[Frage] Wie kann man einen Freetz OpenVPN-Client am Besten möglichst ausfallsicher machen?

Sidebar Sidebar
Upgrade 3CX to v18 and get it hosted free!
A

Adsubia

Neuer User
Mitglied seit
29 Mai 2015
Beiträge
118
Punkte für Reaktionen
2
Punkte
18
Mein Freetz OpenVPN-Client befindet sich remote an einem Ort, wo nicht allzu oft Gelegenheit besteht "physikalisch" anwesend zu sein. Deswegen mache ich mir Gedanken darüber, wie man längere bzw. dauerhafte Ausfälle bis zum nächsten Vor-Ort-Besuch vermeiden kann. Ein Problem ist z. B. dass die Internetverbindung dort hin und wieder mal ausfällt - das kann im schlimmsten Fall bis zu mehreren Tagen anhalten. Das bedeutet, die Fritte wäre zwar an, aber eben offline und demzufolge würde der Tunnel zusammenbrechen. Stromausfälle kommen auch mal vor. Es kann beispielsweise auch mal passieren, dass der OpenVPN-Server mal eine Weile down ist - bspw. wenn OpenVPN auf eine neue Hardware umgezogen wird.

Ich habe leider wenig Erfahrung mit dem Reconnect-Verhalten von OpenVPN-Clients im Falle von Internet-, Strom- oder Serverausfall und inwieweit das damit zusammenhängt, wie lange so ein Ausfall andauert. Könnt ihr mir dazu etwas sagen?

Ich spiele mit dem Gedanken, einfach über eine Zeitschaltuhr der gesamten Anlage einmal täglich kurz den Saft zu entziehen, damit sie komplett neu hochfährt und sich neu verbinden muss, anstatt dass da permanent ein OpenVPN Dienst läuft, von dem ich nicht weiß, unter welchen Umständen er den Reconnect hinbekommt und unter welchen nicht. Alternativ käme natürlich für eine sauberere Wiedergeburt der Fritte auch ein Script mit CronJob infrage, damit sie sauber neugestartet wird.

Was haltet ihr von diesen Ideen und was würdet ihr mir raten, damit der Tunnel lange möglichst stabil läuft? Wenn er mal für ein paar Stunden down wäre, das wäre nicht so tragisch, aber wenn die Downtime Tage und Wochen oder sogar dauerhaft bis zum manuellen Neustart andauern würde, das wäre schon kritisch.
 
Zuletzt bearbeitet:
Ich musste in 3 Jahren mit diversen Stromausfällen und täglicher Zwangstrennung nie manuell eingreifen.
 
Ein Positivbeispiel an Ausfallsicherheit ohne extra etwas dazu getan zu haben - prima! Wärst du so lieb und würdest mir mal deine Konfigs posten (insbesondere die vom Client)? Dann hätte ich ein Beispiel, aus dem ich entnehmen kann, wie man das am Besten vernünftig konfiguriert (Polling Intervall etc.)...
 
Alles Standard. Posten geht gerade nicht, da ich im Ausland bin.
 
Was mir immer mal wieder (in den letzten Jahren) aufgefallen ist: Einen neustart des Openvpn Server (also des Dienstes auf den sich die Fritzboxen in meinem Fall verbinden) führt manchmal zu einem crash des Openvpn Clients auf der Box. Das ist in letzter Zeit aber sehr sehr sehr viel selteren geworden - und ich meine im vorbei-lesen im Trunk auch irgendwo was gelesen zu haben, dass das behoben sein sollte. Das wäre in deinem Fall natürlich dann echt unpraktisch.

Die Zeitschalt-Uhr ist natürlich eine relativ verlässliche Methode die Box zum Neustart zu bringen - ein cronjob funktioniert ja nur solange auch das System noch läuft (ehrlich gesagt kann ich mich aber glaub ich an keinen einfach so aufgetretenen Boxhänger erinnern wo sich die Box komplett ins Nirvana geballert hat und nicht über irgendeinen Watchdog automatisch neugestartet hätte). Ob das auf Dauer der Hardware/dem Netzteil gut tut - keine Ahnung.

Letzt bei nem Bekannten n lustiges Spiel gehabt: 7270 V2 lief ohne größere Probleme, hat er öfter auch mal kurz stromlos gemacht wenn irgendwas nicht ging oder seiner Meinung nach "gezickt" hat (ist für ihn einfachher als sich aufs Webinterface einzuloggen). Box ausgetauscht gegen 7490, lag einen halben Tag in der Ecke. Dann ist ihm eingefallen, dass er noch die MAC-Adressen von 2 Geräten nachschauen wollte. Box also wieder mit Strom versorgt - Reboot-Schleife. Ich kenn in dem Fall meist nur das Netzteil als den Übeltäter (mehrfach schon gehabt) und wir haben eins von ner anderen 7270 V2 von mir genommen: Reboot-Schleife. Alles mögliche probiert, die Box will nicht mehr und fiept von innen auch recht unangenehm wenn man mit dem Ohr rangeht. Ich hab die Box mitgenommen und noch einiges ausprobiert mit verschiedenen Netzteilen (zum Schluß ein recover um die Daten runterzulöschen): Recover kein Problem, booten aber schon. Ob das ganze von seinen dauernden Stromlos-machen kam keine Ahnung - ist in all den Jahren die erste die mit mir dem Fehlerbild unterkommt und bei der nicht das Netzteil daran schuld war.

TL;DR: Ob eine Zeitschaltuhr das richtige ist sollte man vielleicht vorher abklären, alternativ evtl. einen reboot cronjob einmal in der Nacht?
 
vice_pres schrieb:
Die Zeitschalt-Uhr ist natürlich eine relativ verlässliche Methode die Box zum Neustart zu bringen ... Ob das auf Dauer der Hardware/dem Netzteil gut tut - keine Ahnung.
...
alternativ evtl. einen reboot cronjob einmal in der Nacht?
Zum Vergrößern anklicken....

Ich sehe das ähnlich. Man kann durchaus recht bedenkenlos hin und wieder mal die Stromversorgung der Fritte kappen, aber eher nicht täglich ;) - da hätte ich rein intuitiv auch Bedenken. Das mit den OpenVPN-Client-Crashes passiert(e) ja - so wie ich dich verstehe - nur bei Neustart des Dienstes bei laufender Box. Ein Cronjob, der sie komplett neu startet, dürfte diesen Effekt ja nicht auslösen, wenn es diesen überhaupt noch geben sollte.

Das heißt also für mich nun: Irgendwo auf der Box ein Reboot-Script ablegen und das 1x täglich nachts über die crontab aufrufen, oder? Das sollte ja unter Freetz genauso funktionieren wie unter einem "normalen" Linux, oder?

Hinsichtlich der OpenVPN-Config im Allgemeinen habe ich mal gelesen, dass es Sinn machen kann beim Client "persist-tun" rauszunehmen und so wie auch beim Server ein keep-alive 10 120 reinzumachen. Habt ihr sowas gemacht? Standardmäßig gibt es beim Client kein keep-alive.

//Noch eine Frage ;) :
Einen Austausch der Hardware für den OpenVPN-Server, also den Server-Dienst auf ein anderes Gerät umziehen - das "überlebt" so ein Client doch auch, oder? Zur Konkretisierung meines Vorhabens: Der Server läuft derzeit auf einem Wandboard Quad und soll demnächst mal auf ein anderes Wandboard Quad umgezogen werden oder noch besser auf die Fritte am Server-Standort. Wenn ich dort bin, bin ich aber logischerweise nicht mehr an dem Ort, wo der Client läuft, der ja beide Netze permanent miteinander verbinden soll ;) und nun meine Fritte am Server-Standort remote mit Freetz zu flashen, das traue ich mich auch nicht wirklich :( ... Der Client sollte sich doch dann - spätestens nach dem Neustart durch den CronJob auch mit dem neuen OpenVPN-Server verbinden, sofern in der Fritte am Server-Standort das PortForwarding richtig angepasst worden ist, oder? Wie ist das eigentlich beim Trunk mittlerweile mit dem PortForwarding auf die Box selber (0.0.0.0) - es gibt da laut Wiki einen Patch, mit dem das direkt über die AVM GUI gehen soll. Ist der schon fest in den Trunk integriert oder muss man das vor dem Erstellen des Images noch selbst patchen?
 
Zuletzt bearbeitet:
Um antworten zu können musst du eingeloggt sein.

Zurzeit aktive Besucher

Gesamt: 664 (Mitglieder: 8, Gäste: 656)

Neueste Beiträge

Statistik des Forums

Themen
244,872
Beiträge
2,219,897
Mitglieder
371,593
Neuestes Mitglied
Häuslebauer_BW
Holen Sie sich 3CX - völlig kostenlos!
Verbinden Sie Ihr Team und Ihre Kunden Telefonie Livechat Videokonferenzen

Gehostet oder selbst-verwaltet. Für bis zu 10 Nutzer dauerhaft kostenlos. Keine Kreditkartendetails erforderlich. Ohne Risiko testen.

3CX
Für diese E-Mail-Adresse besteht bereits ein 3CX-Konto. Sie werden zum Kundenportal weitergeleitet, wo Sie sich anmelden oder Ihr Passwort zurücksetzen können, falls Sie dieses vergessen haben.
Ihr E-Mail-Adresse verifizieren

Ihr E-Mail-Adresse verifizieren

Wir haben Ihnen eine E-Mail geschickt. Klicken Sie auf die Schaltfläche im E-Mail-Text, um Ihre E-Mail-Adresse zu verifizieren – (Können Sie diese nicht finden können, dann überprüfen Sie Ihren Spam-Ordner).

IPPF im Überblick

Neueste Beiträge

Direktlinks Telefonanlage

Website-Sponsoren

3CX sponsor
KONTAKTIEREN SIE UNS BEI INTERESSE
| Style by ThemeHouse
XenPorta 2 PRO © Jason Axelrod of 8WAYRUN
Oben Unten
Zurück