Failban Probleme

[Gelöschtes Mitglied 136430]

Hallo zusammen,

werde hier langsam verrückt.
Ich weiß nicht genau ob das ein zusammenhang hat, aber seit dem ich meinen Server über VPN laufen lassen (OpenVPN),
muss ich am Tag minimum 6-7x ein paar Clients von der Failban löschen. Das war vor ein paar Wochen noch, noch nie der fall. Nur wenn wirklich jemand versucht hat mit falsche Daten reinzukommen oder so.

Kann das am VPN liegen?
Das komische was mir aufgefallen ist, das in der Failban nicht mehr der Username steht, sondern unknow.

Anonsten habe ich nichts großartiges an meinem Server eingestellt. Das VPN Tunnel am Server wird 2x am Tag neugestartet sonst nichts. Die Failban Probleme kommen aber an egal welche Uhrzeiten. Manche Clients berichten mir z.B die schauen gerade irgendwas an. Aufeinmal wirds dunkel und der ist bei mir als unknow in der Failban! Ich habe die Sleep Zeiten sonst noch bisschen runter geschraubt, ansonsten habe ich nicht viel geändert gehabt.

Hier meine aktuelle Configs:

failbantime = 1440
failbancount = 3
sleep = 120

Und alle und das habe ich schon seit Jahren so ohne Probleme, alle in der Oscam.user haben uniq = 3

Ich selbst z.B bin noch nie in der Failban gelandet (meine Line läuft auch über die Dyndns!)

Edit: Bitte nicht falsch verstehen, wenn ein User im Sleep Modus gehen nach 2 Stunden, landet nicht gleich in der Failban wenn er gleich umschaltet!)
Edit2: Vielleicht noch anmerken, mit einer meiner Sharepartner z.B kann ich mich seit ich VPN am laufen habe, nicht mehr verbinden, werder kann ich mich verbinden noch kann er sich zu mir verbinden. Haben zig male schon die Lines gewechselt ohne erfolg. Mit allen anderen gehts nur mit dem nicht.
Bekomme so ständig nur solche meldungen:

Spoiler

Du musst dich Anmelden oder Registrieren um diesen Inhalt sichtbar zu machen!

EDIT: Am VPN Liegt das nicht, habe es komplett ausgeschalten. Fehler bleibt!

 

[hwmmc]

AW: Failban Probleme seit VPN

Du solltest mal deinen failbancount höher wählen ca. 10
und beim CCcam-Protocol mind. recv_timeout = 2000 machen.

 

[fidero85]

AW: Failban Probleme seit VPN

Ohne weitere Detailinfos über die OpenVPN-Konfig wird man dir hier wenig weiterhelfen können. Wenn du VPN weglässt und alles gut funktioniert ist es auch kein Oscam-Problem.
<Glaskugelmodus>
Hast du bei den Usern unter hostname= irgendetwas eingetragen? Oder bei deinem Sharepartner? Könnte mir noch vorstellen dass durch ein nicht sauber konfiguriertes VPN die Namensauflösung nicht sauber funktioniert und daher die refused rühren.
</Glaskugel>

 

[Gelöschtes Mitglied 136430]

AW: Failban Probleme seit VPN

So, ich habe mal Testweise gestern, in meiner crontab, das automatische neustart vom VPN Tunnel deaktiviert. Und siehe da, heute kein einziges mal ein problem.

Lag wahrscheinlich immer daran wenn er den VPN Tunnel neugestartet hat dann sind die irgendwie in der Failban reingekommen.
Ich hab das jetzt mal wieder in der Crontab hinzugefügt und @hwmmc mal das was du geschrieben hast verändert bzw. hinzugefügt, mal schauen wie sich das verhält.

@fidero85: Nein hostname, habe ich weder bei user noch in den Servern eingegeben!

 

[fidero85]

AW: Failban Probleme seit VPN

Ok.
Was war denn der Hintergrund dieses geplanten Neustartes? OpenVPN kennt ja auch 'persistent', damit würde bei evtl. Verbindungsabbruch automatisch wieder neu verbunden werden.

 

[Gelöschtes Mitglied 136430]

AW: Failban Probleme seit VPN

Mir wurde von nem anderen Mod Kollege gesagt als er mir das VPN eingerichtet hat, das man das in der Crontab hinzufügt, damit das VPN Tunnel 1-2x Tag neu startet, weil der anscheinend ab und an mal die verbindung verliert oder so.
Ich hab das jetzt erstmals weg gemacht! Mal schauen ob es besser wird.

Momentan sehen meine Configs so aus:

Spoiler

Du musst dich Anmelden oder Registrieren um diesen Inhalt sichtbar zu machen!

Die User sind alle so angeschlossen:

Spoiler

Du musst dich Anmelden oder Registrieren um diesen Inhalt sichtbar zu machen!

EXT. Server sind so alle angeschlossen:

Spoiler

Du musst dich Anmelden oder Registrieren um diesen Inhalt sichtbar zu machen!

Und mein Openvpn.conf sieht so aus:

Spoiler

Du musst dich Anmelden oder Registrieren um diesen Inhalt sichtbar zu machen!

Und wie geschrieben, in der Crontab habe ich mal das automatische vpn restart weg gemacht,
die sah so aus:

Spoiler

Du musst dich Anmelden oder Registrieren um diesen Inhalt sichtbar zu machen!

Edit:

Jetzt habe ich grad das aus der Crontab weg gemacht. Komplett Server neu gestartet und schon wieder landet der gleiche in der Failban!

 

[fidero85]

AW: Failban Probleme seit VPN

Also vergiss das mal mit der Crontab, und wenn dann würde ich auch nicht den Daemon komplett neustarten. Ich habe das aber auch noch nie gehört und meine OpenVPNs laufen alle ohne solche Tricks stabil.
Die persists hast du ja also schon mal, d.h. wenn sich dein Tunnel verabschieden sollte wird er automatisch wieder neu aufgebaut, dafür brauchst du keinen Neustart von OpenVPN. Wäre ja auch sinnfrei wenn es nur dadurch ginge, angenommen die Verbindung verabschiedet sich um 3:02 Uhr in der Frühe, dann würde ja erst um 12 Uhr mittags wieder ein Tunnel aufgebaut werden wenn es tatsächlich auf den Neustart ankäme.

Deine OpenVPN-Konfig sieht so erstmal ok aus. Ich würde noch von den Standardports wegziehen (Geschmackssache, brauchst du dann aber auch nicht zwingend zu pixeln ), UDP ist völlig ok wenn die beteiligten Partner nicht irgendwo im Entwicklungsland stehen.
Füge doch mal testweise ein 'log-append /var/log/openvpn.log' hinzu und starte OpenVPN neu. Ich könnte mir mglw. noch vorstellen, dass OpenVPN irgendwelche Meldungen in eine (gemeinsame) Logdatei schreibt, die die Failban-Engine falsch interpretiert und falsche Schlüsse daraus zieht. Wenn das gepostete oben deine komplette Konfigdatei ist und beim Build nichts anderes als Standard definiert wurde dann loggt OpenVPN via Syslog und das könnte durchaus in die Hose gehen, also dieses Log lieber separat halten.

 

[Gelöschtes Mitglied 136430]

AW: Failban Probleme seit VPN

Hi,

also ich habe mal das log eingeschaltet für VPN.
Failban gelöscht. Server neugestartet.

Nach ca 30 Minuten, war ein User als Unknow in der Failban (ist 100% ein user, keine ahnung wieso da unknow steht)

Im openvpn log hat sich nichts hinzugefügt, ist so geblieben wie der anfangs log.

Spoiler

Du musst dich Anmelden oder Registrieren um diesen Inhalt sichtbar zu machen!

 

[fidero85]

AW: Failban Probleme seit VPN

Schade, mir hätte die Theorie gefallen
Ein denkbarer Workaorund wäre, den Failban-Teil von oscam zu deaktivieren und lieber das "original" fail2ban (arbeitet direkt mit iptables) zu nutzen; kann dir meine Konfig dafür gerne zur Verfügung stellen, das funktioniert super. Oder aber überlegen, ob man fail(2)ban überhaupt benötigt wenn alle Beteiligten im VPN zusammengeschlossen sind und man mittels entsprechender Firewallregeln den Zugriff beschränkt.

 

[Gelöschtes Mitglied 136430]

AW: Failban Probleme seit VPN

Naja das fail2ban blockiert ja nur die IPs die unerwünscht sind.
Ausserdem geht das ja nicht darum das sich jemand versucht einzuloggen sondern es geht um 2-3 User die dieses Problem haben.
Habe es auch mal getestet, habe es mal so gelassen, dann wurde mir gesagt das alles dunkel ist obwohl alles lief, failban gelöscht und geht wieder.
Ich kann da mir echt kein Reihm machen.
Ausserdem, ein Problem sollte man lösen und nicht einfach ne alternative suchen.

Du musst dich Anmelden oder Registrieren um den Inhalt der Angebote zu sehen!

Ich kann da nicht viel machen. Mein Server ist daheim und läuft über ein VPN Tunnel, mehr nicht.

Aber danke für deine Mühe.
Ich hab eh noch diesen Monat das VPN account, danach müsste ich ihn verlängern und werde dann mal das ganze ganz normal ohne VPN laufen lassen um mal wenigstens ausszuschliessen ob das tatsächlich am Tunnel liegt. Ist ja nicht gesagt das es am Tunnel liegt!

 

[fidero85]

AW: Failban Probleme seit VPN

Ich hatte das im ersten Posting so verstanden (bzw. verstehe es immer noch so ) dass die Probleme mit failban erst mit dem VPN gekommen sind.
Prinzipiell bin ich auch immer für Lösen anstatt Verdrängen, allerdings ist der failban-Teil von Oscam eine Oscam-spezifische Eigenschaft und somit von der (im Vergleich zu sonstiger OpenSource-Software) eher kleinen Kernentwicklerschar abhängig, zumal dieser Teil des Programmes sicher nicht im Fokus der Entwickler steht. Möglicherweise wird es also eher schwierig, hier Hilfe zu bekommen wenn man sich nicht selber durch den Programmcode wühlt, analysiert und entsprechende fehlerbehebende Veränderungen ausprobiert und dann final in die Programmentwicklung einfließen lässt.

 

[Gelöschtes Mitglied 136430]

AW: Failban Probleme

Hallo zusammen,

also jetzt kann ich es mit 100% bestätigen, es liegt definitiv nicht am VPN/VPN Tunnel.

Ich habe jetzt alles weder normal über mein Router laufen (also Ports usw.)
und ich habe sogar komplett openvpn gelöscht vom Server!

2-3 User gehen ständig nach 1-2 Stunden in der Failban und immer noch als unknow. Der Username wird nicht mal angezeigt.
Oscam habe ich auch auf dem neusten stand gebracht!

Das komische ist, ich hatte mal ein Sharepartner der noch meine Line drinnen hat und der wird nochmit dem Namen angezeigt in der Failban wo ich ihn damals gegeben habe, aber meine Clients heissen in der Failban alle unknow.
Jetzt weiß ich echt nicht mehr weiter!