[Frage] Wie kann man einen Freetz OpenVPN-Client am Besten möglichst ausfallsicher machen?

[Adsubia]

Mein Freetz OpenVPN-Client befindet sich remote an einem Ort, wo nicht allzu oft Gelegenheit besteht "physikalisch" anwesend zu sein. Deswegen mache ich mir Gedanken darüber, wie man längere bzw. dauerhafte Ausfälle bis zum nächsten Vor-Ort-Besuch vermeiden kann. Ein Problem ist z. B. dass die Internetverbindung dort hin und wieder mal ausfällt - das kann im schlimmsten Fall bis zu mehreren Tagen anhalten. Das bedeutet, die Fritte wäre zwar an, aber eben offline und demzufolge würde der Tunnel zusammenbrechen. Stromausfälle kommen auch mal vor. Es kann beispielsweise auch mal passieren, dass der OpenVPN-Server mal eine Weile down ist - bspw. wenn OpenVPN auf eine neue Hardware umgezogen wird.

Ich habe leider wenig Erfahrung mit dem Reconnect-Verhalten von OpenVPN-Clients im Falle von Internet-, Strom- oder Serverausfall und inwieweit das damit zusammenhängt, wie lange so ein Ausfall andauert. Könnt ihr mir dazu etwas sagen?

Ich spiele mit dem Gedanken, einfach über eine Zeitschaltuhr der gesamten Anlage einmal täglich kurz den Saft zu entziehen, damit sie komplett neu hochfährt und sich neu verbinden muss, anstatt dass da permanent ein OpenVPN Dienst läuft, von dem ich nicht weiß, unter welchen Umständen er den Reconnect hinbekommt und unter welchen nicht. Alternativ käme natürlich für eine sauberere Wiedergeburt der Fritte auch ein Script mit CronJob infrage, damit sie sauber neugestartet wird.

Was haltet ihr von diesen Ideen und was würdet ihr mir raten, damit der Tunnel lange möglichst stabil läuft? Wenn er mal für ein paar Stunden down wäre, das wäre nicht so tragisch, aber wenn die Downtime Tage und Wochen oder sogar dauerhaft bis zum manuellen Neustart andauern würde, das wäre schon kritisch.

 

[alfred.s]

Ich musste in 3 Jahren mit diversen Stromausfällen und täglicher Zwangstrennung nie manuell eingreifen.

 

[Adsubia]

Ein Positivbeispiel an Ausfallsicherheit ohne extra etwas dazu getan zu haben - prima! Wärst du so lieb und würdest mir mal deine Konfigs posten (insbesondere die vom Client)? Dann hätte ich ein Beispiel, aus dem ich entnehmen kann, wie man das am Besten vernünftig konfiguriert (Polling Intervall etc.)...

 

[alfred.s]

Alles Standard. Posten geht gerade nicht, da ich im Ausland bin.

 

[vice_pres]

Was mir immer mal wieder (in den letzten Jahren) aufgefallen ist: Einen neustart des Openvpn Server (also des Dienstes auf den sich die Fritzboxen in meinem Fall verbinden) führt manchmal zu einem crash des Openvpn Clients auf der Box. Das ist in letzter Zeit aber sehr sehr sehr viel selteren geworden - und ich meine im vorbei-lesen im Trunk auch irgendwo was gelesen zu haben, dass das behoben sein sollte. Das wäre in deinem Fall natürlich dann echt unpraktisch.

Die Zeitschalt-Uhr ist natürlich eine relativ verlässliche Methode die Box zum Neustart zu bringen - ein cronjob funktioniert ja nur solange auch das System noch läuft (ehrlich gesagt kann ich mich aber glaub ich an keinen einfach so aufgetretenen Boxhänger erinnern wo sich die Box komplett ins Nirvana geballert hat und nicht über irgendeinen Watchdog automatisch neugestartet hätte). Ob das auf Dauer der Hardware/dem Netzteil gut tut - keine Ahnung.

Letzt bei nem Bekannten n lustiges Spiel gehabt: 7270 V2 lief ohne größere Probleme, hat er öfter auch mal kurz stromlos gemacht wenn irgendwas nicht ging oder seiner Meinung nach "gezickt" hat (ist für ihn einfachher als sich aufs Webinterface einzuloggen). Box ausgetauscht gegen 7490, lag einen halben Tag in der Ecke. Dann ist ihm eingefallen, dass er noch die MAC-Adressen von 2 Geräten nachschauen wollte. Box also wieder mit Strom versorgt - Reboot-Schleife. Ich kenn in dem Fall meist nur das Netzteil als den Übeltäter (mehrfach schon gehabt) und wir haben eins von ner anderen 7270 V2 von mir genommen: Reboot-Schleife. Alles mögliche probiert, die Box will nicht mehr und fiept von innen auch recht unangenehm wenn man mit dem Ohr rangeht. Ich hab die Box mitgenommen und noch einiges ausprobiert mit verschiedenen Netzteilen (zum Schluß ein recover um die Daten runterzulöschen): Recover kein Problem, booten aber schon. Ob das ganze von seinen dauernden Stromlos-machen kam keine Ahnung - ist in all den Jahren die erste die mit mir dem Fehlerbild unterkommt und bei der nicht das Netzteil daran schuld war.

TL;DR: Ob eine Zeitschaltuhr das richtige ist sollte man vielleicht vorher abklären, alternativ evtl. einen reboot cronjob einmal in der Nacht?

 

[Adsubia]

Die Zeitschalt-Uhr ist natürlich eine relativ verlässliche Methode die Box zum Neustart zu bringen ... Ob das auf Dauer der Hardware/dem Netzteil gut tut - keine Ahnung.
...
alternativ evtl. einen reboot cronjob einmal in der Nacht?

Ich sehe das ähnlich. Man kann durchaus recht bedenkenlos hin und wieder mal die Stromversorgung der Fritte kappen, aber eher nicht täglich - da hätte ich rein intuitiv auch Bedenken. Das mit den OpenVPN-Client-Crashes passiert(e) ja - so wie ich dich verstehe - nur bei Neustart des Dienstes bei laufender Box. Ein Cronjob, der sie komplett neu startet, dürfte diesen Effekt ja nicht auslösen, wenn es diesen überhaupt noch geben sollte.

Das heißt also für mich nun: Irgendwo auf der Box ein Reboot-Script ablegen und das 1x täglich nachts über die crontab aufrufen, oder? Das sollte ja unter Freetz genauso funktionieren wie unter einem "normalen" Linux, oder?

Hinsichtlich der OpenVPN-Config im Allgemeinen habe ich mal gelesen, dass es Sinn machen kann beim Client "persist-tun" rauszunehmen und so wie auch beim Server ein keep-alive 10 120 reinzumachen. Habt ihr sowas gemacht? Standardmäßig gibt es beim Client kein keep-alive.

//Noch eine Frage :
Einen Austausch der Hardware für den OpenVPN-Server, also den Server-Dienst auf ein anderes Gerät umziehen - das "überlebt" so ein Client doch auch, oder? Zur Konkretisierung meines Vorhabens: Der Server läuft derzeit auf einem Wandboard Quad und soll demnächst mal auf ein anderes Wandboard Quad umgezogen werden oder noch besser auf die Fritte am Server-Standort. Wenn ich dort bin, bin ich aber logischerweise nicht mehr an dem Ort, wo der Client läuft, der ja beide Netze permanent miteinander verbinden soll und nun meine Fritte am Server-Standort remote mit Freetz zu flashen, das traue ich mich auch nicht wirklich ... Der Client sollte sich doch dann - spätestens nach dem Neustart durch den CronJob auch mit dem neuen OpenVPN-Server verbinden, sofern in der Fritte am Server-Standort das PortForwarding richtig angepasst worden ist, oder? Wie ist das eigentlich beim Trunk mittlerweile mit dem PortForwarding auf die Box selber (0.0.0.0) - es gibt da laut Wiki einen Patch, mit dem das direkt über die AVM GUI gehen soll. Ist der schon fest in den Trunk integriert oder muss man das vor dem Erstellen des Images noch selbst patchen?