Oscam Autostart + VPN Watchdog

[marc1974]

Moin!
Ich habe mir heute oscam auf nem Pi 3 compiliert. Nur habe ich gerade ein paar Probleme.
Die Installation von OpenVPN und auch die Einrichtung ging reibungslos.
Ich bin hier nach vorgegangen :

Sie müssen registriert sein, um Links zu sehen.

.
Openvpn wird auch immer fein beim booten gestartet.

Jetzt zu meinem Problem:
1. Starte ich Oscam als Benutzer PI wird mein Cardreader nicht erkannt, da ich keine ausreichenden Rechte für libusb habe. Logge ich mich als root ein und starte oscam wird der Reader erkannt. Ich habe oscam als pi mit sudo compiliert und auch so die libusb installiert. War das falsch?

2. Ich habe mir hiernach den watchdog für oscam angelegt: HowTo - Oscam Watchdog für den Raspberry
Der funktioniert gar nicht! kille ich den prozess wird auch nicht neu gestart.

3. Gibt es auch einen Watchdog für Openvpn? Ich denke meine Internetverbindung wird sich irgendwann trennen und glaube noch nicht dran, dass der Tunnel dann erhalten bleibt.

4. Wie sicher ist der Server ohne Iptables?

 

[Alex]

1.) Das passt soweit. Trag doch oscam in /etc/rc.local ein, dann wird es bei Systemstart automatisch mit Rootrechten gestartet.

2.) Dann hast du was falsch gemacht, der Watchdog sollte wie im How2 angegeben, funktionieren. Läuft der Watxhdog überhaupt im Hintergrund?

3.) Da kenn ich mich nicht aus.

4.) Wie sicher ist ein Server ohne Firewall wohl?

 

[UncleC]

Zu Nr3.
Also OpenVPN hat meines Wissens eine Funktion integriert die bei disconnect versucht die Verbindung wiederherzustellen. Ansonsten guck dir mal "auth-retry interact" an.
Also ich hatte noch nie ein Problem mit Zwangstrennung und OpenVPN..
Zu Nr 4..
Wenn der Raspy hinter einem Router ala Fritzbox etc hängt greift ja dessen Firewall...

 

[supraracer]

3) Getrennte Verbindungen sind für OpenVPN überhaupt kein Problem. Ich betreibe einen OpenVPN Server schon viele Jahre auf x86 Hardware (früher Debian, mittlerweile Ubuntu) und hatte auch ohne Watchdog noch nie Probleme.
4) Direkt am Internet angeschlossen natürlich nicht zu empfehlen, mit NAT davor kein Problem

-supraracer

 

[marc1974]

Also watchdog läuft nicht...ich versuche nun mal den fehler zu finden.
Ja...nach dem raspi kommt noch eine Fritzbox, bei der weitgehend alle ports zu sind...dann benötige ich doch zusätzlich nicht noch ne firewall?!


Hab es so in die rc.local eingetragen und weder oscam noch der watchdog starten bei startup

Sie müssen registriert sein, um Links zu sehen.

Spoiler

#!/bin/sh -e
#
# rc.local
#
# This script is executed at the end of each multiuser runlevel.
# Make sure that the script will "exit 0" on success or any other
# value on error.
#
# In order to enable or disable this script just change the execution
# bits.
#
# By default this script does nothing.

# Print the IP address
_IP=$(hostname -I) || true
if [ "$_IP" ]; then
printf "My IP address is %s\n" "$_IP"
fi
# Auto startup oscam
/usr/local/bin/oscam -b
#Start watchdog
/etc/init.d/watchdog
exit 0

 

[DEF]

Du kannst mit entsprechenden IPtables verhindern, dass keine Verbindungen außerhalb vom VPN Tunnel akzeptiert werden.
Damit verhinderst Du dann einen sogenannten "IP-Leak".
Zusätzlich kann man dann noch einen Cronjob einbauen, welcher ein "Ping Script" ausführt (z.B. jede 5 Minuten Google anpingen).
Wenn dann der Tunnel "down" geht oder anderes passiert ist, dann könntest Du den PI damit rebooten lassen.

 

[marc1974]

kann man da auch verhindern, dass keine verbindungen ausserhalb des tunnels RAUSGEHEN?

 

[DEF]

Ja, genau dies meinte ich damit Natürlich müssen die IPtables auch dauerhaft gespeichert werden, damit beim Reboot kein IP-Leak stattfindet.

 

[marc1974]

das muss ich danach noch machen. haste da irgendwas einfaches, vorgefertigtes?

Hab das mit dem watchdog jetzt geschafft...der war erstens nicht richtig intalliert, zweitens nicht eingeschaltet...man man....

 

[DEF]

Meinst Du meine IPtables und entsprechendes Script ? Bei welchem VPN Provider bist Du ?

 

[marc1974]

ja ganz genau nvpn

 

[DEF]

Hehe

dpkg -s iptables | grep Status ->Ergebnis sollte dann sein : Status: install ok installed

Dann: wget

Sie müssen registriert sein, um Links zu sehen.

"nvpn.sh" ausführbar machen mit: chmod u+x nvpn.sh

--> Danach starten mit ./nvpn.sh

Danach einen Tee trinken und zufrieden sein

 

[marc1974]

hammer...wie haste das denn jetzt so schnell gemacht?
Danke!
Muss die auch in irgendeine rc.local oder cron? Oder startet die nun immer im Hintergrund mit?


cooles script...wenn er jetzt keine vpn hat connected er auch zu keinem server ->connect failed: Connection timed out

 

[DEF]

Sehr gern

Die habe ich aber nicht selbst gemacht -->Das stellt der Provider bereit

Ich habe es nur für Dich nur übersetzt, damit Du Deine Nerven entspannen kannst und weil Du langen Leidensweg hattest.

Iptables dauerhaft speichern geht so:

apt-get install iptables-persistent
+
iptables-save > /etc/iptables/rules.v4

Nach jeder Änderung musst Du die Regeln neu speichern, was eh nicht oft vorkommt sobald es einmal läuft.

Mit nano /etc/iptables/rules.v4 kannst Du dann kontrollieren, ob die Regeln sauber übernommen wurden.

 

[marc1974]

mein leidensweg ist grundsätzlich immer lang und endet nie
danke dir..... hmmmm ein problem habe ich noch...jetzt hab ich mir alles so schön gemacht und hatte nur geändert, dass ich mich nicht mehr als root anmelden muss, sondern dass er beim hochbooten direkt mit pi automatisch im desktop ist. jetzt startet er wieder gar nichts.... weder openvpn noch oscam noch meinen watchdog....das liegt ja wohl am user. wie bekomme ich das hin?