
\nzielserver.lo -> geht<\/p>\n","protected":false},"excerpt":{"rendered":"Hab vor kurzem eine OpenVPN Verbindung zu einem Server mit wechselnder IP Adresse eingerichtet. „Eh alles ganz einfach“ m\u00f6chte man vielleicht meinen. „Wozu gibt es Services wie DynDNS, NoIP u.\u00e4.“. Tja. Geben tuts die schon. Allerdings sind die „free“ Zug\u00e4nge alles andere als zuverl\u00e4ssig. Und noch dazu wird man mit unn\u00f6tigen „Login Notifications“ bel\u00e4stigt. (Meisst … OpenVPN Server mit wechselnder IP Adresse<\/span> weiterlesen<\/a><\/p>\n","protected":false},"author":4,"featured_media":0,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[1],"tags":[],"class_list":["post-688","post","type-post","status-publish","format-standard","hentry","category-allgemein"],"_links":{"self":[{"href":"https:\/\/inator.at\/index.php?rest_route=\/wp\/v2\/posts\/688","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/inator.at\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/inator.at\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/inator.at\/index.php?rest_route=\/wp\/v2\/users\/4"}],"replies":[{"embeddable":true,"href":"https:\/\/inator.at\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=688"}],"version-history":[{"count":28,"href":"https:\/\/inator.at\/index.php?rest_route=\/wp\/v2\/posts\/688\/revisions"}],"predecessor-version":[{"id":717,"href":"https:\/\/inator.at\/index.php?rest_route=\/wp\/v2\/posts\/688\/revisions\/717"}],"wp:attachment":[{"href":"https:\/\/inator.at\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=688"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/inator.at\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=688"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/inator.at\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=688"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}