OpenVPN verhindert SpinDown / Standby

[Kauabunga]

Hi!
Seit ich OpenVPN auf der DS aktiv habe, geht sie nicht mehr in den Spindown. Wenn ich den Daemon kille, dann geht es wieder. Liegt also definitiv am OpenVPN (oder einer Abhängigkeit)

Habt ihr das gleiche Problem?
Oder noch besser vielleicht eine Lösung?
Hier mein Aufruf Skript

#!/bin/sh
#
# Startup script for openvpn server
#

# Make sure IP forwarding is enabled
echo 1 > /proc/sys/net/ipv4/ip_forward

# Make device if not present (not devfs)
if ( [ ! -c /dev/net/tun ] ) then
  # Make /dev/net directory if needed
  if ( [ ! -d /dev/net ] ) then
        mkdir -m 755 /dev/net
  fi
  mknod /dev/net/tun c 10 200
fi

# Make sure the tunnel driver is loaded
if ( !(lsmod | grep -q "^tun") ); then
        insmod /lib/modules/tun.ko
fi

# If you want a standalone server (not xinetd), then comment out the return statement below
#return 0


## This is for standalone servers only!!!!
# Kill old server if still there
if [ -n "`pidof openvpn`" ]; then
  killall openvpn 2>/dev/null
fi

# Start the openvpn daemon - add as many daemons as you want
/opt/sbin/openvpn --daemon --cd /opt/etc/openvpn --config openvpn.conf

# [EOF]

Hier meine Serverconf

port 1194
proto udp
dev tun

ca /opt/etc/openvpn/easy-rsa/keys/ca.crt
cert /opt/etc/openvpn/easy-rsa/keys/server.crt
key /opt/etc/openvpn/easy-rsa/keys/server.key
dh /opt/etc/openvpn/easy-rsa/keys/dh1024.pem

server 10.8.0.0 255.255.255.0
ifconfig-pool-persist ipp.txt

client-to-client
#Hier die Route des lokalen Netzes eintragen (meist 192.168.0.0 oder 192.168.1.1)
push "route 192.168.0.0 255.255.255.0"
#Hier einen DNS eintragen (zB IP des Routers oder 62.2.24.162 (cablecom dns))
push "dhcp-option DNS 192.168.0.1"
#push "redirect-gateway"

keepalive 10 120
comp-lzo

persist-key
persist-tun
status openvpn-status.log

verb 3
daemon

 

[Hores]

Hi,

dies ist mein erster Eintrag hier im Forum. Bin eher so der stille Mitleser.

Mir geht es genauso, mit Openvpn. Allerdings erst nachdem ich auf 3.1 aktualliersiert habe.
Hast du denn inzwischen eine Lösung gefunden?

Gruß

 

[Kauabunga]

Hallo Hores!

Vielen Dank für deine Rückmeldung! Dachte echt schon ich wäre der einzige mit dem Problem.
Ne Lösung hab ich leider noch keine. Da ich das ganze eigendlich nicht oder eher selten brauche, hab ich schon mit dem Gedanken gespielt den OpenVPN Daemon über HTTP/PHP nur bei Bedarf zu starten. Wollte dazu das Skript WOL aus der Wiki als Vorlage benutzen. Da wird ja auch über PHP ein Systembefehl abgesetzt. Kam leider noch nicht dazu das ganze anzugehen.

Da ich wegen OpenVPN und der erforderlichen Statischen Route meinen Router auf DD-WRT umstellen musste, bin ich mir gar nicht mehr sicher ob ich OpenVPN noch brauch, bei DD-WRT einen PPTP-Server an Board hat. Das Gute ist, ich brauch kein Zertifikat zum anmelden.....das ist aber eigendlich auch wieder schlecht, wenn einer z.B. mit Keylogger meine Zugangsdaten abfängt. Weist ja nie so genau was die Hotels so alles in ihrem LAN verbaut haben...

 

[jahlives]

[FONT=monospace]
[/FONT]status openvpn-status.log

und was glaubst du macht diese Zeile? Die schreibt ein Log und das könnte gut der Grund sein, dass die Platten aufwachen ;-) Kommentiers mal aus und starte OpenVPN nochmals neu

 

[Kauabunga]

Wenn man den Wald vor lauter Bäumen nicht sieht...
Klar, du hast recht.

Die Datei openvpn-status.log wird jede Minute aktualisiert.

Das war allerdings nur die halbe Miete, weil die Platte imm ernoch nicht schlafen geht.
Mir ist aber im Zuge dessen aufgefallen, dass die datei ipp.txt alle 10 Minuten nen neuen Zeitstempel bekommt.
Denk das liegt an der Zeile

ifconfig-pool-persist ipp.txt

Ich kommentier mal aus und probier. Wenn ich diese nicht drin habe, bekommt dann jeder Client beim verbinden ne neue Ip zugewiesen?

 

[jahlives]

Jep dann kriegt jeder Client ne neue IP. Du kannst aber mittels dem ccd Verzeichnis und den Dateien darin die IP-Vergabe basierend auf dem Zertifikat steuern.

[B][B][FONT=monospace]
[/FONT][/B][/B]client-config-dir ccd

dann kannst du in /opt/etc/openvpn/ccd pro CN (CommonName) eine Datei anlegen. Die Datei muss genau so heissen wie der CN im Zertifikat des Clients. In dieser Datei kannst du dann ganz normale OpenVPN Anweisungen verwenden z.B. dem Client eine IP geben

ifconfig 10.8.0.3 255.255.255.0

Da man in diesen Clientdateien Anweisungen für OpenVPN verwenden kann, wird es auch möglich pro Client festzulegen, ob der gesamte Traffic via OpenVPN umgeleitet wird und gleich einen DNS Server festlegen

push "redirect-gateway def1"
push "dhcp-option DNS 10.8.0.1"

somit kann man in der Hauptkonfig auf den push des Gateways verzichten und nur bei bestimmten Clients den Traffic umleiten. Allerdings musst du unbedingt für alle deine Clients (CN) ein File anlegen. sonst schnappt sich ein Client (ohne Konfig) eine IP die eigentlich ein anderer Client in seinem Konfigfile hat (der aber gerade nicht mit OpenVPN verbunden ist). Dadurch dass du kein ipp.txt mehr hast kriegt ein Client ohne Konfig die erste freie IP im OpenVPN-Subnetz

 

[Kauabunga]

Vielen Dank für die Info.
Nach der Auskommentierung der Ifconfig-Anweisung ging die Platte tatsächlich nach 10 Minuten in den Spindown
Ist allerdings nach 1-2 Minuten wegen dem hier wieder erwacht

Apr 19 21:41:51 scemd: SCEMD: disk 1 wake up from hibernation
Apr 19 21:42:05 kernel: [34905.820000] [/etc/ld.so.cache] opened by pid 30204 [u:(/usr/syno/sbin/sshd), comm:(sshd)]

DS109> ps -A | grep 30204
30204 ?        00:00:00 sshd

Ich war nicht per SSH drauf. Kann es sein, dass das auch was von OpenVPN war? Da ist ja auch irgendwas von SSH mit drin....

 

[jahlives]

Hast du den ssh Port am Router weitergeleitet? Ich wüsste nicht wieso OpenVPN ssh nutzen sollte. Der nutzt ja die openssl Lib

 

[Kauabunga]

nein, der geht nicht durch den Router. Ich werds mal weiter beobachten ob es immer der selbe ist, oder ob es grad zufall war.

 

[jahlives]

Hast du ggf einen anderen client im LAN der via ssh die DS regelmässig abfragt?

 

[_TokTok_]

Jep dann kriegt jeder Client ne neue IP.

Ich hab die Erfahrung gemacht, dass man auch ohne CCD oder ifconfig die gleiche IP behält (bzw. wieder zugewiesen bekommt), zumindest solange der OpenVPN Server nicht neu gestartet wird

 

[jahlives]

Ich hab die Erfahrung gemacht, dass man auch ohne CCD oder ifconfig die gleiche IP behält (bzw. wieder zugewiesen bekommt), zumindest solange der OpenVPN Server nicht neu gestartet wird

Solange die IP nicht ein anderer zuvor unbekannter Client bekommen hat, ja ;-)

 

[Hores]

Morgen,

es scheint ja tatsächlich eine Lösung zu geben.

Könnt Ihr mir das bitte für Laien erklären, was ich tun muss, damit der Hibernation wieder funktioniert?

Vielen Dank.

 

[Kauabunga]

@jahlives: Habs heute mal im über den Tag debugt. Die Platte ist nicht mehr auf gewacht. Vielen Dank für deine Hilfe. Hab's halt nur nach dem Tutorial gemacht..kopieren ist halt nicht kapieren, jetzt wo ich's mal bei openvpn geziehlt nachgelesen hab ist es klar warum es nicht ging...Ich hab den Wiki Eintrag zu Hibernation Link dementsprechend ergänzt.

@Hores: Einfach in der Server-Config /opt/etc/openvpn/openvpn.conf die bei den Zeilen
ifconfig-pool-persist ipp.txt
status openvpn-status.log
auskommentieren.

Edit: Den eigentlichen OpenVPN Beitrag in der Wiki hab ich auch dementsprechend ergänzt link

 

[jahlives]

@Kauabunga
Danke für die ergänzung im Wiki, aber den Satz solltest du nochmals überarbeiten

Falls dies weiterhin gewünscht ist, sind diese beiden Zeilen auszukommentieren.

nicht statt weiterhin ;-)

Gruss

tobi

 

[_TokTok_]

Solange die IP nicht ein anderer zuvor unbekannter Client bekommen hat, ja ;-)

ja, ich glaube der client müsste zuvor tatsächlich noch nie im VPN gewesen sein. aber das ist eher gefährliches halbwissen meinerseits, bei mir hat das jedenfalls immer wunderbar auch so geklappt wobei da nicht wirklich häufig neue clients hinzukommen

 

[Kauabunga]

@Kauabunga
Danke für die ergänzung im Wiki, aber den Satz solltest du nochmals überarbeiten

nicht statt weiterhin ;-)

weiterhin, den Standby

Ich sehe ein dass der Satz etwas anfällig ist, hab ihn anderst fomuliert.

 

[jahlives]

weiterhin, den Standby

Aber wie kannst du weiterhin den Standby nutzen, wenn der ja eigentlich vorher gar nicht gefunzt hat?
So wie es jetzt steht ist es auf jeden Fall eindeutig was gemeint ist. Danke für die anpassung

Gruss

tobi