1. Diese Seite verwendet Cookies. Wenn du dich weiterhin auf dieser Seite aufhältst, akzeptierst du unseren Einsatz von Cookies. Weitere Informationen

Failban Probleme

Dieses Thema im Forum "Oscam Talk Archiv" wurde erstellt von [-SONIC-], 8. April 2013.

  1. [-SONIC-]
    Offline

    [-SONIC-] VIP

    Registriert:
    22. August 2009
    Beiträge:
    1.872
    Zustimmungen:
    720
    Punkte für Erfolge:
    113
    Ort:
    Planet Erde
    Hallo zusammen,

    werde hier langsam verrückt.
    Ich weiß nicht genau ob das ein zusammenhang hat, aber seit dem ich meinen Server über VPN laufen lassen (OpenVPN),
    muss ich am Tag minimum 6-7x ein paar Clients von der Failban löschen. Das war vor ein paar Wochen noch, noch nie der fall. Nur wenn wirklich jemand versucht hat mit falsche Daten reinzukommen oder so.

    Kann das am VPN liegen?
    Das komische was mir aufgefallen ist, das in der Failban nicht mehr der Username steht, sondern unknow.

    Anonsten habe ich nichts großartiges an meinem Server eingestellt. Das VPN Tunnel am Server wird 2x am Tag neugestartet sonst nichts. Die Failban Probleme kommen aber an egal welche Uhrzeiten. Manche Clients berichten mir z.B die schauen gerade irgendwas an. Aufeinmal wirds dunkel und der ist bei mir als unknow in der Failban! Ich habe die Sleep Zeiten sonst noch bisschen runter geschraubt, ansonsten habe ich nicht viel geändert gehabt.

    Hier meine aktuelle Configs:

    failbantime = 1440
    failbancount = 3
    sleep = 120

    Und alle und das habe ich schon seit Jahren so ohne Probleme, alle in der Oscam.user haben uniq = 3

    Ich selbst z.B bin noch nie in der Failban gelandet (meine Line läuft auch über die Dyndns!)

    Edit: Bitte nicht falsch verstehen, wenn ein User im Sleep Modus gehen nach 2 Stunden, landet nicht gleich in der Failban wenn er gleich umschaltet!)
    Edit2: Vielleicht noch anmerken, mit einer meiner Sharepartner z.B kann ich mich seit ich VPN am laufen habe, nicht mehr verbinden, werder kann ich mich verbinden noch kann er sich zu mir verbinden. Haben zig male schon die Lines gewechselt ohne erfolg. Mit allen anderen gehts nur mit dem nicht.
    Bekomme so ständig nur solche meldungen:
    8/04/2013 22:31:07 83xxBF0 p xxxxxxx_sharepartner [cccam] connecting to xxxxxxxx.dyndns.org:33000
    8/04/2013 22:31:07 83xxBF0 p xxxxxxx_sharepartner [cccam] connect failed: Connection refused

    EDIT: Am VPN Liegt das nicht, habe es komplett ausgeschalten. Fehler bleibt!
     
    Zuletzt bearbeitet: 15. April 2013
    #1
    hwmmc gefällt das.
  2. phantom

    Nervigen User Advertisement

  3. hwmmc
    Offline

    hwmmc Elite Lord

    Registriert:
    14. August 2009
    Beiträge:
    5.490
    Zustimmungen:
    3.027
    Punkte für Erfolge:
    113
    AW: Failban Probleme seit VPN

    Du solltest mal deinen failbancount höher wählen ca. 10
    und beim CCcam-Protocol mind. recv_timeout = 2000 machen.
     
    #2
    [-SONIC-] gefällt das.
  4. fidero85
    Offline

    fidero85 Ist oft hier

    Registriert:
    10. März 2011
    Beiträge:
    157
    Zustimmungen:
    50
    Punkte für Erfolge:
    28
    Ort:
    diesseits der Wohnungstüre
    AW: Failban Probleme seit VPN

    Ohne weitere Detailinfos über die OpenVPN-Konfig wird man dir hier wenig weiterhelfen können. Wenn du VPN weglässt und alles gut funktioniert ist es auch kein Oscam-Problem.
    <Glaskugelmodus>
    Hast du bei den Usern unter hostname= irgendetwas eingetragen? Oder bei deinem Sharepartner? Könnte mir noch vorstellen dass durch ein nicht sauber konfiguriertes VPN die Namensauflösung nicht sauber funktioniert und daher die refused rühren.
    </Glaskugel>
     
    #3
  5. [-SONIC-]
    Offline

    [-SONIC-] VIP

    Registriert:
    22. August 2009
    Beiträge:
    1.872
    Zustimmungen:
    720
    Punkte für Erfolge:
    113
    Ort:
    Planet Erde
    AW: Failban Probleme seit VPN

    So, ich habe mal Testweise gestern, in meiner crontab, das automatische neustart vom VPN Tunnel deaktiviert. Und siehe da, heute kein einziges mal ein problem.

    Lag wahrscheinlich immer daran wenn er den VPN Tunnel neugestartet hat dann sind die irgendwie in der Failban reingekommen.
    Ich hab das jetzt mal wieder in der Crontab hinzugefügt und @hwmmc mal das was du geschrieben hast verändert bzw. hinzugefügt, mal schauen wie sich das verhält.

    @fidero85: Nein hostname, habe ich weder bei user noch in den Servern eingegeben!
     
    #4
  6. fidero85
    Offline

    fidero85 Ist oft hier

    Registriert:
    10. März 2011
    Beiträge:
    157
    Zustimmungen:
    50
    Punkte für Erfolge:
    28
    Ort:
    diesseits der Wohnungstüre
    AW: Failban Probleme seit VPN

    Ok.
    Was war denn der Hintergrund dieses geplanten Neustartes? OpenVPN kennt ja auch 'persistent', damit würde bei evtl. Verbindungsabbruch automatisch wieder neu verbunden werden.
     
    #5
    [-SONIC-] gefällt das.
  7. [-SONIC-]
    Offline

    [-SONIC-] VIP

    Registriert:
    22. August 2009
    Beiträge:
    1.872
    Zustimmungen:
    720
    Punkte für Erfolge:
    113
    Ort:
    Planet Erde
    AW: Failban Probleme seit VPN

    Mir wurde von nem anderen Mod Kollege gesagt als er mir das VPN eingerichtet hat, das man das in der Crontab hinzufügt, damit das VPN Tunnel 1-2x Tag neu startet, weil der anscheinend ab und an mal die verbindung verliert oder so.
    Ich hab das jetzt erstmals weg gemacht! Mal schauen ob es besser wird.

    Momentan sehen meine Configs so aus:
    [global]
    sleep = 180
    failbantime = 1440
    failbancount = 10
    ...
    ...
    ...
    ...
    [cccam]
    recv_timeout = 2000
    ....
    ....
    ....

    Die User sind alle so angeschlossen:

    [account]
    user = user
    pwd = passw
    description = 2 Wohnung
    uniq = 3
    group = 1,2,3,4,10,11,12,13,14,15,16,17,18,19,20,21,31,50
    cccmaxhops = 1
    cccreshare = 0

    EXT. Server sind so alle angeschlossen:

    [reader]
    label = xxxxx_sharepartner
    protocol = cccam
    device = xxxx.dyndns.org,12000
    user = user
    password = passw
    services = !skydev13
    inactivitytimeout = 30
    group = 20
    cccversion = 2.2.1
    cccmaxhops = 1
    cccmindown = 1
    ccckeepalive = 1
    lb_weight = 100

    Und mein Openvpn.conf sieht so aus:

    client
    dev tun
    auth-user-pass passwort.txt
    proto udp
    remote xxxxxx.xxxxx.so 119x
    resolv-retry infinite
    nobind
    persist-key
    persist-tun
    comp-lzo
    ca xxxx.crt
    verb 3

    Und wie geschrieben, in der Crontab habe ich mal das automatische vpn restart weg gemacht,
    die sah so aus:

    #OpenVPN Autoneustart
    00 03 * * * root /etc/init.d/openvpn restart
    00 12 * * * root /etc/init.d/openvpn restart

    Edit:

    Jetzt habe ich grad das aus der Crontab weg gemacht. Komplett Server neu gestartet und schon wieder landet der gleiche in der Failban!
     
    #6
  8. fidero85
    Offline

    fidero85 Ist oft hier

    Registriert:
    10. März 2011
    Beiträge:
    157
    Zustimmungen:
    50
    Punkte für Erfolge:
    28
    Ort:
    diesseits der Wohnungstüre
    AW: Failban Probleme seit VPN

    Also vergiss das mal mit der Crontab, und wenn dann würde ich auch nicht den Daemon komplett neustarten. Ich habe das aber auch noch nie gehört und meine OpenVPNs laufen alle ohne solche Tricks stabil.
    Die persists hast du ja also schon mal, d.h. wenn sich dein Tunnel verabschieden sollte wird er automatisch wieder neu aufgebaut, dafür brauchst du keinen Neustart von OpenVPN. Wäre ja auch sinnfrei wenn es nur dadurch ginge, angenommen die Verbindung verabschiedet sich um 3:02 Uhr in der Frühe, dann würde ja erst um 12 Uhr mittags wieder ein Tunnel aufgebaut werden wenn es tatsächlich auf den Neustart ankäme.

    Deine OpenVPN-Konfig sieht so erstmal ok aus. Ich würde noch von den Standardports wegziehen (Geschmackssache, brauchst du dann aber auch nicht zwingend zu pixeln :)), UDP ist völlig ok wenn die beteiligten Partner nicht irgendwo im Entwicklungsland stehen.
    Füge doch mal testweise ein 'log-append /var/log/openvpn.log' hinzu und starte OpenVPN neu. Ich könnte mir mglw. noch vorstellen, dass OpenVPN irgendwelche Meldungen in eine (gemeinsame) Logdatei schreibt, die die Failban-Engine falsch interpretiert und falsche Schlüsse daraus zieht. Wenn das gepostete oben deine komplette Konfigdatei ist und beim Build nichts anderes als Standard definiert wurde dann loggt OpenVPN via Syslog und das könnte durchaus in die Hose gehen, also dieses Log lieber separat halten.
     
    #7
    [-SONIC-] gefällt das.
  9. [-SONIC-]
    Offline

    [-SONIC-] VIP

    Registriert:
    22. August 2009
    Beiträge:
    1.872
    Zustimmungen:
    720
    Punkte für Erfolge:
    113
    Ort:
    Planet Erde
    AW: Failban Probleme seit VPN

    Hi,

    also ich habe mal das log eingeschaltet für VPN.
    Failban gelöscht. Server neugestartet.

    Nach ca 30 Minuten, war ein User als Unknow in der Failban (ist 100% ein user, keine ahnung wieso da unknow steht)

    Im openvpn log hat sich nichts hinzugefügt, ist so geblieben wie der anfangs log.


    Fri Apr 12 17:28:56 2013 OpenVPN 2.1.3 i486-pc-linux-gnu [SSL] [LZO2] [EPOLL] [PKCS11] [MH] [PF_INET6] [eurephia] built on Feb 20 2012
    Fri Apr 12 17:28:56 2013 WARNING: No server certificate verification method has been enabled. See

    Dieser Link ist nur für Mitglieder!!! Jetzt kostenlos Registrieren ?

    for more info.
    Fri Apr 12 17:28:56 2013 NOTE: OpenVPN 2.1 requires '--script-security 2' or higher to call user-defined scripts or executables
    Fri Apr 12 17:28:56 2013 LZO compression initialized
    Fri Apr 12 17:28:56 2013 Control Channel MTU parms [ ***************** ]
    Fri Apr 12 17:28:56 2013 Socket Buffers: R=[112640->*******************]
    Fri Apr 12 17:28:56 2013 Data Channel MTU parms [ ***************** ]
    Fri Apr 12 17:28:56 2013 Local Options hash (VER=V4): '***********'
    Fri Apr 12 17:28:56 2013 Expected Remote Options hash (VER=V4): '************'
    Fri Apr 12 17:28:56 2013 UDPv4 link local: [undef]
    Fri Apr 12 17:28:56 2013 UDPv4 link remote: [AF_INET]***************
    Fri Apr 12 17:28:56 2013 TLS: Initial packet from [AF_INET]***********, sid=***********
    Fri Apr 12 17:28:56 2013 WARNING: this configuration may cache passwords in memory -- use the auth-nocache option to prevent this
    Fri Apr 12 17:28:56 2013 VERIFY OK: depth=1, /C=NV/ST=NV/L=nVPN/O=nVpn/CN=nVpn_CA/emailAddress=support@********
    Fri Apr 12 17:28:56 2013 VERIFY OK: depth=0, /C=NV/ST=NV/L=nVPN/O=nVpn/CN=server/emailAddress=support@************
    Fri Apr 12 17:28:57 2013 WARNING: 'link-mtu' is used inconsistently, local='link-mtu 1542', remote='link-mtu 6042'
    Fri Apr 12 17:28:57 2013 WARNING: 'tun-mtu' is used inconsistently, local='tun-mtu 1500', remote='tun-mtu 6000'
    Fri Apr 12 17:28:57 2013 Data Channel Encrypt: Cipher 'BF-CBC' initialized with 128 bit key
    Fri Apr 12 17:28:57 2013 Data Channel Encrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
    Fri Apr 12 17:28:57 2013 Data Channel Decrypt: Cipher 'BF-CBC' initialized with 128 bit key
    Fri Apr 12 17:28:57 2013 Data Channel Decrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
    Fri Apr 12 17:28:57 2013 Control Channel: TLSv1, cipher TLSv1/SSLv3 DHE-RSA-AES256-SHA, 1024 bit RSA
    Fri Apr 12 17:28:57 2013 [server] Peer Connection Initiated with [AF_INET]*******************
    Fri Apr 12 17:28:59 2013 SENT CONTROL [server]: 'PUSH_REQUEST' (status=1)
    Fri Apr 12 17:28:59 2013 PUSH: Received control message: 'PUSH_REPLY,redirect-gateway def1,dhcp-option DNS **********,dhcp-option DNS *********,route 10******,topology net30,ping 10,ping-restart 120,ifconfig *********
    Fri Apr 12 17:28:59 2013 OPTIONS IMPORT: timers and/or timeouts modified
    Fri Apr 12 17:28:59 2013 OPTIONS IMPORT: --ifconfig/up options modified
    Fri Apr 12 17:28:59 2013 OPTIONS IMPORT: route options modified
    Fri Apr 12 17:28:59 2013 OPTIONS IMPORT: --ip-win32 and/or --dhcp-option options modified
    Fri Apr 12 17:28:59 2013 ROUTE default_gateway=192.168.1.1
    Fri Apr 12 17:28:59 2013 TUN/TAP device tun0 opened
    Fri Apr 12 17:28:59 2013 TUN/TAP TX queue length set to 100
    Fri Apr 12 17:28:59 2013 /sbin/ifconfig tun0 ****** pointopoint 10*****6.69 mtu 1500
    Fri Apr 12 17:28:59 2013 /sbin/route add -net 212.7.208.146 netmask 255.255.255.255 gw 192.168.1.1
    Fri Apr 12 17:28:59 2013 /sbin/route add -net 0.0.0.0 netmask 128.0.0.0 gw 10.208.146.69
    Fri Apr 12 17:28:59 2013 /sbin/route add -net 128.0.0.0 netmask 128.0.0.0 gw 10.208.146.69
    Fri Apr 12 17:28:59 2013 /sbin/route add -net 10.208.146.1 netmask 255.255.255.255 gw 10.208.146.69
    Fri Apr 12 17:28:59 2013 Initialization Sequence Completed
     
    #8
  10. fidero85
    Offline

    fidero85 Ist oft hier

    Registriert:
    10. März 2011
    Beiträge:
    157
    Zustimmungen:
    50
    Punkte für Erfolge:
    28
    Ort:
    diesseits der Wohnungstüre
    AW: Failban Probleme seit VPN

    Schade, mir hätte die Theorie gefallen :)
    Ein denkbarer Workaorund wäre, den Failban-Teil von oscam zu deaktivieren und lieber das "original" fail2ban (arbeitet direkt mit iptables) zu nutzen; kann dir meine Konfig dafür gerne zur Verfügung stellen, das funktioniert super. Oder aber überlegen, ob man fail(2)ban überhaupt benötigt wenn alle Beteiligten im VPN zusammengeschlossen sind und man mittels entsprechender Firewallregeln den Zugriff beschränkt.
     
    #9
  11. [-SONIC-]
    Offline

    [-SONIC-] VIP

    Registriert:
    22. August 2009
    Beiträge:
    1.872
    Zustimmungen:
    720
    Punkte für Erfolge:
    113
    Ort:
    Planet Erde
    AW: Failban Probleme seit VPN

    Naja das fail2ban blockiert ja nur die IPs die unerwünscht sind.
    Ausserdem geht das ja nicht darum das sich jemand versucht einzuloggen sondern es geht um 2-3 User die dieses Problem haben.
    Habe es auch mal getestet, habe es mal so gelassen, dann wurde mir gesagt das alles dunkel ist obwohl alles lief, failban gelöscht und geht wieder.
    Ich kann da mir echt kein Reihm machen.
    Ausserdem, ein Problem sollte man lösen und nicht einfach ne alternative suchen.

    Ich kann da nicht viel machen. Mein Server ist daheim und läuft über ein VPN Tunnel, mehr nicht.

    Aber danke für deine Mühe.
    Ich hab eh noch diesen Monat das VPN account, danach müsste ich ihn verlängern und werde dann mal das ganze ganz normal ohne VPN laufen lassen um mal wenigstens ausszuschliessen ob das tatsächlich am Tunnel liegt. Ist ja nicht gesagt das es am Tunnel liegt!
     
    #10
  12. fidero85
    Offline

    fidero85 Ist oft hier

    Registriert:
    10. März 2011
    Beiträge:
    157
    Zustimmungen:
    50
    Punkte für Erfolge:
    28
    Ort:
    diesseits der Wohnungstüre
    AW: Failban Probleme seit VPN

    Ich hatte das im ersten Posting so verstanden (bzw. verstehe es immer noch so :)) dass die Probleme mit failban erst mit dem VPN gekommen sind.
    Prinzipiell bin ich auch immer für Lösen anstatt Verdrängen, allerdings ist der failban-Teil von Oscam eine Oscam-spezifische Eigenschaft und somit von der (im Vergleich zu sonstiger OpenSource-Software) eher kleinen Kernentwicklerschar abhängig, zumal dieser Teil des Programmes sicher nicht im Fokus der Entwickler steht. Möglicherweise wird es also eher schwierig, hier Hilfe zu bekommen wenn man sich nicht selber durch den Programmcode wühlt, analysiert und entsprechende fehlerbehebende Veränderungen ausprobiert und dann final in die Programmentwicklung einfließen lässt.
     
    #11
  13. [-SONIC-]
    Offline

    [-SONIC-] VIP

    Registriert:
    22. August 2009
    Beiträge:
    1.872
    Zustimmungen:
    720
    Punkte für Erfolge:
    113
    Ort:
    Planet Erde
    AW: Failban Probleme

    Hallo zusammen,

    also jetzt kann ich es mit 100% bestätigen, es liegt definitiv nicht am VPN/VPN Tunnel.

    Ich habe jetzt alles weder normal über mein Router laufen (also Ports usw.)
    und ich habe sogar komplett openvpn gelöscht vom Server!

    2-3 User gehen ständig nach 1-2 Stunden in der Failban und immer noch als unknow. Der Username wird nicht mal angezeigt.
    Oscam habe ich auch auf dem neusten stand gebracht!

    Das komische ist, ich hatte mal ein Sharepartner der noch meine Line drinnen hat und der wird nochmit dem Namen angezeigt in der Failban wo ich ihn damals gegeben habe, aber meine Clients heissen in der Failban alle unknow.
    Jetzt weiß ich echt nicht mehr weiter!
     
    #12

Diese Seite empfehlen