[Berlin-wireless] community-tunnel via OpenVPN: 2 von3 Gateways offline?!?

So Aug 8 17:02:47 CEST 2021

Ich erinnere mich, dass vor einiger Zeit die Abschaltung von BBB-VPN (OpenVPN) 
hier über die Liste ging (auch weil des Root-Zertifikat auslief).

Abschaltung von Community-Tunnel Instanzen für OpenVPN ist mir nix gewußt. 
Macht natürlich Sinn ressourcenmäßig.

Dass ein Update auf Tunneldigger-basiertes VPN dieses OpenVPN spezifische 
Problem löst, überrascht mich völlig. Nur gibt es Gründe, warum dort noch 
OpenVPN im Einsatz ist.

Kernpunkt des Problems, durch diese nicht funktionierenden Gateways im DNS-
Eintrag, ist dass OpenVPN gern mal dauerhaft auf einer Adresse hängen bleibt 
und dadurch endlos mit Tunnelaufbau beschäftigt ist. 

DNS-Eintrag: 
Wenn ihr jetzt im Spalter nix grundlegendes geändert habt, nutzen die 
Tunneldigger-uplinks ja direkt die Hostnamen [a-f].tunnel.berlin.freifunk.net. 
Wodurch der RRDNS-eintrag "tunnel-gw.berlin.freifunk.net" nur für die OpenVPN-
variante relevant ist. Da die Liste für OpenVPN zu lang und für Tunneldigger 
unvollständig (und ungenutzt) ist, scheint es sinnvoll diese zu korrigieren.

Sven

Am Sonntag, 8. August 2021, 09:00:50 CEST schrieben Sie:
> Hallo Sven,
> 
> nach meinem Kentnisstand sollte das korrekt sein. Ich meine, dass Perry
> mal erwähnt hatte, das nur noch rund 25 Clients OpenVPN nutzten.
> 
> Das für 25 Clients keine drei Server laufen müssen, finde ich einleuchtend.
> 
> Tunneldigger wird jetzt schon seit Jahren benutzt.
> 
> Anstatt an der DNS-Liste zu basteln und damit alte Zombie-Router noch
> längere Zeit umhergeistern zu lassen, würde ich eher ein Update
> bevorzugen. Mit aktueller (Falter-)Firmware funktionieren die VPN-Tunnel
> super. Und es sind hunderte Sicherheitslücken im Kernel geschlossen worden.
> 
> Ein Update halte ich für die bessere Lösung.
> 
> Viele Grüße
> Martin
> 
> > Hallo,
> > 
> > ich hab hier noch einen remote Node der noch via OpenVPN den Usertraffic
> > wegschaufelt. Gelegentlich kommen mal Hinweise, dass dort manchmal ein
> > Netzzugang besteht.
> > 
> > Ich hab da heute mal nachgesehen:
> > In dere OpenVpn config steht "tunnel-gw.berlin.freifunk.net" als Host.
> > Diese Adresse löst via DNS auf in
> > 
> > ;; ANSWER SECTION:
> > tunnel-gw.berlin.freifunk.net. 3600 IN  A       46.4.104.30 (vm22.roellig-
> > it.de.)
> > tunnel-gw.berlin.freifunk.net. 3600 IN  A       5.9.81.145 (vm02.roellig-
> > it.de.)
> > tunnel-gw.berlin.freifunk.net. 3600 IN  A       217.197.83.193 (freifunk-
> > gw01.in-berlin.de.)
> > 
> > Hier scheint aber nur "freifunk-gw01.in-berlin.de" zu funktionieren.
> > "vm22.roellig-it.de" antwortet gar nicht auch eingehende UDP-pakete,
> > "vm02.roellig-it.de" sendet wenigstens ein "ICMP 5.9.81.145 udp port 1194
> > unreachable"
> > 
> > Sieht für mich so aus, als ob die "roellig-it" Maschinen entweder tot sind
> > oder OpenVPN nicht mehr anbieten.
> > 
> > Wie is da der Stand?
> > Kann man die DNS-liste entsprechend anpassen?
> > 
> > 
> > GRuss Sven