[Berlin-wireless] vpn03 geht nach einer Weile nicht mehr ...

Philipp Borgers borgers
Di Okt 15 16:41:47 CEST 2013 

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

On 15.10.2013 15:17, Sven-Ola Tuecke wrote:
> Mmhtja. Ein gewisses DHCP-Chaos wird es woanders auch geben.
> Folgende Dinge sollten sein:
> 
> a) IP-Adressen für Server können sich in den nächsten Jahren
> ändern. Bei unseren Freifunk Provider-unabhängigen-IPv4s eher
> unwahrscheinlich, aber bei den Backup-Server(n) durchaus möglich.

Ich wäre dafür, dass wir hostnames nutzen anstatt feste IPs. Zur Zeit
benutzen wir in der PBerg-Firmware IPs. Siehe:

https://github.com/freifunk/packages-pberg/blob/master/utils/luci-app-ffwizard-pberg/uci-defaults/device-defaults#L46


> Mir schwebt etwas vor, dass "vpn03*.berlin.freifunk.net" per DNS
> abfragt und in die /etc/hosts verewigt für den Fall, dass der
> DNS-Server mal keine Lust hat. Update der /etc/hosts, wenn das DNS
> eine andere Nummer herausrückt. Kein Update wenn DNS-Error. Vorgabe
> wäre der heutige Stand. Ort: dhcp-bind an WAN oder OpenVpn-Start.
> Note: der lokale dnsmasq fragt /etc/hosts mit ab, also keine
> Selbstbefragung machen sondern "nslookup 8.8.8.8" o.ä

Hier komme ich nicht mehr mit. Welcher DNS-Server soll mal keine Lust
haben? Ich wäre dafür, dass wir einen DNS-Server maintainen der immer
Lust hat und nicht noch ein Script einbauen, dass die Komplexität
erhöht. Wie sieht unsere DNS-Infrastruktur denn aus? Vielleicht kann
man da gleich mal hinterfragen warum Google in der PBerg-Firmware als
DNS an anderen Stellen eingetragen ist.

> b) Möglicherweise kann dem udhcp beigebracht werden, bei
> DHCP-Renew zuerst gezielt beim vorigen DHCP-Server nachzufragen.
> Das würde jedenfalls ein "NAK" von dritten DHCP-Servern vorbeugen.
> In Folge gäbe es kein Rauf+Runterfahren des WAN-Interfaces. Und
> damit auch keine kurze Pause (15s - 30s Hupps) während die
> (hotplug/netifd-) Scripts laufen. @JuergeN: die ungewöhlich kurzen
> 10min. Leasetime für's Drahtnetz triggern das natürlich ziemlich
> häufig.
> 
> c) Die /etc/udhcpc.user-Mechanik hat sich bewährt. Hilfreich u.a.
> auch wenn jemand 2 OpenVpn-Server gleichzeitig benutzen will (vpn03
> und bbb-vpn). Würde es jedenfalls weiter verwenden wollen.

Könnten wir nochmal klären wofür wir das genau brauchen? Ist mir nicht
100% klar.

> d) Persist-Tun ist Quatsch, also 'raus damit. Dafür gerne prüfen ob
> die Kiste bei VPN-Ausfall weder HNA0/0 ankündigt noch schwarze
> Löcher baut. Wenn Inet einfach über das angeschlossene DSL
> 'rauspurzelt wird es ein ziemliches Hallo geben -> Testen. Gerne
> auch für IPv6 ;-)

Ich verstehe den Zusammenhang mit der persist-tun Option nicht ganz.

> e) Die VPN-Firmware-Variante von Patrick ist prima. a) b) c) da 
> einbauen. Die /etc/udhcpc.user-Mechanik gehört hier aber nach 
> /lib/netif/dhcp.default
> 
> f) Für Leute mit selbstgebratenen Firmwares hat sich mein kleiner 
> Installer bewährt. a) b) c) da einbauen mach ich da noch.
> 
> g) Das Wiki anpassen nicht vergessen. Zusatzaufgabe: Backup-Vpn03
> für Uralt-FFW (WRT54G) irgendwie in das nvram quetschen. Auch meine
> Task.
> 
> Alles zu seiner Zeit // Sven-Ola
> 
> Am 10/15/2013 02:28 PM, schrieb Juergen Neumann:
>> Wie konsolidieren wir denn jetzt die vielen unterschiedlichen
>> Sachen:
>> 
>> 1. Den backup-vpn03 mit aufnehmen. 2. Das /etc/udhcpc.user script
>> einbauen. 3. ggf. persist-tun aus der vpn.conf entfernen. 4.
>> Welche Firmware wir jetzt für VPN03 nehmen ...
> 
> 
> 
> 
> _______________________________________________ Berlin mailing
> list Berlin at berlin.freifunk.net 
> http://lists.berlin.freifunk.net/cgi-bin/mailman/listinfo/berlin
> 

-----BEGIN PGP SIGNATURE-----
Version: GnuPG v2.0.22 (GNU/Linux)
Comment: Using GnuPG with Thunderbird - http://www.enigmail.net/

iQIcBAEBAgAGBQJSXVQrAAoJEFUqJM/vAMbxPKwP/j14WrbjTVg4jSmZgwlA4qrP
FOVqeUH39B99RkHFNnPuq3L9zQbP51keZlTycuIqM0D8WF35L8U6YMXSB5asUuD6
wMkTf2O7fCAfT3K0G1L9USjARlm3X2HLDSZKErZtT2h72ubzcTMuq55OAuYdUH7U
tC1c9Z1Xtejv1bcmXFxiDl3PCkT1PYPZ4sY9U9nCm+cP4Ho1ycz9Vnt/AY9hesgn
g2bMj0FyAlVtDHIZaB8jD9nx5vlX/afMXJ57rUfDQijTd6+hGRN3UVTNh45NIZzK
HOZ4HSj+2tG/1gT7OcL1SWt5HXAjQLlzBruQke7mkP8lZWTYlzzRWM/+wTSFf5Fr
IktE7ZEoStRivVZ39X0/40cnVq3rWSEYUGyXJM5OOGD75jLJCxz9pAmKYecmBCTE
V/BtSWGmFEGvqlSskso2isFdpIyRbdykV0tJiSYhhOXOGo2aDNyedG++AFbuwzdg
wCZ9Naq95NXG2S5eeSTe34q5CBzfLbd5VT7wVLPuK9PLdtthejxtMqF6bX9vz+MF
rWTwjceo9UqWhk0VT2FRT7VK1R4P+aEHWNy9v6Ky6sQ8wFN56dAN8Bqgsv+rF7/T
N1u3C+IeARzYbvwxWi+FyPlgAZAG5YmGdSSGNIIAdpS0JnreVXUHw0BgW4yn3u3e
c8K3YY0C3oxYcuJBI7/P
=FIL5
-----END PGP SIGNATURE-----

Mehr Informationen über die Mailingliste Berlin