VPN Szenario

[sweigand]

Hallo,

wir wollen mit OPSI auch unsere Clients per VPN verwalten und sind auf
ein Problem gestoßen. Unsere Clients erhalten im VPN eine neue IP und
können dann mit unserem Hauptnetz (OPSI Server) kommunizieren. Jedoch
sind sie im VPN nicht mehr über den ursprünglichen Namen ansprechbar,
sondern nur über die temporäre neue IP.

Der OPSI Server kann dann nicht mehr mit dem Client kommunizieren, aber
der Client erreicht den Server.

Gibt es dafür eine Lösung oder kann man lokal auf dem Client einen Pull
Befehl absetzen?

Viele Grüße,
Sascha Weigand

[dkoch]

Aus /etc/opsi/opsiconfd.conf

Code: Alles auswählen

        # If set to yes a client's ip address will be updated in the opsi database,
        # when the client connects to the service and authentication is successful.
        # Opsiconfd needs to be reloaded (SIGHUP) for changes to take effect.
        #
        # Default:
        #   update ip = no
        
        update ip = yes

Solltest du in dem Fall auf yes setzen.

[sweigand]

Danke für den Hinweis

Ich habe die Option auf yes gesetzt, aber frage mich wann der Client Kontakt mit dem Server aufnimmt. Kann man das triggern?
Auf dem Server sehe ich nämlich keine Änderung der IP.

Ich vermute das es auch mit der nicht mehr funktionierenden Namensauflösung Probleme gibt.

[dkoch]

So wie ich dich verstanden habe funktioniert der Verbindung vom Client zum Server aber nicht umgekehrt.
Das bedeutet dann ja das du nichts "on demand" abesenden kannst.
Ein Client kann sich aber z.B beim hochfahren mit dem Server verbinden. Ist das richtig ?
In diesem Fall würde der Client beim Hochfahren seine neue IP an den Server übermitteln wodurch dieser dann auch wieder die aktuelle IP von Client bekommt.

Edit:
Für den Fall das du windows benutzt und zu dem Zeitpunkt noch gar keine VPN Verbindung da ist kannst du ein on_demand vom client auslösen:

• Browser öffen auf https://localhost:4441/interface
• Anmelden als lokaler Admin
• Path : interface
• Method : fireEvent
• name : "on_demand"
• execute drücken

Das ganze kann man mit wget oder curl automatisieren

[sweigand]

Die Info hatte ich vergessen... Da das eine Aussenstelle ist, ist es so, dass sich der User anmeldet und dann denn VPN Client startet. D.h. beim starten hat der Client keine Verbindung zum Server, sondern nur wenn der User angemeldet ist und den VPN Client startet.

Der Ablauf wird dann so sein, dass wir dem User Bescheid geben sich ins VPN einzuloggen und wir dann "on_demand" die Pakete pushen wollen. Die Clients werden nämlich selten bis gar nicht im Hauptnetz unterwegs sein.

[dkoch]

Du hast vielleicht meinen Edit von oben übersehen

[sweigand]

Danke, das funktioniert so wie ich mir das vorgestellt hatte! Ich schaue mir mal an wie ich das in ein Skript packe bzw. automatisieren kann.

[wolfbardo]

Hallo,

Hallo,

wir wollen mit OPSI auch unsere Clients per VPN verwalten

Hierfür ist das WAN/VPN-Modul gedacht, das die Daten im Hintergrund überträgt, ohne die Leitung dicht zu machen

und sind auf
ein Problem gestoßen. Unsere Clients erhalten im VPN eine neue IP und
können dann mit unserem Hauptnetz (OPSI Server) kommunizieren. Jedoch
sind sie im VPN nicht mehr über den ursprünglichen Namen ansprechbar,
sondern nur über die temporäre neue IP.

Der OPSI Server kann dann nicht mehr mit dem Client kommunizieren, aber
der Client erreicht den Server.

Gibt es dafür eine Lösung

DNS-Konfiguration bei VPN-Einwahl

oder kann man lokal auf dem Client einen Pull
Befehl absetzen?

Nur als lokaler Admin oder über eine spezifische Konfiguration z.B. eines custom timerevents und/oder custom Networkevents. Letzteres ist aber eher etwas für bezahlten Support.

Gruss
Bardo Wolf