/var/efw/openvpn/settings nicht Reboot-fest

1. offizieller Beitrag

    Hallo zusammen,

    ich habe Endian Community 2.5.1 im Einsatz und migriere gerade die Regeln und VPN-Config einer alten Firewall (nicht Endian) auf die neue (die ist jetzt Endian^^).

    Ich habe meine openvpn.conf direkt und ins Endian-Template eingespielt, muss aber definitiv tun0 anstatt tap0 als Device verwenden.

    Ich habe es inzwischen geschafft, dass dieses Konstrukt funktioniert, sogar die IPTABLES-Regeln stimmen .... bis zum nächsten Neustart.
    Beim nächsten Neustart enthalten die IPTABLES-Regeln wieder tap0 anstatt tun0.
    Ursache ist womöglich diese Datei hier:
    /var/efw/openvpn/settings

    Hier steht standardmäßig als PURPLE_DEVICE tap0 drinnen. Wenn ich diese Datei anpasse und tap0 durch tun0 ersetze, ist diese Änderung nach einem Neustart der Firewall verschwunden. Ich habe bereits die Datei
    /usr/lib/efw/openvpn/default/settings
    angepasst, leider bringt dies jedoch nicht den gewünschten Erfolg.

    Ich habe auch schon versucht einen sed -i ... in die Init-Scripte der Endian-FW einzuhängen, der mir die Datei /var/efw/openvpn/settings nach dem Boot korrigiert, damit die IPTABLES-Regeln tun0 anstatt tap0 enthalten. Leider bringt das jedoch auch keinen Erfolg.

    Was muss ich also tun, damit tun0 Reboot-fest in der Datei /var/efw/openvpn/settings stehen bleibt?
    Ein Immutable-Bit kann ich leider nicht setzen, dazu fehlen die notwendigen Tools.

    Ich bin um jeden Hinweis dankbar!

    • Offizieller Beitrag

    Eigentlich sollte ja wenn man im UI den hacken entfernt "gebridget" was dann bei inaktiv bedeutet das ja geroutet wird,
    einfach mal probieren wie oben beschrieben,

    Danke für deine Hilfe.
    Die openvpn.conf und das Template dazu habe ich bereits abgeändert; leider werden dennoch IPTABLES-Regeln mit tap0 anstatt tun0 generiert, die ich dann anschließend manuell abändern/ergänzen muss.


    Zitat

    Eigentlich sollte ja wenn man im UI den hacken entfernt "gebridget" was dann bei inaktiv bedeutet das ja geroutet wird,
    einfach mal probieren wie oben beschrieben,


    Das ist bereits der Fall - der Haken ist entfernt.

    Wie gesagt: Ich glaube, dass die Ursache dafür das PURPLE_DEVICE=tap0 in /var/efw/openvpn/settings ist.
    Ich muss irgendwie erreichen, dass da auch nach einem Reboot tun0 drin steht.

    Gibt es einen Anhaltspunkt, welches Python-Script von Endian diese Datei bearbeitet?

    • Offizieller Beitrag

    also die Scripte welche die Config lesen/schreiben
    sind unter /home/http/cgi-bin/ im VPN Fall war die Datei glaube ich openvpn_server.cgi
    die läd u.a. noch andere Informationen nach.

    Guter Hinweis, diese Scripte kannte ich noch nicht. Leider habe ich es nicht geschafft das Script und die Stelle zu finden, welches die settings-Datei bezügl. PURPLE_DEVICE bearbeitet. Hast du eine Idee?

    Danke dir für deine Unterstützung. Ich bin gar nicht gewohnt, dass es so hilfsbereite Foren gibt ;)

    Ich denke das Script gefunden zu haben:
    /usr/lib/python2.4/site-packages/endian/restartscripts/openvpnjob.py
    Die Funktion get_tap() setzt explizit tap% und nicht tun%.

    Allerdings ist das Script in der Community-Version nur pre-compiled verfügbar (.pyc) :(

    Danke, lass gut sein :)
    Ich habe eine Appliance im Zugriff und sehe gerade, dass dort das Python-File als .py und lesbares Script rumliegt.
    Ich habe mir jedoch die Python-Datei jetzt von Source Forge geholt.

    Mal sehen, ob ich das rein gebastelt bekomme :)

    So, kurz etwas Feedback :)
    Wie bereits vermutet lag die Ursache in get_tap() im Script /usr/lib/python2.4/site-packages/endian/restartscripts/openvpnjob.py mit seiner Funktion get_tap().

    Meine Änderung hat zwar zur Folge, dass die Variable PURPLE_DEVICE ganz aus der Settings-Datei verschwindet, allerdings bleibt dies ohne Konsequenzen.
    Den Thread markiere ich jetzt als gelöst ^^

    Hallo Valentin

    Zitat von "valentin"

    So, kurz etwas Feedback :)
    Wie bereits vermutet lag die Ursache in get_tap() im Script /usr/lib/python2.4/site-packages/endian/restartscripts/openvpnjob.py mit seiner Funktion get_tap().

    Meine Änderung hat zwar zur Folge, dass die Variable PURPLE_DEVICE ganz aus der Settings-Datei verschwindet, allerdings bleibt dies ohne Konsequenzen.
    Den Thread markiere ich jetzt als gelöst ^^


    Eigenartigerweise wird diese Nachricht nicht im Thread angezeigt, erst wenn man eine Antwort verfasst. Und als gelöst ist er auch nicht markiert.
    Aber jetzt zu meiner Frage, da ich das gleiche Problem habe:
    Ich habe das Script nie gesehen, kann man es nicht schaffen PURPLE_DEVICE=tun0 zu setzten? Was meinst du genau mit "ohne Konsequenzen", hat's mit tap noch funktioniert oder nicht mehr?
    Was wird wohl passieren, wenn man das tun-Device tatsächlich anspricht, gibte es das dann auch?

    Grüße

    treviris

    Zitat

    Eigenartigerweise wird diese Nachricht nicht im Thread angezeigt, erst wenn man eine Antwort verfasst.


    Keine Ahnung wieso - wenn dich das stört solltest du mal einen Mod anschreiben.

    Zitat

    Und als gelöst ist er auch nicht markiert.


    Das ist er (siehe grüner Haken neben dem Thread).

    Zitat

    Ich habe das Script nie gesehen, kann man es nicht schaffen PURPLE_DEVICE=tun0 zu setzten? Was meinst du genau mit "ohne Konsequenzen", hat's mit tap noch funktioniert oder nicht mehr?
    Was wird wohl passieren, wenn man das tun-Device tatsächlich anspricht, gibte es das dann auch?


    Wenn du in der settings-Datei einfach PURPLE_DEVICE=tun0 einträgst, wird dieser Eintrag nach dem nächsten Reboot der Endian-FW überschrieben.
    Du musst leider noch viel mehr tun. Ich habe das Projektprotokoll dazu leider nicht da (ich bin gerade unterwegs), aber aus dem Kopf heraus waren es sieben Dateien, die ich angepasst habe. Darunter habe ich zudem diverse IPTABLES-Regeln gemischt, damit tun0 entsprechend auftaucht, wenn du iptables -L -n -v in der Shell eingibst.

    tun0 ist dann natürlich "da" und "ansprechbar".