Täglicher Restart der OpenVPN-Clients nötig


  • Hallo,

    mein System läuft echt gut, bis auf die Tatsache das ich jetzt wieder (das war ohne Änderung am System schonmal so) täglich bei allen Clienten "ReStart" machen muss, sonst komme ich nicht ins Internet.
    OpenVPN.JPG

    Auch wenn ich nicht ins Internet komme sagt mir die Übersicht das alles OK ist, siehe diesen Scrennshot:
    Status-Gateways.JPG

    Die Vorhandenen Clienten sind über "SystemRoutingGateway Groups" über Tier1 bis Tier4 der Geschwindigkeit nach geordnet.

    Gibt´s einen Cronjob denn man so einstellen kann das alle Clienten zum Zeitpunkt XX:YY einem Restart unterzogen werden ?

    Oder habt ihr eine andere Idee wie ich das beheben kann ?


  • Was mir gerade auch noch auffällt:
    Wenn ein Gateway down ist, sollte dann nicht die Einstellung der Gatway-Groups greifen und das nächste Gateway übernehmen ?
    So wie hier eingestellt:
    Tier1-4.JPG

    Es war gerade Tier1-Gateway down und dann auch das Internet nicht erreichbar.

    Das Gatway einfach einem Neustart unterzogen und alles wieder OK. Aber ist dafür die Gateway-Group nicht da ? Um sowas abzufangen ?

    Gruß

  • LAYER 8 Moderator

    @dogfight76 said in Täglicher Restart der OpenVPN-Clients nötig:

    Was mir gerade auch noch auffällt:
    Wenn ein Gateway down ist, sollte dann nicht die Einstellung der Gatway-Groups greifen und das nächste Gateway übernehmen ?
    So wie hier eingestellt:
    Tier1-4.JPG

    Es war gerade Tier1-Gateway down und dann auch das Internet nicht erreichbar.

    Das Gatway einfach einem Neustart unterzogen und alles wieder OK. Aber ist dafür die Gateway-Group nicht da ? Um sowas abzufangen ?

    Gruß

    wenn dir Gateway Gruppe auch genutzt wird, ja. Aber wo hast du sie denn in Verwendung? Und wie?


  • Ich weiß nicht genau was du meinst ?

    Ich habe ja einen IP-Bereich unter "Firewall-Rules-LAN" dem Gateway "VPN_GW_GROUP" zugewiesen.

    Ich habe ja einen IP-Bereich unter "Firewall-Rules-LAN" dem Gateway "VPN_GW_GROUP" zugewiesen.
    Rules.JPG

    Das bedeutet ja das ich als z.b. meinem PC diese Daten habe um über VPN ins I-Net zu gehen:
    IP-PC.JPG

    IPv6 ist deaktiviert:

    IPv6.JPG

  • LAYER 8 Moderator

    @dogfight76 OK die .3 ist dann die Sense und du schickst das ganze /26er Subnetz via Failover Gateway raus. So weit so gut.

    Aber: hast du auch Outbound NAT Regeln, die darauf matchen?


  • @jegr said in Täglicher Restart der OpenVPN-Clients nötig:

    @dogfight76 OK die .3 ist dann die Sense und du schickst das ganze /26er Subnetz via Failover Gateway raus. So weit so gut.

    Aber: hast du auch Outbound NAT Regeln, die darauf matchen?

    Guten morgen,

    ja genau, die 192.168.178.3 ist der PC wo pfSense drauf läuft.

    Outbound habe ich und sehen so aus:
    Outbound_1.JPG

    Outbound_2.JPG

    Ist da etwas falsch ?


  • @jegr said in Täglicher Restart der OpenVPN-Clients nötig:

    @dogfight76 OK die .3 ist dann die Sense und du schickst das ganze /26er Subnetz via Failover Gateway raus. So weit so gut.

    Aber: hast du auch Outbound NAT Regeln, die darauf matchen?

    Hallo,

    magst du dir das nochmal ansehen ?

    Oder jeder andere wenn ihm etwas auffällt, danke.

    Gruß

  • LAYER 8 Moderator

    @dogfight76 @dogfight76 Sieht zumindest nicht verkehrt aus. Ich wollte nur sicherstellen, dass es auch NAT Regeln gibt, die den Verkehr rauslassen für den Fall eines Gateway Switches.

    Die Frage ist auch WAS genau down war. Du sagst Tier1 GW war down. Heißt ja aber noch nicht, dass NUR das T1 GW down war, es kann auch sein, dass dein ganzes Internet kurz weg war, aber durch Timing Unterschiede eben erst das T1 GW weg war und die anderen "noch" erreichbar (weil die noch nicht auf down gesetzt wurden.

    Ohne Logs und sonstiges kann man da nur raten. Zumal du die Remote GWs alle "zensiert" hast was unnötig ist. 10.xer Adressen auszugrauen ist quatsch, die kann eh keiner erreichen. Und da ich in der Übersicht aber mehrere VPNs sehe, die theoretisch alle im gleichen Subnetz liegen je nachdem was NordVPN als GW zurückliefert, wäre es kein Wunder, wenn eines down geht und dann mehrere wegreißt weil das Routing so nicht klappt.


  • @jegr
    Danke schonmal.

    Ok, die Remote-GW haben alle unterschiedliche 10.xer Adressen:
    Gateways.JPG

    Es war zum Beispiel das Tier3 GW down (roter Pfeil nach unten) und ich kam nicht mehr ins Internet. Obwohl ich dachte das dann ein anderes GW in der GW-Group das dann übernimmt.

    Erst wenn ich das GW welches down war manuell neu gestartet habe konnte ich wieder ins Internet.

    Gruß

  • LAYER 8 Moderator

    @dogfight76 Das kann ich so von der Beschreibung her eben leider kaum nachvollziehen. Das wäre schon schöner, wenn man zu dem Zeitpunkt dann mal Screenshots bzw. Logs/Einsicht in alle entsprechenden Komponenten hat.

    Wenn T3 down ist, T1 oder T2 aber noch da, sollte das überhaupt keinen Impact haben, weil es nicht genutzt wird. Hängt dann aber auch davon ab, wie die GW Gruppe konfiguriert ist etc.
    Außerdem was als Default GW eingetragen ist und wie bspw. DNS realisiert wird. "Es geht kein Internet", könnte dann auch schlicht sein, dass dann dein DNS nicht mehr funktioniert hat. Da du als GW Monitors für alle Verbindungen wild alle möglichen DNSe eingetragen hast, geht der dann in dem Fall einfach mit down. Daher müsste man dann auch die DNS Settings in System/General und den DNS Resolver mal anschauen, wie das alles konfiguriert ist.
    Da greift sonst einfach zu viel ineinander.

    Zumal ich mich jetzt wundere warum du überall DNSe eingetragen hast. Wenn doch alle Gateways hier vorgeblich andere IPs sind und sich nicht überschneiden müsste das doch auch ohne gehen? Und wie sieht die Routing Tabelle damit aus? Ziehst du Routen oder ignorierst du die alle?


  • @jegr
    Ok, die letzten Tage passierte es nicht. Aber ich kann ja trotzdem soweit alles zeigen:

    Routing und "default GW"
    Routing.JPG

    Sollte bei "default GW IPV4" die Gateway-Gruppe ausgewählt werden ?

    Und hier die DNS-Resolver Einstellungen:
    Resolver1.JPG

    Resolver2.JPG

    Gibt es da Verbesserung bedarf ?
    Und wie meinst du das mit "müsste ohne DNS-Einstellungen laufen" ??

    Gruß

  • LAYER 8 Moderator

    @dogfight76 Urks. Also

    1. Default Gateways: Stell die nicht auf Automatik, sondern auf das Default GW über das die FW raus soll. Wahrscheinlich WAN_DHCP nehme ich an, dito mit dem IPv6. Das auf eine GW Gruppe zustellen, die über VPN rausgeht wäre quatsch, denn wenn die VPNs down sind geht deine komplette Kiste nicht mehr. Macht wenig Sinn.

    2. Der Resolver resolved nicht sondern forwarded. Warum? Und wohin? Was ist dazu bei System / General eingetragen? Und warum wurde dann DNSSEC abgeschaltet?

    3. DHCP leases im Resolver registrieren: Nope. Das sollte aus. Das heißt sonst bei jedem Client, der sich per DHCP nen Lease holt wird jedes Mal der DNS durchgedübelt und neu gestartet. Doof. Static DHCP Leases sind OK denn die werden beim Start eingelesen oder wenn eines verändert wird. Macht man normalerweise nicht so oft.

    Und wie meinst du das mit "müsste ohne DNS-Einstellungen laufen" ??

    Wo hab ich was gesagt? Verstehe ich gerade nicht?


  • @jegr

    Hallo,

    habe mal versucht deine Hinweise umzusetzen:
    dns1.JPG

    dns2.JPG

    Zu Punkt 2. finde ich nichts unter "General" was ich auf deinen Punkt beziehen kann. Was meinst du:
    generel1.JPG
    generel2.JPG
    generel3.JPG

    So sollte ich jetzt dann anonym über VPN im Internet unterwegs sein, korrekt ??


  • Warum nutzt du überhaupt den DNS Forwarding Mode?
    Hat es mit dem Resolver inkl. Cache und Prefetch nicht geklappt?

    Warum trägst du selber DNS Server ein, lässt diese aber dann wiederum vom WAN Int überschreiben?

    Zum Thema Anonym im Netz.
    Der VPN Anbieter weiß jetzt was du machst, Cloudflare auch, dafür dein Provider nicht mehr.

    Damit du wirklich unerkannt unterwegs bist, musst du auch alle Anfragen die raus gehen mit Zufallsdaten auffüllen, sonst kann man dich anhand der Paketgröße schon mal verflogen.

  • LAYER 8 Moderator

    @dogfight76 Mach mal bitte das Popup zu in System / General und zeige einfach nur die Liste der DNSe die eingetragen sind und ob dahinter GWs ausgewählt sind.

    Das ganze Thema von wegen "anonym unterwegs" sein ist Mumpitz. Wenn man seinem Provider nicht traut, den man fürs Traffic schieben bezahlt und der im gleichen Land sitzt und entsprechende Auflagen hat aber dafür einem VPN Dude aus dem Ausland, dem man viel zu wenig Geld für Dienste hinwirft und dann alles was man hat darüber routet - macht die Rechnung selbst. Ich habs schon mehrfach gesagt, wenn ich ein nation-state-attacker wäre der Bock auf Daten hat, wäre die einfachste Methode aktuell nen simplen neuen coolen hippen ultra-secure VPN Dienst aufzumachen, mit Marketing und Influencern um mich zu werfen und dann die ganzen Daten abzugreifen. :)


  • @jegr said in Täglicher Restart der OpenVPN-Clients nötig:

    wenn ich ein nation-state-attacker wäre der Bock auf Daten hat, wäre die einfachste Methode aktuell nen simplen neuen coolen hippen ultra-secure VPN Dienst aufzumachen

    🤣 👍


  • @jegr

    1. verstehe nicht was du meinst mit "anonym unterwegs" sein ist Mumpitz"
      Warum ist das Mumpitz ? Wenn ich etwas aus dem I-Net lade und es niemand zu mir zurück verfolgen soll ist doch VPN die Wahl, oder ??

    Und hier der Screen "System/General"
    dns.JPG


  • @nocling said in Täglicher Restart der OpenVPN-Clients nötig:

    Warum nutzt du überhaupt den DNS Forwarding Mode?
    Hat es mit dem Resolver inkl. Cache und Prefetch nicht geklappt?

    Warum trägst du selber DNS Server ein, lässt diese aber dann wiederum vom WAN Int überschreiben?

    Zum Thema Anonym im Netz.
    Der VPN Anbieter weiß jetzt was du machst, Cloudflare auch, dafür dein Provider nicht mehr.

    Damit du wirklich unerkannt unterwegs bist, musst du auch alle Anfragen die raus gehen mit Zufallsdaten auffüllen, sonst kann man dich anhand der Paketgröße schon mal verflogen.

    Das mit den DNS-Servern eintragen wurde mir mal empfohlen.
    Wie wäre denn die beste Einstellung zu dem Thema ?

    Anfrage mit Zufallsdaten füllen ? Das lese ich zum ersten Mal, ist das überhaupt machbar und praktikabel ?

    Gruß

  • LAYER 8 Moderator

    @dogfight76 said in Täglicher Restart der OpenVPN-Clients nötig:

    @jegr

    1. verstehe nicht was du meinst mit "anonym unterwegs" sein ist Mumpitz"
      Warum ist das Mumpitz ? Wenn ich etwas aus dem I-Net lade und es niemand zu mir zurück verfolgen soll ist doch VPN die Wahl, oder ??

    Und hier der Screen "System/General"
    dns.JPG

    Nur weil man ein VPN benutzt heißt das nicht zwangsläufig, dass man nicht aufspürbar ist oder anonym. Es gibt heute genug andere Methoden die zusätzlich greifen um einen Client unabhängig von seiner IP zu identifieren. Da reicht schon wenn du ALLES was du hast übers VPN jagst, dass du gleichzeitig mit der gleichen "anonymen" IP bei deinem Mailprovider Mails abholst. Und schon kann man bei entsprechendem Verlangen und Auskunftswillen mit Metadaten Rückschlüsse ziehen. Zudem entschlüsselt der VPN Provider alles. Das reicht im dümmsten Fall da einen Mitarbeiter zu bestechen, dann sehe ich auch alles was ich will. Es ist eben die Frage WARUM ich das ganze mache und welchen Zweck ich damit verfolge. 100% Anonym sein im Internet? Nope. Dann muss man sich GANZ anders verhalten. Und dann fallen auch mind. 70-80% Dienste weg, die man so gern convenient nutzt.
    Daher Mumpitz. Wenn du Anforderungen wie ein Whistleblower hast (bspw.) kannst du dein VPN wegwerfen. Zusammen mit dem Computer. Und wenns ansonsten "nur" damit geht, irgendwelchen komischen Kram runterzuladen, der einem nicht gehört (wieder bspw.), dann kann man an der Stelle auch einfach nur hoffen nicht aufzufallen. Denn wenn das Verlangen groß genug ist, jemand zu tracken, ist die IP das letzte Problem das du hast. Da sind vorher ganz andere Mechanismen im Spiel. Telemetrie und Fingerprinting des Browsers. Cookie Zugriff. Session Calling. Social Engineering.

    @dogfight76 said in Täglicher Restart der OpenVPN-Clients nötig:

    Und hier der Screen "System/General"

    Was ist die 198.18.0.1? Die ist aus einem speziellen Block der nicht vergeben/genutzt sein dürfte. 198.18.0.0/15 ist IANA-Special-Use_Benchmarking. Wo kommt die her?

    Ansonsten macht dir zumindest eine Einstellung hier dein VPN kaputt oder umgekehrt. Du darfst keine IPs als Monitoring Gateway für andere Interfaces eintragen, die hier bereits angegeben sind. Du nutzt hier 1.0.0.1 als GW WAN. Hast aber beim VPN-NL7xx auch die 1.0.0.1 konfiguriert. Das kann gar nicht gehen, denn entweder er routet die IP übers WAN oder übers VPN. Zwei geht nicht.


  • Vor Jahren ist eine Darknet Plattform hoch genommen worden, hat lange gedauert, weil der Admin über das Tor Netzwerk gearbeitet hat und alle Anfragen an das Forum mit Zufallsdaten auf die gleiche Größe gebracht wurden.

    Und trotzdem hat man ihn finden können.

    Wenn du wirklich unerkannt im Internet unterwegs sein willst, musst du extrem viel Auffand betreiben.

    Normale Webseiten unterstützen so eine Funktion nicht, auch die Sharehoste von denen du das Zeugs runter lädst nicht.

    Dann frage dich, wo kommt dein VPN Anbieter her, gilt hier die DSGVO oder unterliegt er anderer Rechtslage?
    Woher weißt du das hier nichts logged wird?
    Hast du ein Audit durchgeführt oder steht es im Prospekt?

    Und gerade VPN Anbieter genau wie Tor Knoten werden genauer überwacht. Weil sehr viele die nichts gutes im Schilde führen, so denken wie du, nimmst VPN bist untergetaucht im Web.


  • @jegr said in Täglicher Restart der OpenVPN-Clients nötig:

    Was ist die 198.18.0.1? Die ist aus einem speziellen Block der nicht vergeben/genutzt sein dürfte. 198.18.0.0/15 ist IANA-Special-Use_Benchmarking. Wo kommt die her?
    Ansonsten macht dir zumindest eine Einstellung hier dein VPN kaputt oder umgekehrt. Du darfst keine IPs als Monitoring Gateway für andere Interfaces eintragen, die hier bereits angegeben sind. Du nutzt hier 1.0.0.1 als GW WAN. Hast aber beim VPN-NL7xx auch die 1.0.0.1 konfiguriert. Das kann gar nicht gehen, denn entweder er routet die IP übers WAN oder übers VPN. Zwei geht nicht.

    Danke für die ausführliche Antwort.

    Wo die 198.18.0.1 herkommt weiß ich nicht. Habe ich mal gelöscht.

    Und das mit den DNS-Einstellungen habe ich mir "zusammengesucht" und eingetragen.
    Was sollte ich ändern ?

    1. die Monitor-IP unter "System-Routing-Gateways"
      oder
    2. die DNS-Server unter "System-General Setup"

    Und was trägt man da dann ein ? Die DNS-Server habe ich mir aus dem I-Net gesucht. Wie z.b. die beiden IPV4-DNS Server von Cloudflare mit 1.1.1.1 und 1.0.0.1

    Gruß und vielen dank für deine nette Hilfe !!!!


  • @nocling
    Ok, verstehe ! Anonym geht nicht wirklich !
    Aber so ein VPN erhöht die Sicherheit etwas, oder anders rum: Für ein bisschen downloaden wird der Aufwand einen zu finden etwas erhöht. Richtig ?


  • Kommt drauf an wer den VPN Dienst betreibt.

    Ggf. ist das ja wie JeGr sagte, eine Tochter, der Tochter des Neffen der Cousine des Schwagers der NSA oder GVU.
    Dann lieferst du denen deinen Kopf frei Haus😂

    Ich nutze die DNS die ich von meinem Provider erhalte.

    Google weiß ja schon was ich wann gesucht habe, die brauchen dann nicht auch noch jede einzelne DNS Abfrage von mir Archivieren.
    Wobei das ggf. praktisch ist, wenn ich die voll indiziert durchsuchen könnte, sollte ich mal wieder ein Lesezeichen vergessen haben zu setzen.

    Oder ich vor lauter Taps den richtigen nicht mehr wieder finde.

    Hinterfrage einfach, warum jemand für 3-5€ im Monat deinen ganzen Datenverkehr bei sich durch ein Monster AES Device jagen sollte ohne dann daran ein Interesse zu haben.
    In Zeiten von Big Data?
    Der dann ggf. noch im Ausland sitzt und unter Recht von Staat xyz steht?

    Da vertraue ich lieber meinem Provider der sich an die DSGVO halten muss.