Inkompatibiltät opsi / openvpn

Antworten
wla
Beiträge: 34
Registriert: 28 Mai 2013, 11:41

Inkompatibiltät opsi / openvpn

Beitrag von wla »

4.0.7.x / OpenVPN 2.3.12

Hallo,

es gibt ja das WAN-Modul, welches genau für Einsatz mit VPNs wie OpenVPN gemacht wurde.
Das beschriebene Problem ist jedoch unabhängig von der WAN Extension.

Wenn OpenVPN den Parameter "register-dns" gesetzt hat, dann versucht openvpn am Ende des Tunnelaufbaus die Kommandos abzusetzen:
- C:\Windows\system32\net.exe stop dnscache
- C:\Windows\system32\net.exe start dnscache
- C:\Windows\system32\ipconfig.exe /flushdns
- C:\Windows\system32\ipconfig.exe /registerdns
Das erste bleibt hängen mit der Frage, dass dann auch der davon abhängige opsiclientd beendet werden muss? Dies lässt sich erst ferststellen, wenn man das Kommando selber an der Kommandozeile eingibt, openvpn macht dies ja im Hintergrund. Als Folge werden im Taskmanager ein zweiter openvpn.exe sichtbar, net.exe und net1.exe und auch im Log ist dies der letzte Eintrag. Der Tunnel funktioniert jedoch prinzipiell, da dies die letzten Konfig-Parameter sind.
Die Frage ist nun, ob (der Hersteller ) opsiclientd wirklich mit Abhängigkeit vom Service dnscache konfigurieren muss?

Ich hänge mal 3 Bilder an:
1. Start von OpenVPN ohne laufenden opsiclientd.exe:
Bild
2. Start von OpenVPN mit laufendem opsiclientd.exe (die Shell wurde manuell gestartet, um das Problem zu verdeutlichen):
Bild
3. Start von OpenVPN mit laufendem opsiclientd.exe, aber ohne den Parameter "register-dns":
Bild

Vielleicht wirft ja der Hersteller einen Blick drauf.
Es kann sein, dass das Problem wegen dem oft fehlenden "register-dns" nicht auffällig wurde. Aber der Parameter "soll" (DNS-) Probleme mit Windows 10 vermeiden helfen ...

Gruss,
Walter
Benutzeravatar
GEI
Beiträge: 229
Registriert: 12 Feb 2010, 13:00
Wohnort: Braunschweig
Kontaktdaten:

Re: Inkompatibiltät opsi / openvpn

Beitrag von GEI »

wla hat geschrieben:4.0.7.x / OpenVPN 2.3.12
es gibt ja das WAN-Modul, welches genau für Einsatz mit VPNs wie OpenVPN gemacht wurde.
hmm, wir haben OpenVPN seit Jahren in Verbindung mit OPSI im Einsatz.
Unter Win7prof mit dem WAN-Modul, seit kurzem auf _einem_ Surface4pro auch mit Win10.
Aktuell mit 4.0.7.7 und 4.0.7.10.

Wir verwenden das OpenVPN-Paket aus dem DFN-Repository, welches dankenderweise die Kollegen vom WIWI der KIT.edu maintainen.
https://opsi.wzb.eu/dfn_openvpn_2.3.13-1.opsi
Georg-Eckert-Institut - Leibniz-Institut für internationale Schulbuchforschung (GEI)
---
'opsi4instituts' = Communityprojekt für wissenschaftliche Einrichtungen
offenes Repository, Update-Notifier
http://www.gei.de/o4i - https://wiki.o4i.org
Benutzeravatar
ueluekmen
uib-Team
Beiträge: 1939
Registriert: 28 Mai 2008, 10:53

Re: Inkompatibiltät opsi / openvpn

Beitrag von ueluekmen »

Hallo Walter,

genau für solche Fälle hat das opsi-client-agent Paket den Schalter: depends_on_service. Konfigurier da einfach den dnscache raus. Du musst aber den Client-Agent neu verteilen. Nicht Update sondern mit setup. Dann sollte der opsiclientd nicht mehr abhängig sein und sollte auch nicht gestoppt werden, wenn so was gemacht wird. Es gibt Umgebungen wo dnscache von der Domäne aus abgeschaltet wird. Dann schafft der opsiclientd auch nicht schnell genug selbst zu starten, weil er den dnscache vorher als Abhängigkeit startet und dann selbst nicht mehr genug Zeit hat zu starten.
opsi support - uib gmbh
For productive opsi installations we recommend support contracts.
http://www.uib.de
wla
Beiträge: 34
Registriert: 28 Mai 2013, 11:41

Re: Inkompatibiltät opsi / openvpn

Beitrag von wla »

Danke für den Tip mit "depends_on_service". War mir nicht bewusst, dass ich die Abhängigkeiten beeinflussen kann.
Ansonsten kann ich "register-dns" weglassen und ein up-Skript nur mit "flushdns" und "registerdns" schreiben.
Antworten