Ticket #19 (closed Fehler: Erledigt)
IPCop Update auf 1.4.21 macht OpenVPN unbenutzbar
| Reported by: | fsch | Owned by: | tschmitt |
|---|---|---|---|
| Priority: | critical | Milestone: | 4.0.2 |
| Component: | IPCop | Version: | |
| Keywords: | Cc: | salm@…, walter@…, jochen_rupp@… |
Description
Nach dem Update auf IPCop 1.4.21 kann man trotz erfolgreichen Verbindungsaufbaus keine Daten via OpenVPN mehr austauschen:
- Kein Ping:
ping 10.16.1.1
PING 10.16.1.1 (10.16.1.1) 56(84) bytes of data.
From 172.16.18.1 icmp_seq=1 Destination Port Unreachable
From 172.16.18.1 icmp_seq=2 Destination Port Unreachable
- Keine Mounts:
mount error 111 = Connection refused
Refer to the mount.cifs(8) manual page (e.g.man mount.cifs)
Reproduziert am AEG Reutlingen und in der VM-Schulungsumgebung.
Change History
comment:2 Changed 3 years ago by fsch
Das Problem tritt erst nach dem empfohlenen Reboot auf, aber auch wenn man den alten Kernel bootet.
comment:3 Changed 3 years ago by fsch
Ein direktes Update auf zerina-0.9.7a14 behebt das Problem (nach Anpassung des install Skripts):
- Getestet: Neues Zertifikat herunterladen in SK
- Freischalten des Zertifikats im COP
- linuxmuster --deactivate/--activate/--show/--create/--purge
Fazit: Sieht nicht schlecht aus, evtl. ist es am einfachsten auf zerina 0.9.7a14 upzudaten - am AEG hab ich das der Not gehorchend jetzt einfach mal gemacht.
comment:4 Changed 3 years ago by tschmitt
- Owner set to tschmitt
- Status changed from new to assigned
- Milestone set to 4.0.2
Konnte das heute auch nachvollziehen. Seltsam nur, dass Zerina im IPCop-Forum als zu 1.4.21 kompatibel gemeldet wird. -> http://www.ipcop-forum.de/forum/viewtopic.php?f=28&t=21806
Abgesehen von dem log.dat-Bug (wird vom IPCop-Update überschrieben). Aber dafür gibts einen Workaround.
Komme vor Freitag nicht dazu mir das genauer anzuschauen.
Sehr ungern würde ich auf die Alpha-Version von Zerina ausweichen.
comment:6 Changed 3 years ago by tschmitt
- Cc salm@…, walter@…, jochen_rupp@… added
Paket liegt jetzt in unstable.
comment:7 Changed 3 years ago by tschmitt
Fehler gefunden: geänderte Reihenfolge der Regeln in rc.firewall.local.
Das BOT-Update schiebt seine Regeln wieder an den Anfang. Das ist schlecht für OpenVPN. Dessen Regeln müssen zuerst angelegt werden.
Unter "start" muss /etc/rc.d/rc.firewall.local so aussehen, damit OpenVPN wieder funktioniert:
case "$1" in
start)
## add your 'start' rules here
#Added for zerina start - BEGIN
/usr/local/bin/openvpnctrl --create-chains-and-rules
#Added for zerina start - END
#linuxmuster: Added for automatically root certificate creation start - BEGIN
[ -f /var/ipcop/ovpn/ca/dh1024.pem ] || /var/linuxmuster/create-ovpn-certs
#linuxmuster: Added for automatically root certificate creation start - END
#linuxmuster: Added for transp. advproxy on tun0 start - BEGIN
/sbin/iptables -t nat -A CUSTOMPREROUTING -p tcp -i tun0 --dport 80 -j REDIRECT --to 800
#linuxmuster: Added for transp. advproxy on tun0 start - END
#Added for BlockOutTraffic start - BEGIN
/sbin/iptables -N BOT_INPUT
/sbin/iptables -N BOT_FORWARD
/sbin/iptables -A CUSTOMINPUT -j BOT_INPUT
/sbin/iptables -A CUSTOMFORWARD -j BOT_FORWARD
/usr/local/bin/setfwrules
#Added for BlockOutTraffic start - END
;;
Nach der Änderung muss der IPCop leider rebootet werden.
comment:8 Changed 3 years ago by tschmitt
BTW, habe hier http://lml.linuxmuster.net/trac/ticket/14 darauf hingewiesen, dass BOT beim Upgrade seine Regeln an den Anfang schiebt.
Weitere Erkenntnisse: