Failban Probleme

[Gelöschtes Mitglied 136430]

Hallo zusammen,

werde hier langsam verrückt.
Ich weiß nicht genau ob das ein zusammenhang hat, aber seit dem ich meinen Server über VPN laufen lassen (OpenVPN),
muss ich am Tag minimum 6-7x ein paar Clients von der Failban löschen. Das war vor ein paar Wochen noch, noch nie der fall. Nur wenn wirklich jemand versucht hat mit falsche Daten reinzukommen oder so.

Kann das am VPN liegen?
Das komische was mir aufgefallen ist, das in der Failban nicht mehr der Username steht, sondern unknow.

Anonsten habe ich nichts großartiges an meinem Server eingestellt. Das VPN Tunnel am Server wird 2x am Tag neugestartet sonst nichts. Die Failban Probleme kommen aber an egal welche Uhrzeiten. Manche Clients berichten mir z.B die schauen gerade irgendwas an. Aufeinmal wirds dunkel und der ist bei mir als unknow in der Failban! Ich habe die Sleep Zeiten sonst noch bisschen runter geschraubt, ansonsten habe ich nicht viel geändert gehabt.

Hier meine aktuelle Configs:

failbantime = 1440
failbancount = 3
sleep = 120

Und alle und das habe ich schon seit Jahren so ohne Probleme, alle in der Oscam.user haben uniq = 3

Ich selbst z.B bin noch nie in der Failban gelandet (meine Line läuft auch über die Dyndns!)

Edit: Bitte nicht falsch verstehen, wenn ein User im Sleep Modus gehen nach 2 Stunden, landet nicht gleich in der Failban wenn er gleich umschaltet!)
Edit2: Vielleicht noch anmerken, mit einer meiner Sharepartner z.B kann ich mich seit ich VPN am laufen habe, nicht mehr verbinden, werder kann ich mich verbinden noch kann er sich zu mir verbinden. Haben zig male schon die Lines gewechselt ohne erfolg. Mit allen anderen gehts nur mit dem nicht.
Bekomme so ständig nur solche meldungen:

Spoiler

8/04/2013 22:31:07 83xxBF0 p xxxxxxx_sharepartner [cccam] connecting to xxxxxxxx.dyndns.org:33000
8/04/2013 22:31:07 83xxBF0 p xxxxxxx_sharepartner [cccam] connect failed: Connection refused

EDIT: Am VPN Liegt das nicht, habe es komplett ausgeschalten. Fehler bleibt!

 

[hwmmc]

AW: Failban Probleme seit VPN

Du solltest mal deinen failbancount höher wählen ca. 10
und beim CCcam-Protocol mind. recv_timeout = 2000 machen.

 

[fidero85]

AW: Failban Probleme seit VPN

Ohne weitere Detailinfos über die OpenVPN-Konfig wird man dir hier wenig weiterhelfen können. Wenn du VPN weglässt und alles gut funktioniert ist es auch kein Oscam-Problem.
<Glaskugelmodus>
Hast du bei den Usern unter hostname= irgendetwas eingetragen? Oder bei deinem Sharepartner? Könnte mir noch vorstellen dass durch ein nicht sauber konfiguriertes VPN die Namensauflösung nicht sauber funktioniert und daher die refused rühren.
</Glaskugel>

 

[Gelöschtes Mitglied 136430]

AW: Failban Probleme seit VPN

So, ich habe mal Testweise gestern, in meiner crontab, das automatische neustart vom VPN Tunnel deaktiviert. Und siehe da, heute kein einziges mal ein problem.

Lag wahrscheinlich immer daran wenn er den VPN Tunnel neugestartet hat dann sind die irgendwie in der Failban reingekommen.
Ich hab das jetzt mal wieder in der Crontab hinzugefügt und @hwmmc mal das was du geschrieben hast verändert bzw. hinzugefügt, mal schauen wie sich das verhält.

@fidero85: Nein hostname, habe ich weder bei user noch in den Servern eingegeben!

 

[fidero85]

AW: Failban Probleme seit VPN

Ok.
Was war denn der Hintergrund dieses geplanten Neustartes? OpenVPN kennt ja auch 'persistent', damit würde bei evtl. Verbindungsabbruch automatisch wieder neu verbunden werden.

 

[Gelöschtes Mitglied 136430]

AW: Failban Probleme seit VPN

Mir wurde von nem anderen Mod Kollege gesagt als er mir das VPN eingerichtet hat, das man das in der Crontab hinzufügt, damit das VPN Tunnel 1-2x Tag neu startet, weil der anscheinend ab und an mal die verbindung verliert oder so.
Ich hab das jetzt erstmals weg gemacht! Mal schauen ob es besser wird.

Momentan sehen meine Configs so aus:

Spoiler

[global]
sleep = 180
failbantime = 1440
failbancount = 10
...
...
...
...
[cccam]
recv_timeout = 2000
....
....
....

Die User sind alle so angeschlossen:

Spoiler

[account]
user = user
pwd = passw
description = 2 Wohnung
uniq = 3
group = 1,2,3,4,10,11,12,13,14,15,16,17,18,19,20,21,31,50
cccmaxhops = 1
cccreshare = 0

EXT. Server sind so alle angeschlossen:

Spoiler

[reader]
label = xxxxx_sharepartner
protocol = cccam
device = xxxx.dyndns.org,12000
user = user
password = passw
services = !skydev13
inactivitytimeout = 30
group = 20
cccversion = 2.2.1
cccmaxhops = 1
cccmindown = 1
ccckeepalive = 1
lb_weight = 100

Und mein Openvpn.conf sieht so aus:

Spoiler

client
dev tun
auth-user-pass passwort.txt
proto udp
remote xxxxxx.xxxxx.so 119x
resolv-retry infinite
nobind
persist-key
persist-tun
comp-lzo
ca xxxx.crt
verb 3

Und wie geschrieben, in der Crontab habe ich mal das automatische vpn restart weg gemacht,
die sah so aus:

Spoiler

#OpenVPN Autoneustart
00 03 * * * root /etc/init.d/openvpn restart
00 12 * * * root /etc/init.d/openvpn restart

Edit:

Jetzt habe ich grad das aus der Crontab weg gemacht. Komplett Server neu gestartet und schon wieder landet der gleiche in der Failban!

 

[fidero85]

AW: Failban Probleme seit VPN

Also vergiss das mal mit der Crontab, und wenn dann würde ich auch nicht den Daemon komplett neustarten. Ich habe das aber auch noch nie gehört und meine OpenVPNs laufen alle ohne solche Tricks stabil.
Die persists hast du ja also schon mal, d.h. wenn sich dein Tunnel verabschieden sollte wird er automatisch wieder neu aufgebaut, dafür brauchst du keinen Neustart von OpenVPN. Wäre ja auch sinnfrei wenn es nur dadurch ginge, angenommen die Verbindung verabschiedet sich um 3:02 Uhr in der Frühe, dann würde ja erst um 12 Uhr mittags wieder ein Tunnel aufgebaut werden wenn es tatsächlich auf den Neustart ankäme.

Deine OpenVPN-Konfig sieht so erstmal ok aus. Ich würde noch von den Standardports wegziehen (Geschmackssache, brauchst du dann aber auch nicht zwingend zu pixeln ), UDP ist völlig ok wenn die beteiligten Partner nicht irgendwo im Entwicklungsland stehen.
Füge doch mal testweise ein 'log-append /var/log/openvpn.log' hinzu und starte OpenVPN neu. Ich könnte mir mglw. noch vorstellen, dass OpenVPN irgendwelche Meldungen in eine (gemeinsame) Logdatei schreibt, die die Failban-Engine falsch interpretiert und falsche Schlüsse daraus zieht. Wenn das gepostete oben deine komplette Konfigdatei ist und beim Build nichts anderes als Standard definiert wurde dann loggt OpenVPN via Syslog und das könnte durchaus in die Hose gehen, also dieses Log lieber separat halten.

 

[Gelöschtes Mitglied 136430]

AW: Failban Probleme seit VPN

Hi,

also ich habe mal das log eingeschaltet für VPN.
Failban gelöscht. Server neugestartet.

Nach ca 30 Minuten, war ein User als Unknow in der Failban (ist 100% ein user, keine ahnung wieso da unknow steht)

Im openvpn log hat sich nichts hinzugefügt, ist so geblieben wie der anfangs log.

Spoiler

Fri Apr 12 17:28:56 2013 OpenVPN 2.1.3 i486-pc-linux-gnu [SSL] [LZO2] [EPOLL] [PKCS11] [MH] [PF_INET6] [eurephia] built on Feb 20 2012
Fri Apr 12 17:28:56 2013 WARNING: No server certificate verification method has been enabled. See

Sie müssen registriert sein, um Links zu sehen.

for more info.
Fri Apr 12 17:28:56 2013 NOTE: OpenVPN 2.1 requires '--script-security 2' or higher to call user-defined scripts or executables
Fri Apr 12 17:28:56 2013 LZO compression initialized
Fri Apr 12 17:28:56 2013 Control Channel MTU parms [ ***************** ]
Fri Apr 12 17:28:56 2013 Socket Buffers: R=[112640->*******************]
Fri Apr 12 17:28:56 2013 Data Channel MTU parms [ ***************** ]
Fri Apr 12 17:28:56 2013 Local Options hash (VER=V4): '***********'
Fri Apr 12 17:28:56 2013 Expected Remote Options hash (VER=V4): '************'
Fri Apr 12 17:28:56 2013 UDPv4 link local: [undef]
Fri Apr 12 17:28:56 2013 UDPv4 link remote: [AF_INET]***************
Fri Apr 12 17:28:56 2013 TLS: Initial packet from [AF_INET]***********, sid=***********
Fri Apr 12 17:28:56 2013 WARNING: this configuration may cache passwords in memory -- use the auth-nocache option to prevent this
Fri Apr 12 17:28:56 2013 VERIFY OK: depth=1, /C=NV/ST=NV/L=nVPN/O=nVpn/CN=nVpn_CA/emailAddress=support@********
Fri Apr 12 17:28:56 2013 VERIFY OK: depth=0, /C=NV/ST=NV/L=nVPN/O=nVpn/CN=server/emailAddress=support@************
Fri Apr 12 17:28:57 2013 WARNING: 'link-mtu' is used inconsistently, local='link-mtu 1542', remote='link-mtu 6042'
Fri Apr 12 17:28:57 2013 WARNING: 'tun-mtu' is used inconsistently, local='tun-mtu 1500', remote='tun-mtu 6000'
Fri Apr 12 17:28:57 2013 Data Channel Encrypt: Cipher 'BF-CBC' initialized with 128 bit key
Fri Apr 12 17:28:57 2013 Data Channel Encrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Fri Apr 12 17:28:57 2013 Data Channel Decrypt: Cipher 'BF-CBC' initialized with 128 bit key
Fri Apr 12 17:28:57 2013 Data Channel Decrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Fri Apr 12 17:28:57 2013 Control Channel: TLSv1, cipher TLSv1/SSLv3 DHE-RSA-AES256-SHA, 1024 bit RSA
Fri Apr 12 17:28:57 2013 [server] Peer Connection Initiated with [AF_INET]*******************
Fri Apr 12 17:28:59 2013 SENT CONTROL [server]: 'PUSH_REQUEST' (status=1)
Fri Apr 12 17:28:59 2013 PUSH: Received control message: 'PUSH_REPLY,redirect-gateway def1,dhcp-option DNS **********,dhcp-option DNS *********,route 10******,topology net30,ping 10,ping-restart 120,ifconfig *********
Fri Apr 12 17:28:59 2013 OPTIONS IMPORT: timers and/or timeouts modified
Fri Apr 12 17:28:59 2013 OPTIONS IMPORT: --ifconfig/up options modified
Fri Apr 12 17:28:59 2013 OPTIONS IMPORT: route options modified
Fri Apr 12 17:28:59 2013 OPTIONS IMPORT: --ip-win32 and/or --dhcp-option options modified
Fri Apr 12 17:28:59 2013 ROUTE default_gateway=192.168.1.1
Fri Apr 12 17:28:59 2013 TUN/TAP device tun0 opened
Fri Apr 12 17:28:59 2013 TUN/TAP TX queue length set to 100
Fri Apr 12 17:28:59 2013 /sbin/ifconfig tun0 ****** pointopoint 10*****6.69 mtu 1500
Fri Apr 12 17:28:59 2013 /sbin/route add -net 212.7.208.146 netmask 255.255.255.255 gw 192.168.1.1
Fri Apr 12 17:28:59 2013 /sbin/route add -net 0.0.0.0 netmask 128.0.0.0 gw 10.208.146.69
Fri Apr 12 17:28:59 2013 /sbin/route add -net 128.0.0.0 netmask 128.0.0.0 gw 10.208.146.69
Fri Apr 12 17:28:59 2013 /sbin/route add -net 10.208.146.1 netmask 255.255.255.255 gw 10.208.146.69
Fri Apr 12 17:28:59 2013 Initialization Sequence Completed

 

[fidero85]

AW: Failban Probleme seit VPN

Schade, mir hätte die Theorie gefallen
Ein denkbarer Workaorund wäre, den Failban-Teil von oscam zu deaktivieren und lieber das "original" fail2ban (arbeitet direkt mit iptables) zu nutzen; kann dir meine Konfig dafür gerne zur Verfügung stellen, das funktioniert super. Oder aber überlegen, ob man fail(2)ban überhaupt benötigt wenn alle Beteiligten im VPN zusammengeschlossen sind und man mittels entsprechender Firewallregeln den Zugriff beschränkt.

 

[Gelöschtes Mitglied 136430]

AW: Failban Probleme seit VPN

Naja das fail2ban blockiert ja nur die IPs die unerwünscht sind.
Ausserdem geht das ja nicht darum das sich jemand versucht einzuloggen sondern es geht um 2-3 User die dieses Problem haben.
Habe es auch mal getestet, habe es mal so gelassen, dann wurde mir gesagt das alles dunkel ist obwohl alles lief, failban gelöscht und geht wieder.
Ich kann da mir echt kein Reihm machen.
Ausserdem, ein Problem sollte man lösen und nicht einfach ne alternative suchen.

überhaupt benötigt wenn alle Beteiligten im VPN zusammengeschlossen sind und man mittels entsprechender Firewallregeln den Zugriff beschränkt.

Ich kann da nicht viel machen. Mein Server ist daheim und läuft über ein VPN Tunnel, mehr nicht.

Aber danke für deine Mühe.
Ich hab eh noch diesen Monat das VPN account, danach müsste ich ihn verlängern und werde dann mal das ganze ganz normal ohne VPN laufen lassen um mal wenigstens ausszuschliessen ob das tatsächlich am Tunnel liegt. Ist ja nicht gesagt das es am Tunnel liegt!

 

[fidero85]

AW: Failban Probleme seit VPN

Ich hatte das im ersten Posting so verstanden (bzw. verstehe es immer noch so ) dass die Probleme mit failban erst mit dem VPN gekommen sind.
Prinzipiell bin ich auch immer für Lösen anstatt Verdrängen, allerdings ist der failban-Teil von Oscam eine Oscam-spezifische Eigenschaft und somit von der (im Vergleich zu sonstiger OpenSource-Software) eher kleinen Kernentwicklerschar abhängig, zumal dieser Teil des Programmes sicher nicht im Fokus der Entwickler steht. Möglicherweise wird es also eher schwierig, hier Hilfe zu bekommen wenn man sich nicht selber durch den Programmcode wühlt, analysiert und entsprechende fehlerbehebende Veränderungen ausprobiert und dann final in die Programmentwicklung einfließen lässt.

 

[Gelöschtes Mitglied 136430]

AW: Failban Probleme

Hallo zusammen,

also jetzt kann ich es mit 100% bestätigen, es liegt definitiv nicht am VPN/VPN Tunnel.

Ich habe jetzt alles weder normal über mein Router laufen (also Ports usw.)
und ich habe sogar komplett openvpn gelöscht vom Server!

2-3 User gehen ständig nach 1-2 Stunden in der Failban und immer noch als unknow. Der Username wird nicht mal angezeigt.
Oscam habe ich auch auf dem neusten stand gebracht!

Das komische ist, ich hatte mal ein Sharepartner der noch meine Line drinnen hat und der wird nochmit dem Namen angezeigt in der Failban wo ich ihn damals gegeben habe, aber meine Clients heissen in der Failban alle unknow.
Jetzt weiß ich echt nicht mehr weiter!